Un afiliado de ransomware Qilin explotó un día cero de VPN de Check Point durante un mes antes de que existiera un parche.

Un afiliado de ransomware Qilin explotó un día cero de VPN de Check Point durante un mes antes de que existiera un parche.

      TL;DRCheck Point corrigió una vulnerabilidad crítica de día cero en VPN (CVE-2026-50751) que ha sido explotada desde el 7 de mayo por un afiliado de ransomware Qilin que apunta a docenas de organizaciones.

      Check Point ha divulgado y corregido una vulnerabilidad crítica de día cero en sus productos de VPN de Acceso Remoto y Acceso Móvil que un afiliado de ransomware Qilin explotó durante aproximadamente un mes antes de que estuviera disponible una solución. La falla, rastreada como CVE-2026-50751 con una puntuación CVSS de 9.3, permite a un atacante no autenticado eludir completamente la autenticación por contraseña y establecer una sesión VPN aprovechando un error lógico en la validación de certificados.

      La vulnerabilidad afecta a las implementaciones de VPN configuradas para usar IKEv1, un protocolo de intercambio de claves obsoleto que Check Point aún admite para clientes de acceso remoto heredados. La compañía dijo en un aviso de seguridad publicado el domingo que detectó por primera vez actividad sospechosa el 4 de junio, pero la explotación confirmada más temprana data del 7 de mayo. Los ataques han aumentado significativamente este mes.

      Check Point describió el alcance como limitado a "unas pocas docenas de organizaciones objetivo a nivel mundial". En al menos un caso, la actividad posterior a la explotación se vinculó a un afiliado de ransomware Qilin, un grupo motivado financieramente que ha dependido cada vez más de los dispositivos VPN corporativos como su vector de acceso inicial preferido. Check Point dijo que los atacantes parecen estar explotando vulnerabilidades de VPN de múltiples proveedores, incluidos Palo Alto Networks, Fortinet y F5.

      “Creemos que esta infraestructura de actores de amenazas está explotando otras vulnerabilidades relacionadas con VPN, como las publicadas por Palo Alto, Fortinet y F5”, señaló Check Point. La compañía también identificó indicadores de que el actor puede usar el protocolo Tox para la comunicación, un patrón comúnmente asociado con operadores de ransomware. Los atacantes utilizaron servidores privados virtuales geolocalizados en el mismo país que sus objetivos para llevar a cabo las intrusiones, y luego intentaron descargar archivos ELF maliciosos desde la infraestructura controlada por el actor.

      Los hallazgos se alinean con un patrón más amplio de explotación de día cero que se ha acelerado en 2026. El Grupo de Inteligencia de Amenazas de Google documentó el mes pasado cómo los actores criminales y patrocinados por el estado están escalando su uso de vulnerabilidades previamente desconocidas, con dispositivos VPN y dispositivos de borde de red consistentemente entre las categorías más atacadas. Los cortafuegos, VPN y otros dispositivos de borde típicamente no proporcionan suficiente telemetría para detectar o detener estos ataques, creando lo que los investigadores llaman una brecha de visibilidad en toda la industria.

      La explotación exitosa de CVE-2026-50751 requiere que se cumplan simultáneamente cuatro condiciones: VPN de Acceso Remoto o Acceso Móvil deben estar habilitados, IKEv1 debe estar activo para el acceso remoto, el gateway debe aceptar clientes de acceso remoto heredados, y no debe exigir un certificado de máquina para las conexiones. Check Point dijo que se requiere actividad adicional posterior a la autenticación para acceder a recursos internos o escalar privilegios, lo que significa que la sesión VPN por sí sola no otorga acceso completo a la red.

      Los productos afectados incluyen Gateways de Seguridad en múltiples versiones de firmware, desde R82.10 hasta las versiones de fin de soporte R81, R81.10 y R80.40, así como cortafuegos Spark en R80.20.X, R81.10.X y R82.00.X. Spark es la línea de productos de Check Point para pequeñas y medianas empresas, lo que significa que la vulnerabilidad se extiende más allá de las implementaciones de grandes empresas a organizaciones con menos recursos para corregir rápidamente.

      La investigación de Check Point también descubrió una segunda vulnerabilidad, CVE-2026-50752, con una puntuación CVSS de 7.4, que podría permitir un ataque de adversario-en-el-medio en conexiones VPN de sitio a sitio utilizando el mismo protocolo IKEv1 obsoleto. No hay evidencia de que CVE-2026-50752 haya sido explotada en el mundo real. Ambas fallas se abordan en las correcciones rápidas que Check Point lanzó junto con la divulgación.

      El grupo de ransomware Qilin, también conocido como Agenda, ha sido uno de los actores de amenazas motivados financieramente más activos en 2026. Un informe de Ctrl-Alt-Intel publicado el mes pasado documentó el abuso sistemático del grupo de dispositivos VPN corporativos, específicamente dispositivos de WatchGuard y Fortinet, para acceso inicial, desplegando el marco de comando y control Sliver antes de finalmente impulsar binarios de ransomware dirigidos a entornos Linux, ESXi y Nutanix. El día cero de Check Point parece ser la última adición a ese libro de jugadas.

Otros artículos

Los AirPods finalmente están obteniendo un ecualizador personalizado para ajustar la experiencia de escucha. Los AirPods finalmente están obteniendo un ecualizador personalizado para ajustar la experiencia de escucha. Apple finalmente te permite ajustar tus AirPods como desees. Una nueva configuración de ecualizador personalizada llegará con iOS 27, para que puedas ajustar los graves, medios y agudos según tu gusto. Un afiliado de ransomware Qilin explotó una vulnerabilidad de día cero de VPN de Check Point durante un mes antes de que existiera un parche. Un afiliado de ransomware Qilin explotó una vulnerabilidad de día cero de VPN de Check Point durante un mes antes de que existiera un parche. Check Point corrigió CVE-2026-50751, una vulnerabilidad crítica de bypass de autenticación de VPN explotada desde el 7 de mayo. Un afiliado de ransomware Qilin la utilizó para atacar a docenas de organizaciones. Amazon recauda C$14 mil millones en una histórica venta de bonos en dólares canadienses para financiar gastos en IA Amazon recauda C$14 mil millones en una histórica venta de bonos en dólares canadienses para financiar gastos en IA Amazon está recaudando C$14 mil millones (10 mil millones de dólares) en la mayor venta de bonos en dólares canadienses de la historia, un mes después de que Alphabet estableciera el récord anterior en la misma moneda. El Slayer regresa en DOOM: Las Revelaciones de la Oscura Edad con un nuevo juguete mortal. El Slayer regresa en DOOM: Las Revelaciones de la Oscura Edad con un nuevo juguete mortal. Bethesda ha revelado DOOM: Las Revelaciones de la Oscura Edad, una nueva expansión de campaña que se lanzará el 7 de julio con nuevos niveles, demonios, recuerdos jugables y una desagradable Lanza Cadena. Repensando los sistemas de crecimiento: el enfoque de Rush Digital Marketing sobre la propiedad y la autonomía Repensando los sistemas de crecimiento: el enfoque de Rush Digital Marketing sobre la propiedad y la autonomía Amanda Rush, Instalación de Nexus, generación de leads en LinkedIn, alcance B2B, adquisición de clientes, negocio de coaching, crecimiento de consultoría, automatización de marketing, marketing digital, sistemas de alcance, propiedad de generación de leads El regreso de las exclusivas de Xbox comienza con Gears of War y Clockwork Revolution. El regreso de las exclusivas de Xbox comienza con Gears of War y Clockwork Revolution. Microsoft confirma que Gears of War: E-Day y Clockwork Revolution serán exclusivos de consola Xbox, y ambos también llegarán a PC y Game Pass.

Un afiliado de ransomware Qilin explotó un día cero de VPN de Check Point durante un mes antes de que existiera un parche.

Check Point corrigió CVE-2026-50751, una vulnerabilidad crítica de bypass de autenticación de VPN explotada desde el 7 de mayo. Un afiliado de ransomware Qilin la utilizó para atacar a docenas de organizaciones.