Se suponía que los programas populares protegerían a las empresas, pero resultaron ser lagunas para los piratas informáticos.

• El 33 por ciento de los ciberataques en el mundo comienzan con errores de software. 16 por ciento - de datos de inicio de sesión robados. El 13 por ciento proviene del phishing: este vector ha perdido importancia desde el año pasado, según el informe "m-Trends 2025".
• Las vulnerabilidades más comúnmente explotadas se encontraban en los sistemas de Palo Alto Networks, Ivanti y Fortinet. Fueron utilizados, entre otros, por grupos vinculados a China y Rusia.
• En Polonia, el gobierno advirtió sobre la vulnerabilidad de Fortinet. Sin embargo, no hay planes para crear una lista negra de programas peligrosos.

Uno de cada tres ciberataques comienza con un error de software: ésta es la conclusión del último informe de Mandiant, una empresa que se ocupa, entre otras cosas, de detectar amenazas en la red. Los delincuentes solían atacar el software de los mayores proveedores estadounidenses: Palo Alto Networks, Ivanti y Fortinet.

Tres de las vulnerabilidades descritas por Mandiant eran particularmente peligrosas: eran vulnerabilidades de "día cero" , es decir, aquellas que fueron explotadas antes de que el proveedor del software se diera cuenta de la situación y publicara parches de seguridad. Esto es aún más peligroso porque los ataques no fueron cometidos únicamente por delincuentes comunes. Algunos de ellos fueron organizados o apoyados por grupos de inteligencia cibernética chinos y rusos.

Peligros de los proveedores de seguridad

La vulnerabilidad más frecuentemente explotada el año pasado se refiere a errores en el software PAN-OS GlobalProtect. Este es un sistema de seguridad popular de Palo Alto Networks . Este sistema es utilizado por empresas de todo el mundo para proteger las conexiones remotas de sus empleados.

El error, identificado en abril de 2024, permitía a los delincuentes tomar el control del dispositivo y ejecutar comandos arbitrarios en él sin el conocimiento del administrador. Según datos de Mandiant, antes de que se descubriera y solucionara la vulnerabilidad, varios grupos criminales lograron explotarla. Entre los piratas informáticos había personas asociadas a la banda RANSOMHUB, conocida por extorsionar rescates y amenazar con publicar datos.

Dos de las cuatro vulnerabilidades más frecuentemente explotadas afectan al software de Ivanti: Connect Secure VPN y Policy Secure. Ambos servicios se utilizan para permitir que los empleados inicien sesión de forma segura en la red corporativa . Las vulnerabilidades descritas por Mandiant permitían eludir el inicio de sesión y la ejecución de comandos en el servidor.

Estas lagunas también pretendían beneficiar a los delincuentes. En total , se han identificado al menos ocho grupos diferentes que explotan activamente errores en el software de Ivanti . Cinco de ellos estaban relacionados con el espionaje y posiblemente vinculados con China.

Ministro polaco advierte sobre fallo en el programa Fortinet

También se reveló una falla de seguridad grave en FortiClient Endpoint Management Server. Esta es una herramienta utilizada por las empresas para gestionar de forma centralizada la protección de los ordenadores de los empleados. El error permitió a los delincuentes implementar sus propios comandos en la base de datos del sistema.

En la práctica, esto significaba la capacidad de manipular datos, eludir las medidas de seguridad e incluso tomar el control del servidor. Uno de los grupos criminales instaló un programa legal de administración remota en servidores infectados. Este acceso fue luego vendido a otros grupos criminales. Mandiant también demostró que la vulnerabilidad fue explotada por el grupo FIN8. Esta vez, para entrar en las organizaciones y robar sus datos para obtener un rescate.

En octubre y noviembre de 2024, el presunto grupo de amenazas FIN8 obtuvo acceso a una organización específica mediante la explotación de CVE-2023-48788, implementó el ransomware SNAKEBITE y utilizó la herramienta de respaldo RESTIC disponible públicamente para robar datos.

El plenipotenciario del gobierno polaco en materia de ciberseguridad (en este mandato es el viceprimer ministro Krzysztof Gawkowski) incluso emitió un comunicado sobre esta vulnerabilidad . En marzo de 2024, recomendó actualizar los productos de Fortinet a las últimas versiones.

¿Cuál podría ser la magnitud de los problemas que esta vulnerabilidad podría causar en Polonia? Esto no se sabe porque el Ministerio de Asuntos Digitales no mantiene un registro de proveedores y productos que protegen los sistemas informáticos utilizados ni en la administración pública ni en las instituciones dependientes.

- Las entidades del sector público tienen un gran grado de autonomía en la selección, adquisición y aplicación de soluciones de seguridad informática - asegura el gabinete de prensa del Ministerio.

Sin embargo, los funcionarios confirman que los productos de los proveedores mencionados en el informe de Mandiant también se utilizan en la administración pública .

El Ministerio espera proyectos de ley clave sobre ciberseguridad

Sin embargo, según asegura el Ministerio de Asuntos Digitales, no hay planes para excluir a los proveedores cuyo software sea vulnerable a ataques . En el futuro, su seguridad será gestionada por una modificación a la Ley del Sistema Nacional de Ciberseguridad (el Ministerio de Asuntos Digitales espera que sea adoptada por el gobierno a mediados de año), así como por el Sistema de Certificación de Ciberseguridad. Este último ya ha sido adoptado por el Consejo de Ministros.

- El proyecto de disposiciones relativas a la orden de protección o al procedimiento de reconocimiento como proveedor de alto riesgo se podrán aplicar en el futuro si las vulnerabilidades suponen una amenaza para el interés fundamental de seguridad del Estado, lo que será precedido por un análisis detallado - leemos en las respuestas del MC.

Por ahora, los Equipos de Respuesta a Incidentes Informáticos (CSIRTs) están enviando información sobre vulnerabilidades a las instituciones que cubren. NASK utiliza la herramienta Artemis para buscar vulnerabilidades de seguridad.

Los proveedores aplican parches, los usuarios no actualizan

¿Qué piensan los propios proveedores de software sobre el informe? Hicimos preguntas a las tres empresas que menciona Mandiant. Sólo Fortinet no respondió a las preguntas del CIS.

El portavoz de Ivanti subraya que no sólo los delincuentes comunes son adversarios de las empresas. - Los ataques agresivos patrocinados por estados a dispositivos periféricos son un desafío común y bien documentado para toda la industria, admite.

Agrega que la compañía está invirtiendo en asociaciones y colaboraciones en inteligencia de amenazas. También publica correcciones descritas con precisión.

Los representantes de Palo Alto Networks también hablan de soluciones, enfatizando que los parches para la vulnerabilidad específica mencionada en el informe de Mandiant se publicaron dentro de los tres días posteriores al anuncio del problema.

- La información sobre las vulnerabilidades detectadas en los productos es anunciada públicamente por nosotros y actualizada por nuestro equipo PSIRT - señala el departamento de prensa de la empresa.

Según hemos oído, la empresa también realiza pruebas de software antes de lanzarlo al mercado.

- Incluso en caso de incidente, somos capaces de analizar rápidamente un escenario previamente probado, desarrollar una solución e implementarla en los productos afectados - enfatizan los representantes de Palo Alto Networks.

Como recuerda MC, es importante actualizar el software lo antes posible después de que aparezcan dichos mensajes.

El Comisionado de Ciberseguridad en sus recomendaciones y comunicaciones indica claramente que la acción clave para limitar la ocurrencia de cualquier incidente de ciberseguridad es la actualización continua de las soluciones utilizadas y el uso de la autenticación multifactor.

Según los proveedores, las vulnerabilidades del software son naturales. Sin embargo, Paweł Nogowicz, propietario de Evercom, ve el asunto de otro modo. Como lo subrayó durante el debate en la CEE en Katowice , se trata de una patología del mercado. Simplemente señaló que los clientes se están convirtiendo de facto en probadores de software. - No puede ser el caso que un software requiera parches constantes que eliminen algunas vulnerabilidades pero generen otras nuevas - afirmó.