Seguir 
El año 2026 ha comenzado con una avalancha de vulnerabilidades de día cero, causando una amenaza para los defensores cibernéticos. Justo después del día cero de Microsoft Office (CVE-2026-21509) y una falla crítica en los productos de Cisco (CVE-2026-20045) que fueron explotadas repetidamente en ataques activos, Fortinet ha revelado otro problema grave, atrayendo inmediatamente la atención de los actores de amenazas.
Identificada como CVE‑2026‑24858, la falla de FortiCloud SSO permite a los atacantes que tienen una cuenta de FortiCloud y un dispositivo registrado eludir la autenticación y acceder a otros dispositivos asociados con diferentes cuentas siempre que el SSO esté activado.
En general, el Informe de Investigaciones de Violaciones de Datos de Verizon 2025 (DBIR) destaca un aumento del 34 % en la explotación de vulnerabilidades, representando el 20 % de todas las violaciones el año pasado. Notablemente, el tiempo medio para que las vulnerabilidades sean explotadas masivamente está disminuyendo, convirtiendo los días cero en una nueva normalidad ya que la explotación a gran escala frecuentemente ocurre antes de la fecha de publicación oficial de la CVE.
Únete a la Plataforma SOC Prime, el mayor centro de inteligencia de detección del mundo, que ofrece una línea completa desde la detección de amenazas hasta la simulación para mejorar tus operaciones SOC y defender proactivamente contra APTs, campañas de explotación y amenazas cibernéticas avanzadas. Haz clic Explorar Detecciones para acceder a una colección curada y con contexto enriquecido de reglas de detección que abordan la explotación de vulnerabilidades, filtradas por las etiquetas CVE relevantes.
Todas las reglas están mapeadas al último marco MITRE ATT&CK® v18.1 y son compatibles con múltiples plataformas SIEM, EDR y Data Lake. Además, cada regla se enriquece con amplios metadatos, incluyendo CTI referencias, flujos de ataque, configuraciones de auditoría, y más.
Los defensores cibernéticos también pueden usar Uncoder AI para potenciar sus flujos de trabajo de ingeniería de detección. Convierte informes de amenazas en bruto en reglas de comportamiento accionables, prueba tu lógica de detección, mapea los flujos de ataque, transforma los IOC en consultas de búsqueda o traduce instantáneamente el código de detección entre idiomas respaldado por el poder de la IA y la profunda experiencia en ciberseguridad detrás de cada paso.
Análisis de CVE-2026-24858
A finales de enero de 2026, Fortinet reveló CVE‑2026‑24858, una falla crítica en FortiOS, FortiManager y FortiAnalyzer que permite a los atacantes eludir el inicio de sesión único de FortiCloud (SSO) y acceder a dispositivos vinculados a otras cuentas. La vulnerabilidad explota una vía o canal alternativo, creando un riesgo para cualquier sistema donde el SSO esté activo.
El SSO de FortiCloud no se habilita automáticamente en nuevos dispositivos, pero se puede activar cuando los administradores registran el hardware en FortiCare a través de la GUI. A menos que se desactive manualmente la opción de registro para «Permitir inicio de sesión administrativo usando FortiCloud SSO», el SSO se activa, lo que puede exponer los dispositivos a la explotación.
La vulnerabilidad fue atacada activamente en el entorno por al menos dos cuentas maliciosas de FortiCloud, que fueron bloqueadas el 22 de enero de 2026. Para reducir el riesgo, Fortinet suspendió temporalmente el SSO de FortiCloud el 26 de enero y lo restauró al día siguiente solo en dispositivos que habían sido parcheados. Se recomienda encarecidamente a los usuarios que actualicen su firmware a la versión más reciente para continuar utilizando de manera segura la autenticación SSO. FortiWeb y FortiSwitch Manager también están siendo evaluados por preocupaciones de seguridad relacionadas.
Esta divulgación sigue una serie de ataques en los que actores de amenazas desconocidos abusaron de una «nueva vía de ataque» para eludir la autenticación de FortiCloud SSO sin credenciales. El 20 de enero de 2026, múltiples clientes de Fortinet informaron que los atacantes habían accedido a sus cortafuegos FortiGate y creado nuevas cuentas de administrador local a pesar de que los sistemas ejecutaban las actualizaciones más recientes de FortiOS. Estos dispositivos ya habían parchado CVE‑2025‑59718 y CVE‑2025‑59719, vulnerabilidades previas que permitían eludir el SSO mediante mensajes SAML especialmente diseñados en dispositivos expuestos a internet. Fortinet confirmó que estas violaciones recientes fueron causadas por el recién descubierto CVE‑2026‑24858, subrayando el riesgo continuo de eludir la autenticación en dispositivos con FortiCloud SSO activado.
Debido a su naturaleza crítica, a CVE‑2026‑24858 se le ha asignado una puntuación CVSS de 9.4 y incluido en el catálogo de Vulnerabilidades Explotadas Conocidas de CISA, con la remediación requerida para todas las agencias de la Rama Ejecutiva Federal Civil (FCEB) antes del 30 de enero de 2026.
Fortinet recomienda encarecidamente que todos los usuarios afectados actualicen inmediatamente sus dispositivos FortiOS, FortiManager y FortiAnalyzer a las versiones parcheadas más recientes y sigan los pasos de mitigación descritos en el aviso. Además, los equipos SOC pueden fortalecer sus defensas aprovechando la Plataforma de Inteligencia de Detección Nativa de AI de SOC Prime, que proporciona acceso al repositorio de contenido de detección más grande y actualizado. La plataforma permite a los equipos integrar una línea completa desde la detección hasta la simulación, orquestar flujos de trabajo utilizando lenguaje natural, y navegar por el panorama de amenazas en constante evolución mientras se mejora la seguridad a escala.
