Zero-Day de Check Point VPN explotado por ransomware Qilin — CISA ordena parche federal antes del 11 de junio

Check Point Research confirmó el 8 de junio que una vulnerabilidad zero-day en sus productos Remote Access VPN — registrada como CVE-2026-50751 — está bajo explotación activa, con al menos un caso confirmado vinculado a un afiliado de ransomware Qilin. La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE.UU. (CISA) añadió la falla a su catálogo de vulnerabilidades explotadas conocidas (KEV) el mismo día y emitió una directiva vinculante que exige a las agencias federales estadounidenses aplicar el hotfix disponible antes del 11 de junio — una ventana de 72 horas que refleja la gravedad de la amenaza.

La vulnerabilidad es una omisión de autenticación que afecta a implementaciones de Check Point Remote Access VPN, Mobile Access y Spark Firewall configuradas para usar el protocolo de intercambio de claves obsoleto IKEv1. Un atacante que explota esta falla puede establecer una sesión VPN completamente autenticada sin poseer una contraseña de usuario válida, aprovechando un error lógico en el proceso de validación de certificados. La conexión se realiza con éxito en la capa VPN; se requiere explotación adicional posterior a la conexión para alcanzar sistemas internos, pero la omisión inicial elimina lo que debería ser el primer muro duro contra el acceso no autorizado.

Cronología y alcance

Check Point afirma que detectó actividad sospechosa por primera vez el 4 de junio de 2026, pero la evidencia forense sugiere que la explotación inicial comenzó ya el 7 de mayo. La explotación activa se intensificó a principios de junio cuando los actores de amenazas reconocieron la ventana entre el descubrimiento y la divulgación pública. A fecha del aviso del 8 de junio, se ha confirmado la explotación en unas pocas decenas de organizaciones a nivel mundial. Solo un incidente se ha atribuido de manera definitiva a actividad posterior a la compromisión por parte de un afiliado de ransomware Qilin — pero dado el ritmo operativo de Qilin y la baja barrera de explotación, es probable que esa cifra aumente.

Qilin es una operación de ransomware como servicio (RaaS) activa desde al menos 2022 y que ha aumentado significativamente su cadencia de ataques en 2025-2026. El grupo es conocido por la doble extorsión — cifrar archivos mientras también extrae datos para ejercer presión en las negociaciones de rescate. Sus afiliados atacan regularmente la infraestructura de VPN y acceso remoto como vector de acceso inicial, lo que hace de CVE-2026-50751 un ajuste natural para su manual de operaciones.

Una segunda vulnerabilidad encontrada en la misma ruta de código

Durante su investigación de CVE-2026-50751, el equipo de investigación de Check Point utilizó su plataforma de seguridad de código agentic BLAST para llevar a cabo una auditoría extendida de los componentes VPN afectados. Esa revisión sacó a la luz una segunda vulnerabilidad: CVE-2026-50752, con una puntuación CVSS de 7,4. Esta falla también reside en la ruta de código de validación de certificados IKEv1 obsoleta y podría permitir a un atacante de tipo Man-in-the-Middle interferir con las comunicaciones VPN sitio a sitio bajo configuraciones específicas. Check Point no ha observado explotación activa de CVE-2026-50752, pero la ha parcheado de forma proactiva en el mismo paquete de hotfix.

El protocolo IKEv1 fue obsoleto por la IETF en favor de IKEv2 hace años, y su presencia como causa raíz de ambas vulnerabilidades subraya un patrón recurrente en la seguridad empresarial: el soporte de protocolos obsoletos para compatibilidad con versiones anteriores se convierte en una superficie de ataque duradera. Las organizaciones que han deshabilitado IKEv1 en sus entornos Check Point no se ven afectadas por ninguno de los CVE.

Productos afectados y hotfixes

La vulnerabilidad afecta a productos Check Point configurados con Remote Access VPN o Mobile Access que aceptan conexiones IKEv1 o aceptan clientes de acceso remoto heredados sin requerir un certificado de máquina. Check Point ha lanzado hotfixes para todas las líneas de productos compatibles. BleepingComputer y SecurityWeek informan que la empresa también ha proporcionado mitigaciones para organizaciones que no puedan aplicar el parche de inmediato — principalmente deshabilitar la aceptación de clientes heredados e IKEv1 en la configuración de la puerta de enlace VPN.

Los administradores deben tratar esto como un parche de emergencia, no como un mantenimiento programado. La disponibilidad pública de una entrada KEV de CISA y la conexión confirmada con ransomware significa que es probable que el código de explotación se comparta más ampliamente en las comunidades de actores de amenazas en cuestión de días. Las organizaciones con infraestructura VPN Check Point expuesta a Internet que aún no hayan aplicado el hotfix deberían hacerlo antes del fin de semana.