Palo Alto Networks emite parche urgente tras la explotación activa de una vulnerabilidad en su puerta de enlace VPN empresarial

CVE-2026-0257 Palo Alto Networks VPN GlobalProtect vulnerability enterprise VPN security patch authentication bypass
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
2 de junio de 2026
4 min de lectura
Palo Alto Networks emite parche urgente tras la explotación activa de una vulnerabilidad en su puerta de enlace VPN empresarial

TL;DR

• CVE-2026-0257 permite a los atacantes omitir la autenticación mediante cookies de GlobalProtect. • Se ha confirmado la explotación activa en el mundo real por parte de investigadores de seguridad. • CISA ha añadido esta falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). • Los atacantes pueden suplantar a administradores para obtener acceso total a la red. • Se requiere la aplicación inmediata de parches para asegurar las puertas de enlace VPN empresariales.

Palo Alto Networks emite parche urgente tras la explotación activa de una vulnerabilidad en su puerta de enlace VPN empresarial

Si utilizas una VPN de Palo Alto Networks, deja de leer y comienza a revisar tus registros. La compañía acaba de confirmar que la CVE-2026-0257 —una grave falla de omisión de autenticación— ya no es un problema teórico. Está siendo explotada activamente en el mundo real.

Esta no es una actualización rutinaria más. La vulnerabilidad afecta a las configuraciones del portal y la puerta de enlace de GlobalProtect dentro de PAN-OS y Prisma Access. En términos sencillos: los atacantes están encontrando formas de entrar en las redes empresariales internas sin necesidad de una contraseña válida.

Cuando la vulnerabilidad apareció por primera vez el 13 de mayo de 2026, fue etiquetada con una puntuación CVSS de 7.8. Inicialmente, parecía una molestia de "severidad media". Pero el panorama cambió en el momento en que llegaron los informes de explotación activa. Ahora, desde agencias federales hasta investigadores de seguridad independientes están haciendo sonar la alarma. Los atacantes han descubierto cómo falsificar cookies de autenticación, haciéndose pasar efectivamente por empleados legítimos. Una vez dentro, actúan como fantasmas en la máquina.

La mecánica de la brecha

Entonces, ¿cómo lo están haciendo? La vulnerabilidad reside en la forma en que las puertas de enlace de GlobalProtect manejan las cookies de anulación de autenticación (authentication override). Si tienes estas cookies habilitadas y tus configuraciones de certificado están configuradas de una manera específica, el sistema básicamente olvida verificar si la sesión es realmente legítima.

Es el clásico escenario de "la puerta principal entreabierta". Al manipular estos tokens de sesión, un atacante obtiene exactamente los mismos permisos que el usuario al que está suplantando. Si secuestran la sesión de un administrador de alto nivel, obtienen las llaves del reino.

Palo Alto Networks emite parche urgente tras la explotación activa de una vulnerabilidad en su puerta de enlace VPN empresarial

Imagen cortesía de The Hacker News

La cronología aquí es brutal. Los investigadores de Rapid7 detectaron intentos de explotación en el mundo real desde el 17 de mayo de 2026. Ese es un margen extremadamente estrecho entre el aviso inicial y la primera ola de ataques reales. Para muchos equipos de TI, el "ciclo de parches" se convirtió en una carrera contra el tiempo.

La situación se intensificó el 29 de mayo de 2026, cuando la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) incluyó la falla en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Cuando la CISA toma una medida así, es una señal de advertencia clara para todas las agencias federales y el sector privado de que la amenaza es real, actual y peligrosa.

La realidad del riesgo

Si te preguntas si estás en la mira, revisa tu configuración de GlobalProtect. La vulnerabilidad apunta específicamente a entornos que utilizan la funcionalidad de anulación de autenticación. Si tu certificado o los ajustes de anulación no se alinean con los requisitos de seguridad del proveedor, eres un blanco fácil. Palo Alto Networks ha publicado el aviso de seguridad oficial para CVE-2026-0257, y es de lectura obligatoria para cualquier administrador que se precie.

Atributo Detalles
ID de CVE CVE-2026-0257
Puntuación CVSS 7.8 (Media)
Productos afectados PAN-OS, Prisma Access (GlobalProtect)
Estado de explotación Explotada activamente en el mundo real
Riesgo principal Omisión de autenticación / Acceso no autorizado a VPN

No dejes que la puntuación CVSS "Media" te engañe. Debido a que este exploit se basa en cookies falsificadas, tus defensas perimetrales estándar podrían ni siquiera detectarlo. Si un atacante tiene los detalles de configuración de tu puerta de enlace, ya tiene medio camino recorrido. La única forma real de cerrar la puerta es aplicar los parches suministrados por el proveedor. No hay atajos aquí.

¿Qué debes hacer ahora?

El consenso de la industria es claro: trátalo como un simulacro de incendio. Como señaló The Hacker News, la barrera de entrada para los atacantes es ridículamente baja. Es un objetivo de alto valor para cualquiera que busque establecer un punto de apoyo silencioso y persistente en una red corporativa.

El equipo de inteligencia de amenazas de Rapid7 ha estado rastreando estos intentos, señalando que claramente buscan omitir la capa de VPN para facilitar el movimiento lateral y el robo de datos. Una vez dentro, la VPN —tu primera línea de defensa— se convierte en un riesgo.

Como señaló correctamente The Register, este error ha pasado de ser un aviso de "mantenerse atento" a una emergencia de "todos a bordo".

Aquí tienes tu plan de acción inmediato:

  • Audita tus configuraciones: Revisa los ajustes de tu portal y puerta de enlace de GlobalProtect. ¿Están habilitadas las cookies de anulación de autenticación? Si es así, el tiempo corre en tu contra.
  • Verificación de versión: Compara tus versiones actuales de PAN-OS y Prisma Access con los requisitos del proveedor.
  • Parchea inmediatamente: No esperes a la próxima ventana de mantenimiento. Aplica las actualizaciones ahora.
  • Revisión de registros: Examina tus registros de VPN en busca de algo extraño. Busca actividad de sesión que no coincida con el comportamiento típico de tus usuarios, especialmente inicios de sesión desde geografías inesperadas o dispositivos que no reconozcas.
  • Mantente informado: Mantén abierto el portal de seguridad oficial de Palo Alto Networks en una pestaña. Las cosas se mueven rápido y están actualizando la guía a medida que aprenden más.

Esta es una situación dinámica. Debido a que el exploit imita a usuarios legítimos, no puedes simplemente buscar tráfico "malicioso"; debes buscar tráfico anómalo. ¿Un empleado inició sesión desde una ciudad nueva? ¿Una sesión permaneció abierta durante un tiempo inusual?

La inclusión de este error en el catálogo KEV de la CISA confirma que no se trata solo de un puñado de incidentes aislados. Es una tendencia. Palo Alto Networks está trabajando arduamente para ayudar a los clientes a asegurar sus sistemas, pero el trabajo pesado debe realizarse de tu lado. Si aún no has auditado las configuraciones de tu puerta de enlace, hazlo hoy. La ventana para adelantarse a esto se está cerrando y los atacantes no están disminuyendo su ritmo.

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

Noticias relacionadas

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools
state-sponsored cyber espionage infrastructure 2026

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools

Discover how state-sponsored actors use AI to infiltrate global energy and defense infrastructure. Learn about the latest cyber espionage risks and defense trends.

Por Marcus Chen 3 de junio de 2026 4 min de lectura
common.read_full_article
Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks
VPN protocol vulnerabilities 2026

Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks

Russian state-sponsored actors are exploiting RDP services and VPN vulnerabilities to breach enterprise networks. Learn how to defend your critical infrastructure.

Por Elena Voss 1 de junio de 2026 5 min de lectura
common.read_full_article
Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams
enterprise VPN adoption

Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams

Discover why enterprise VPN adoption is skyrocketing as companies face stricter data privacy compliance and the rising costs of remote work security breaches.

Por Sophia Andersson 31 de mayo de 2026 4 min de lectura
common.read_full_article
Authorities Seize First VPN Infrastructure Used to Facilitate Large-Scale Ransomware Operations
First VPN seizure

Authorities Seize First VPN Infrastructure Used to Facilitate Large-Scale Ransomware Operations

Global law enforcement has seized 'First VPN,' a bulletproof service used by 25+ ransomware groups for over a decade. Learn how this cybercrime hub was dismantled.

Por James Okoro 30 de mayo de 2026 4 min de lectura
common.read_full_article