CISA añade cuatro vulnerabilidades explotadas a su catálogo KEV

CISA añade 4 nuevas vulnerabilidades explotadas a su catálogo KEV: SonicWall SMA1000 y Microsoft AD FS y SharePoint. Actualiza tus sistemas para evitar ataques.

15 jul 2026 • 6 min de lectura • Equipo Q2BSTUDIO

CISA actualiza su lista de vulnerabilidades explotadas activamente

La reciente actualización del Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) por parte de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha vuelto a poner el foco en la importancia de una gestión de vulnerabilidades basada en riesgos. En esta ocasión, se han incorporado cuatro fallos de seguridad que ya están siendo aprovechados activamente por actores maliciosos: dos en los dispositivos SonicWall SMA1000 (una vulnerabilidad de Server-Side Request Forgery y una de inyección de código), y dos en productos de Microsoft —Active Directory Federation Services (ADFS) y SharePoint Server— que permiten eludir controles de acceso o ejecutar funciones críticas sin autenticación. Aunque la directiva BOD 26-04 es de obligado cumplimiento solo para las agencias del poder ejecutivo civil federal (FCEB), CISA insta a todas las organizaciones, públicas y privadas, a adoptar un enfoque similar de priorización basada en el riesgo real.

La inclusión de estas cuatro vulnerabilidades en el catálogo KEV no es un hecho aislado. Responde a un patrón bien conocido: los ciberdelincuentes explotan fallos con pruebas de concepto públicas, a menudo antes de que los parches estén disponibles o se hayan aplicado correctamente. En el caso de las vulnerabilidades de SonicWall, ambas afectan a los appliances SMA1000, utilizados para proporcionar acceso remoto seguro a redes corporativas. La falsificación de solicitudes del lado del servidor (SSRF) permite a un atacante enviar peticiones a través del dispositivo hacia recursos internos, mientras que la inyección de código otorga la capacidad de ejecutar comandos arbitrarios. Juntas, pueden comprometer completamente el appliance y, desde ahí, pivotar hacia la red interna. Microsoft, por su parte, ha confirmado que las vulnerabilidades en ADFS y SharePoint están siendo explotadas activamente, lo que eleva la urgencia de aplicar las actualizaciones de seguridad correspondientes.

La directiva BOD 26-04, emitida en noviembre de 2024, introduce un cambio significativo en la forma en que las agencias federales deben abordar las actualizaciones de seguridad. Ya no se trata solo de parchear todo lo que aparece, sino de priorizar según el riesgo. Las vulnerabilidades del catálogo KEV que afectan a activos expuestos públicamente y que, tras su explotación, otorgan control total del sistema deben ser corregidas en plazos muy cortos (generalmente dos semanas). Además, obliga a las agencias a verificar si el sistema fue comprometido antes de aplicar el parche. Este enfoque basado en inteligencia de amenazas es replicable en el sector privado y cada vez más recomendado por consultoras de ciberseguridad, como las que ofrece Q2BSTUDIO.

Q2BSTUDIO, como empresa de desarrollo de software y tecnología, entiende que la ciberseguridad no es un añadido opcional, sino un pilar transversal en cualquier proyecto digital. Nuestros servicios de ciberseguridad y pentesting están diseñados para ayudar a las organizaciones a identificar, priorizar y remediar vulnerabilidades de manera eficiente, integrando prácticas como el análisis de riesgos dinámico y la monitorización continua. Al igual que CISA impulsa el uso del catálogo KEV como referencia, nosotros trabajamos con nuestros clientes para alinear sus políticas de seguridad con las mejores prácticas internacionales, incluyendo la automatización de procesos de parcheo y la realización de pruebas de penetración periódicas.

Una de las lecciones clave de esta nueva tanda de vulnerabilidades es la necesidad de contar con aplicaciones a medida que incorporen controles de seguridad desde el diseño. Cuando una organización desarrolla software a medida, tiene la oportunidad de implementar validaciones de entrada, gestión segura de sesiones y arquitecturas que mitiguen ataques como las inyecciones de código o las SSRF. En Q2BSTUDIO, combinamos nuestra experiencia en desarrollo con un enfoque de seguridad por defecto, ofreciendo soluciones que no solo cumplen con los requisitos funcionales, sino que también resisten a las amenazas más actuales. Además, nuestras capacidades en servicios cloud AWS y Azure permiten desplegar entornos escalables con configuraciones de seguridad optimizadas, reduciendo la superficie de ataque.

El panorama actual también exige un cambio en la mentalidad empresarial: la ciberseguridad debe entenderse como un proceso continuo, no como un proyecto puntual. Las vulnerabilidades como las que acaba de añadir CISA demuestran que los atacantes no descansan y que los sistemas legacy, sin una gestión adecuada de parches, son objetivos fáciles. Por ello, cada vez más compañías recurren a servicios de inteligencia artificial para automatizar la detección de anomalías y la respuesta a incidentes. Los agentes IA pueden analizar en tiempo real millones de eventos de seguridad, priorizar alertas y sugerir acciones correctivas, liberando a los equipos humanos para tareas más estratégicas. En Q2BSTUDIO, integramos ia para empresas en nuestras soluciones de ciberseguridad, facilitando una defensa proactiva y adaptativa.

No podemos ignorar el papel de la inteligencia de negocio en este contexto. Las decisiones sobre priorización de parches y asignación de recursos de seguridad deben basarse en datos objetivos. Los servicios inteligencia de negocio que ofrecemos, basados en herramientas como Power BI, permiten visualizar el estado de las vulnerabilidades en la organización, el nivel de exposición y el progreso de las remediaciones. Un dashboard bien diseñado puede mostrar, por ejemplo, qué activos están expuestos públicamente y cuáles corresponden a vulnerabilidades del catálogo KEV, facilitando la toma de decisiones alineada con directivas como la BOD 26-04.

La inclusión de estas cuatro vulnerabilidades en el catálogo KEV también pone de relieve la importancia de contar con un programa de divulgación coordinada (CVD). CISA invita a cualquier persona u organización a notificar vulnerabilidades explotadas que no figuren en el catálogo, siempre que tengan un identificador CVE, evidencia de explotación y una guía de mitigación clara. Este mecanismo de colaboración es esencial para mantener actualizado el conocimiento colectivo sobre amenazas activas. En Q2BSTUDIO, apoyamos esta filosofía de transparencia y colaboración, participando en comunidades de seguridad y ayudando a nuestros clientes a establecer procesos de reporte de vulnerabilidades internos.

Para las empresas que aún no han adoptado un modelo de gestión de vulnerabilidades basado en riesgos, este anuncio de CISA debería servir como un recordatorio urgente. No se trata solo de cumplir con regulaciones, sino de proteger activos críticos y la continuidad del negocio. Las organizaciones que integran la ciberseguridad en su ADN digital, desde la fase de diseño hasta la operación, están mejor preparadas para enfrentar incidentes. Nuestro equipo en Q2BSTUDIO combina conocimientos de desarrollo, cloud, inteligencia artificial y análisis de datos para ofrecer un acompañamiento integral en este camino.

En definitiva, la adición de estas cuatro vulnerabilidades al catálogo KEV es una llamada de atención para toda la industria. La ciberseguridad no es un costo, es una inversión. La capacidad de reaccionar rápidamente ante nuevas amenazas, priorizar según el riesgo y mantener una postura de seguridad actualizada marca la diferencia entre ser víctima de un ataque o estar preparado para repelerlo. Desde Q2BSTUDIO, invitamos a las organizaciones a revisar sus estrategias de seguridad y a considerar cómo nuestras soluciones de ciberseguridad, desarrollo de software a medida y servicios cloud pueden ayudarlas a navegar este complejo entorno con confianza.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

Inteligencia artificial

Agentes de IA, chatbots y asistentes inteligentes que automatizan tareas y atienden a tus clientes 24/7 para mejorar la eficiencia de tu negocio.

Más info

Desarrollo de software

Aplicaciones web, móviles y de escritorio, intranets, e-commerce, SaaS y plataformas de gestión diseñadas para las necesidades concretas de tu empresa.

Más info

Servicios cloud

Migración, infraestructura, hosting gestionado, alta disponibilidad y seguridad en Microsoft Azure y Amazon Web Services para que tu negocio escale sin límites.

Más info

Ciberseguridad y pentesting

Auditorías de seguridad, test de intrusión (pentesting) y protección de aplicaciones, datos e infraestructura on-premise y cloud, con hacking ético y cumplimiento normativo.

Más info

Business Intelligence

Cuadros de mando y análisis de datos con Power BI: integramos tus fuentes, diseñamos dashboards y KPIs y convertimos tus datos en decisiones.

Más info

Automatización de procesos

Automatizamos tareas repetitivas y conectamos tus aplicaciones con n8n, Power Automate, Make y RPA, eliminando trabajo manual y aumentando la productividad.

Más info

Formación para empresas

Formamos a tus equipos en tecnología con criterio: desarrollo web, bases de datos, Git, buenas prácticas y seguridad, automatización con n8n, inteligencia artificial para empresas y creación de soluciones de IA con Azure AI Foundry.

Más info

Auditoría de código

Auditamos el código que creas tú, tu equipo o una IA: te decimos qué está bien y qué mejorar, lo securizamos y lo dejamos listo para producción, web o app.

Más info

Generación de imágenes con IA

Creamos por ti las imágenes que necesita tu negocio con inteligencia artificial: producto, redes, publicidad, ilustración y avatares. Tú nos dices qué quieres y te lo entregamos listo para usar.

Más info

Generación de vídeos con IA

Creamos por ti vídeos con inteligencia artificial: promocionales, para redes, presentadores virtuales, doblaje y animaciones. Nos cuentas la idea y te lo entregamos montado y listo para publicar.

Más info

Avatares conversacionales con IA

Creamos avatares conversacionales con IA —humanos digitales con cara y voz— que atienden a tus clientes y equipos con el conocimiento de tu empresa, en tu web, monitores interactivos, WhatsApp o Teams.

Más info

Marketing Online e IA

Google Ads, Meta Ads, LinkedIn Ads y posicionamiento en motores de IA (GEO/AEO): captamos clientes y hacemos que tu marca aparezca donde te buscan, también en ChatGPT, Gemini y Perplexity.

Más info

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.