Alerta crítica: falla 10.0 en Azure Bastion y 2,3 millones de ataques contra GlobalProtect

¿Qué pasó exactamente?

Microsoft reconoció la vulnerabilidad CVE-2025-49752 en Azure Bastion, clasificada como crítica (10.0), que permitiría a un atacante acceder a máquinas virtuales sin autorización.

Al mismo tiempo, distintos equipos de seguridad detectaron un aumento extremo de actividad maliciosa contra Palo Alto GlobalProtect, la VPN corporativa usada en miles de empresas. Según reportes de threat hunting, la actividad saltó de niveles normales a más de 2,3 millones de intentos maliciosos en muy poco tiempo.

Ambos incidentes están relacionados con técnicas de supply chain attack (ataque a la cadena de suministro), donde se comprometen servicios que muchas empresas utilizan a diario.

Explicado fácil: ¿qué es Azure Bastion?

Azure Bastion es una herramienta que permite conectarte a máquinas virtuales en la nube sin abrir puertos. La idea es aumentar la seguridad, pero esta falla permite que un atacante:

  • Acceda a servidores sin credenciales válidas.
  • Capture información sensible.
  • Instale malware o ransomware.

Por eso la gravedad es tan alta.

¿Y qué es GlobalProtect?

Es la VPN empresarial de Palo Alto Networks. Permite que miles de empleados se conecten a sus redes de trabajo desde cualquier lugar.

La campaña actual se basa en:

  • Escaneo masivo de IPs buscando configuraciones vulnerables.
  • Fuerza bruta para romper contraseñas débiles.
  • Explotación de versiones antiguas sin parches de seguridad.

Si GlobalProtect cae, la red interna de una empresa puede quedar expuesta.

¿Quiénes están en riesgo?

  • Empresas que usen Azure para sus servidores.
  • Profesionales que gestionen máquinas virtuales.
  • Organizaciones con empleados remotos usando GlobalProtect.
  • Pymes que dependen de servicios en la nube sin monitoreo constante.

Qué hacer ahora mismo (guía rápida)

  1. Actualizar Azure Bastion a la versión parcheada por Microsoft.
  2. Actualizar GlobalProtect a la versión más reciente.
  3. Habilitar MFA (doble factor) para accesos remotos.
  4. Revisar los logs de conexión y bloquear IPs sospechosas.
  5. Implementar contraseñas fuertes y rotarlas.
  6. Limitar accesos solo a usuarios y rangos IP necesarios.

Los parches y recomendaciones oficiales fueron publicados por Microsoft y Palo Alto Networks.

Conclusión

Nos encontramos ante una combinación peligrosa: una vulnerabilidad crítica en la nube y un ataque masivo contra VPN corporativas. No es una alerta menor: si tu empresa usa estos servicios, es importante parchear y revisar accesos cuanto antes.

Fuentes

  • Microsoft Security Advisories – CVE-2025-49752 (Azure Bastion)
  • Nopal Cyber – Reporte de actividad maliciosa contra GlobalProtect
  • CSIRT Axtel – Alerta de explotación en Azure y VPN
  • CyberSecurityNews – Vulnerabilidad crítica en Azure Bastion

👉 ¿Querés entender la base de estas amenazas?

Leé mi guía completa sobre malware y cómo protegerte:

➜ Ver guía de protección contra malware


Apoyá mi trabajo 🙌

Si te sirven mis alertas y guías,
podés invitarme un café ☕

Invitame un café

Gracias por apoyar contenido independiente 💙

Comentarios

Publicar un comentario

💬 Comentá con respeto.
No publiques datos personales ni enlaces promocionales.
Los mensajes se moderan antes de publicarse.

Entradas populares de este blog

Guía completa sobre grooming

Imagen
Grooming: guía completa para padres y para que tu hijo la lea Qué vas a encontrar: definición clara, tipos de grooming, señales para detectar, pasos concretos para actuar como padre/madre o tutor, recomendaciones directas para que los menores comprendan y una lista de dónde denunciar por país. ¿Qué es el grooming? El grooming es el proceso mediante el cual un adulto se gana la confianza de una niña, niño o adolescente con el objetivo de abusar sexualmente, explotarlo o inducirlo a producir y compartir imágenes o videos de contenido sexual. Suele comenzar con un acercamiento en redes sociales, juegos, apps o chats, y termina construyendo una relación de manipulación y control. 0 Tipos y fases del grooming (explicado simple) Contacto inicial: el agresor crea un perfil falso o se hace pasar por alguien de la misma edad para iniciar la conversación. Construcción de confianza: demuestra interés, comparte supuestos sentim...
Leer más

Extensiones de Chrome robando accesos a ChatGPT en 2026

Imagen
Extensiones de Chrome abusando de enlaces de afiliados y robando accesos a ChatGPT – alerta 2026 Investigadores de seguridad alertaron en enero 2026 sobre campañas donde extensiones aparentemente inofensivas de Google Chrome insertaban enlaces de afiliados sin permiso, redirigían compras y, en casos más graves, robaban sesiones activas de servicios como ChatGPT (incluyendo chats completos y tokens de acceso). Estas extensiones se disfrazaban de bloqueadores de anuncios, conversores de archivos o utilidades de productividad con IA (sidebars para ChatGPT, Claude, etc.), pero ejecutaban código oculto para monetizar tráfico y espiar navegación. En campañas recientes acumularon más de 900.000 instalaciones antes de ser detectadas. Punto clave: no hace falta que una extensión sea un “virus clásico”. Con permisos amplios sobre las páginas web (“leer y cambiar todos los datos en los sitios que visitas”), puede observar y modificar todo lo que hacés en el navegador. Qué descu...
Leer más

Tabnabbing: Cómo roban tus claves secuestrando pestañas

Imagen
Tabnabbing: el ataque que secuestra una pestaña del navegador ¿Qué es el tabnabbing? Tabnabbing es un tipo de ataque web cuyo nombre en inglés puede traducirse como “secuestro de pestañas del navegador” . Significado: tab = pestaña  |  nabbing = robar o secuestrar. 👉 En la práctica: una página que abriste cambia cuando no la mirás y se convierte en una falsa. El objetivo es simple: que ingreses tu contraseña creyendo que estás volviendo a un sitio legítimo como Gmail, Facebook, Instagram o tu banco. Cómo funciona el ataque El escenario típico es este: Abrís una página desconocida en una pestaña nueva. La dejás en segundo plano. Minutos después, esa página cambia automáticamente. Cuando volvés, ves un supuesto “inicio de sesión”. Ingresás tu contraseña… y se la enviás al atacante. El truco está en que **la transformación ocurre cuando no estás mirando**. Por qué engaña tan bien La pestaña mantiene el...
Leer más