La Ciberseguridad y la Agencia de Infraestructura (CISA) ha emitido una directiva a las agencias del gobierno de EE. UU., exigiendo acción inmediata para asegurar sus implementaciones de Check Point Remote Access VPN y Mobile Access. Este mandato urgente sigue al descubrimiento de CVE-2026-50751, una vulnerabilidad crítica explotada activamente en ataques zero-day por afiliados del grupo de ransomware Qilin. Esta falla de seguridad permite a atacantes remotos no autenticados eludir los protocolos de autenticación, estableciendo una conexión VPN de acceso remoto en Mobile Access/SSL VPNs, Remote Access VPNs o firewalls Spark dirigidos. Crucialmente, la vulnerabilidad afecta específicamente a instancias configuradas para usar el protocolo de intercambio de claves IKEv1 obsoleto. Los sistemas afectados son aquellos donde las puertas de enlace de seguridad no requieren un certificado de máquina para las conexiones y aceptan clientes de Acceso Remoto heredados. Check Point, la firma israelí de ciberseguridad, lanzó actualizaciones de seguridad para abordar CVE-2026-50751 el lunes. La compañía señaló que la explotación comenzó el 7 de mayo y vio un aumento significativo durante el fin de semana pasado. Si bien la explotación observada se ha limitado a "unas pocas docenas" de organizaciones a nivel mundial, Check Point ha confirmado al menos un incidente directamente relacionado con la operación de Ransomware-as-a-Service (RaaS) de Qilin. Qilin ha estado muy activo, reclamando más de 400 víctimas en su sitio de filtración en la dark web desde su aparición en agosto de 2022. "Hasta la fecha, la explotación observada se ha limitado a unas pocas docenas de organizaciones objetivo a nivel mundial. Un caso involucró actividad confirmada posterior a la intrusión asociada con un afiliado de ransomware Qilin", declaró Check Point. "Se insta encarecidamente a los clientes que utilizan el protocolo de intercambio de claves IKEv1 a aplicar las actualizaciones de seguridad disponibles de inmediato". Para las organizaciones que no pueden parchear de inmediato, Check Point ha proporcionado medidas de mitigación. Estas incluyen eliminar el soporte para el cliente de acceso remoto heredado, configurar las propiedades globales para la Autenticación VPN de Acceso Remoto solo a IKEv2, habilitar IPS y descargar las firmas relevantes, y configurar la Autenticación de Certificado de Máquina como obligatoria. ## El gobierno federal tiene orden de parchear antes del 11 de junio CISA agregó ayer CVE-2026-50751 a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Esta adición exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) aseguren sus dispositivos afectados antes del 11 de junio, de acuerdo con la Directiva Operacional Vinculante (BOD) 22-01. "Este tipo de vulnerabilidad es un vector de ataque frecuente para actores cibernéticos maliciosos y representa riesgos significativos para la empresa federal", comentó CISA. La agencia además aconsejó: "Aplique las mitigaciones según las instrucciones del proveedor, siga la guía aplicable de BOD 22-01 para servicios en la nube, o descontinúe el uso del producto si las mitigaciones no están disponibles". Aunque BOD 22-01 se dirige principalmente a las agencias federales de EE. UU., CISA instó encarecidamente a todos los equipos de seguridad, incluidos los del sector privado, a implementar parches para CVE-2026-50751 y fortalecer sus redes sin demora. Esta no es la primera vez que las vulnerabilidades de Check Point atraen la atención de CISA. Hace dos años, CVE-2024-24919 en los Quantum Security Gateways de Check Point también fue señalado como explotado activamente por grupos de ransomware, específicamente vinculado a ataques de ransomware NailaoLocker.