Fortinet lanzó parches urgentes tras detectar explotación activa de una vulnerabilidad crítica en FortiClient EMS. La falla permite ejecución remota sin autenticación y ha llevado a autoridades a exigir mitigaciones inmediatas ante el riesgo para redes corporativas.
Este fin de semana Fortinet emitió actualizaciones de emergencia para corregir una vulnerabilidad crítica en su plataforma FortiClient Enterprise Management Server (EMS), luego de confirmar que está siendo explotada activamente en ataques de día cero.
La falla, identificada como CVE-2026-35616, afecta a versiones recientes del software utilizado para gestionar endpoints corporativos y presenta un alto nivel de severidad. Según la compañía, se trata de un problema de control de acceso que permite a atacantes no autenticados ejecutar código o comandos mediante solicitudes especialmente diseñadas.
“Fortinet ha observado que esta vulnerabilidad está siendo explotada en la naturaleza y urge a los clientes a instalar el hotfix”, indicó la empresa en su aviso de seguridad, junto al cual se acompaña las instrucciones para las respectivas actualizaciones en las versiones para FortiClient EMS 7.4.5 y 7.4.6.
El riesgo asociado es significativo, ya que FortiClient EMS es una herramienta central en la administración de dispositivos dentro de redes corporativas, incluyendo laptops y equipos remotos. Un compromiso de este sistema podría facilitar accesos más amplios dentro de la infraestructura de una organización.
Un reporte de la empresa de ciberseguridad “Defused”, señala que los primeros intentos de explotación se detectaron a fines de marzo (comienzos de la semana pasada), inicialmente de forma limitada, pero con un aumento progresivo en la actividad tras la divulgación del fallo y la disponibilidad del parche.
En paralelo, la organización sin fines de lucro The Shadowserver Foundation detectó unas 2 mil instancias de FortiClient EMS accesibles desde Internet alrededor del mundo. Un recuento realizado la noche de este martes para América Latina indica que hay 17 instancias accesibles en Colombia; 11 en Perú; 28 en Argentina; 78 en Brasil; 4 en Uruguay; 5 en Paraguay; 2 en Bolivia; 6 en Ecuador; 3 en Venezuela; 32 en México; 1 en Belize, El Salvador, Nicaragua y Costa Rica; 2 en Jamaica; 8 en República Dominicana; 6 en Puerto Rico; y en 11 en Chile, de las cuales 10 se concentran en Santiago y una en El Maule.
El problema ha sido clasificado como un “bypass de autenticación previo”, lo que implica que los atacantes pueden evadir los mecanismos de seguridad sin necesidad de credenciales válidas. Esta característica lo convierte en un vector especialmente atractivo para campañas automatizadas o ataques dirigidos.
Ante este escenario, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) incluyó la vulnerabilidad en su catálogo de fallas explotadas activamente (KEV) y ordenó a las agencias federales de ese país aplicar las mitigaciones correspondientes en un plazo acotado. “Este tipo de vulnerabilidad representa riesgos significativos para las organizaciones”, advirtió el organismo.
Por ahora, Fortinet ha indicado que los parches de emergencia disponibles mitigan el problema, mientras se espera una actualización completa en versiones posteriores del software. La recomendación general es aplicar las correcciones de inmediato y revisar la exposición de estos sistemas a internet.