Los ataques en curso aprovechan una falla en dispositivos ampliamente utilizados en la gestión del tráfico y acceso remoto, permitiendo que un atacante pueda ejecutar acciones sin autenticación previa y comprometer sistemas expuestos dentro de la infraestructura digital de las organizaciones.
Una vulnerabilidad crítica en los dispositivos NetScaler de Citrix está siendo explotada activamente, lo que ha generado amplia alerta y ha impulsado a organismos como la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) a exigir a las entidades federales en ese país a corregir la falla antes de este jueves, mientras que, desde el lanzamiento del parche el pasado 23 de marzo, Citrix ha instado a implementar la actualización disponible de manera urgente.
La falla afecta a soluciones como Citrix ADC (Application Delivery Controller) y Citrix Gateway, ampliamente utilizadas para la gestión de tráfico, balanceo de carga y acceso remoto. Debido a su rol en el perímetro de red, cualquier debilidad en estos sistemas puede tener un impacto directo en la seguridad global de una organización.
La vulnerabilidad crítica que está siendo explotada fue identificada como CVE-2026-3055 con una puntuación crítica CVSS v4.0 de 9,3 sobre 10. Esta falla permite a atacantes no autenticados ejecutar acciones sobre sistemas expuestos, lo que facilita el acceso inicial y el compromiso de dispositivos conectados a internet.
La falla se origina en una validación de entrada insuficiente que provoca una lectura excesiva de la memoria. Si se explota, un atacante remoto no autenticado podría filtrar información potencialmente confidencial de la memoria del dispositivo.
De acuerdo con Citrix, las versiones afectadas (Versiones 14.1 y 14.1-66.59 de NetScaler ADC y NetScaler Gateway, NetScaler ADC y NetScaler Gateway 13.1 anterior a 13.1-62.23 y NetScaler ADC FIPS y NDcPP anterior a la versión 13.1-37.262) solo afectan a los sistemas NetScaler configurados como proveedor de identidad SAML (SAML IDP), mientras que las configuraciones predeterminadas o estándar no se ven afectadas.
Los análisis evidenciaron actividad de reconocimiento masivo en internet, con escaneos automatizados en busca de dispositivos vulnerables. Este comportamiento suele anticipar campañas más amplias, en las que los atacantes identifican objetivos antes de ejecutar compromisos más profundos.
Como consecuencia, el pasado lunes 30 de marzo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) incluyó la falla en su catálogo de vulnerabilidades explotadas conocida (KEV), confirmando que la amenaza ha pasado rápidamente de la divulgación a la explotación activa, advirtiendo que la “falla supone riesgos significativos para las instituciones federales” de ese país, por lo cual se ordené a las organizaciones que supervisa a proteger sus dispositivos antes del jueves 2 de abril.
Además de la falla crítica, Citrix informó de otra vulnerabilidad identificada como CVE-2026-4368, que afecta el manejo de memoria en los dispositivos NetScaler y que puede ser explotada para provocar comportamientos inesperados o acceder a información del sistema. Este tipo de debilidad puede ser utilizado como complemento en una cadena de ataque, permitiendo a los actores maliciosos profundizar su acceso una vez dentro del entorno.
Citrix publicó las actualizaciones de seguridad el pasado 23 de marzo, junto con documentación técnica que detalla las versiones afectadas y las medidas necesarias para mitigar estas fallas. La compañía indicó que los sistemas deben actualizarse a versiones corregidas para evitar su explotación.
Las vulnerabilidades afectan directamente a sistemas expuestos a internet, lo que amplifica su impacto en entornos corporativos. Dado que NetScaler actúa como punto de entrada y control del tráfico, su compromiso puede derivar en acceso a aplicaciones internas, manipulación de sesiones y desplazamiento dentro de la red.