9,3/10 según Check Point: hackers acceden a VPN corporativas sin credenciales y ya lo están aprovechando

Check Point advirtió sobre ataques reales a través de la vulnerabilidad crítica CVE-2026-50751, que permite conectarse a una red protegida sin la contraseña activa del usuario.

El problema afecta a las soluciones Check Point Remote Access VPN y Mobile Access si tienen habilitado el obsoleto protocolo de intercambio de claves IKEv1. Según especialistas de Check Point Research, los atacantes explotan un error en la forma en que el sistema valida los certificados. Si el ataque tiene éxito, pueden crear una sesión de acceso remoto y eludir la autenticación habitual.

La mera conexión a la VPN no otorga todavía el control total de la red interna. Para acceder a los recursos de la empresa o aumentar privilegios, los atacantes necesitan acciones adicionales después del inicio de sesión. Sin embargo, el hecho de que sea posible eludir la contraseña hace que la vulnerabilidad sea especialmente peligrosa, ya que la VPN suele situarse en el perímetro de la infraestructura corporativa.

CVE-2026-50751 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N — 9,3 Crítico) ya se está explotando en ataques reales. Hasta ahora se conocen solo unas pocas decenas de organizaciones objetivo en todo el mundo, pero en uno de los casos, tras el compromiso, se confirmó actividad relacionada con un socio del grupo de ransomware Qilin.

Los primeros indicios de explotación, según Check Point, datan del 7 de mayo de 2026. La investigación comenzó el 4 de junio después de que se detectara actividad sospechosa, y a principios de junio aumentó el número de intentos de ataque. Se recomienda a los equipos de respuesta que revisen los registros de eventos y la configuración de la VPN desde la fecha de explotación más temprana conocida.

Según la compañía, con un grado de confianza moderado, tras los ataques está un actor con motivación financiera que utiliza el ransomware Qilin. Check Point también considera que la misma infraestructura podría emplearse para explotar otras vulnerabilidades en soluciones VPN, incluidos productos de Palo Alto, Fortinet y F5. En algunas señales de actividad, los especialistas observaron que los atacantes pudieron haber utilizado el protocolo Tox para comunicarse, algo frecuente entre operadores de ataques de ransomware.

Los atacantes utilizaron servidores virtuales dedicados de varios proveedores, incluidos Kaupo Cloud HK, Shock Hosting y Vultr Holdings. En algunos casos, la infraestructura se seleccionó según el país de la víctima: en ataques contra organizaciones en Taiwán se usaron servidores geográficamente ubicados en Taiwán. Tras el acceso exitoso, Check Point detectó coincidencias con muestras para Linux del ransomware Qilin e intentos de descargar archivos ELF maliciosos desde los servidores de los atacantes.

Durante la investigación Check Point también halló una segunda vulnerabilidad, CVE-2026-50752 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N — 7.4 Alta). También está relacionada con la forma en que se verifican los certificados en el obsoleto IKEv1, pero afecta a las conexiones VPN entre sitios y, en determinadas condiciones, permite realizar un ataque «hombre en el medio». Por ahora la compañía no ha observado señales de explotación en ataques reales.

Están en riesgo Mobile Access, SSL VPN, Remote Access VPN, Security Gateways y Spark Firewall en las versiones R80.20.X, R80.40, R81, R81.10, R81.10.X, R81.20, R82, R82.00.X y R82.10, incluidas varias versiones fuera de soporte. Check Point publicó parches y recomienda actualizar de inmediato todas las pasarelas afectadas. Si no es posible aplicar la actualización rápidamente, los administradores deben revisar la configuración de acceso remoto y desactivar las configuraciones peligrosas con IKEv1 obsoleto.