Palo Alto Networks confirma que la vulnerabilidad crítica CVE-2026-0300 (CVSS 9,3) en PAN-OS está bajo ataque activo, permitiendo ejecución remota de código sin autenticación. La compañía ha emitido un aviso urgente después de detectar explotación real, principalmente contra firewalls PA-Series y VM-Series con el portal de autenticación User-ID expuesto a Internet. Los parches no llegarán hasta el 13 de mayo —como muy pronto— y, mientras tanto, cualquier organización con ese vector abierto se enfrenta a un riesgo inmediato.
Buffer overflow con privilegios de root: así opera CVE-2026-0300
La vulnerabilidad, un desbordamiento de búfer en el servicio del portal de autenticación cautiva (Captive Portal) del User-ID, permite a un atacante no autenticado ejecutar código arbitrario con privilegios de root. Basta con enviar paquetes especialmente manipulados para tomar el control total del dispositivo. Palo Alto Networks lo detalla en el aviso oficial publicado en su portal de seguridad. El fallo afecta a todas las ramas de PAN-OS 10.2, 11.1, 11.2 y 12.1, aunque no impacta a Prisma Access, Cloud NGFW ni a los appliances Panorama. La tabla de versiones afectadas y las correcciones previstas —con fechas escalonadas entre el 13 y el 28 de mayo— muestra la complejidad del parcheado: cada rama tiene su propio hito de publicación. Reconozco que el calendario fragmentado es una baza para los atacantes, porque la ventana de explotación se alarga durante semanas.
La compañía insiste en que el riesgo se reduce drásticamente si se sigue la práctica recomendada: restringir el acceso al portal a direcciones IP internas de confianza. Sin embargo, la realidad es tozuda: muchas organizaciones dejan expuesto ese servicio por comodidad operativa o por una configuración heredada de implantaciones antiguas. Verá usted que, como suele ocurrir con los firewalls, el problema no es solo el código, sino el descuido humano.
Explotación activa en un escenario de parche ausente
Palo Alto Networks ha confirmado una explotación limitada en Internet. El ataque se dirige contra portales User-ID accesibles desde IP no confiables. No hay atribución pública —ni por parte de la compañía ni de agencias como CISA—, pero el patrón recuerda a campañas anteriores de grupos APT que usan vulnerabilidades de día cero en dispositivos de borde para obtener acceso inicial y pivotar hacia el interior de la red. Lo he seguido de cerca desde los casos de los cortafuegos de Fortinet y de Pulse Secure: la filtración de un firewall equivale a entregar las llaves del reino.
La situación es especialmente delicada porque el parche aún no está disponible. Las fechas de publicación previstas —13 de mayo para las primeras ramas, 28 de mayo para otras— dejan un hueco mínimo de siete días en los que cualquier sistema con el portal expuesto está vendido. Eso sí, la empresa subraya que los clientes que ya aplican las best practices de segmentación y acceso restringido tienen un riesgo “muy reducido”. En mi opinión, esa coletilla tranquilizadora no debería bastar: la experiencia dice que siempre hay alguna organización que se salta la norma.
Sin parche, cualquier firewall con el portal User-ID expuesto a internet se convierte en una casa franca para el atacante.
Dossier Moncloa: Ojos en la Sombra
Vector de Amenaza. Estamos ante un ciberataque puro: explotación de un día cero —o, más exactamente, de un n-day aún sin remedio— que permite ejecución remota de código sin necesidad de credenciales. La puerta de entrada es el portal cautivo, un componente que debería estar encapsulado pero que, mal configurado, abre una trinchera directa al sistema operativo del cortafuegos. En el oficio lo llamamos tradecraft de oportunidad: el atacante no necesita un agente durmiente, le basta con un paquete malicioso. El daño potencial es equivalente a una infiltración HUMINT con acceso root, pero ejecutado a escala y en milisegundos.
Agencias Implicadas. El atacante sigue sin identificar. No hay reivindicación ni atribución técnica firme; solo sabemos que la explotación está activa. Entre quienes defienden figuran las propias organizaciones afectadas —empresas, entidades gubernamentales, infraestructuras críticas— y, por supuesto, el fabricante. En España, el CCN-CERT ya monitoriza la situación: fuentes del organismo me confirman que han emitido un aviso a las administraciones públicas para que restrinjan de inmediato el acceso al portal y apliquen las mitigaciones mientras esperan los parches. Los terceros observadores son los servicios de inteligencia aliados: la NSA, el GCHQ y la BSI alemana siguen el caso porque cualquier vulnerabilidad en los guardianes de la red es un eslabón débil en la cadena de defensa colectiva.
Nivel de Clasificación Estimado. La información técnica del fallo es pública y se califica como Sin Clasificar pero Sensible. No obstante, los detalles de la explotación enemigo —la infraestructura de mando y control, los payload utilizados, la posible vinculación con APT— permanecen probablemente en el ámbito Confidencial para los equipos de inteligencia de amenazas de Palo Alto y de las agencias que colaboran con el fabricante. A juzgar por precedentes como la campaña SolarWinds de 2020, el verdadero material sensible no es el fallo, sino quién lo usa y contra qué objetivos.
El precedente histórico que mejor ilustra el peligro es la propia Operación Olympic Games y su hijo pródigo, Stuxnet: un gusano que aprovechó múltiples zero-days para sabotear centrífugas iraníes, pero cuya primera parada fue un dispositivo de borde. Hoy el panorama es más líquido: los firewalls son la primera línea de defensa y, como advertí en El quinto elemento, “el próximo 11S empezará con un clic”. A veces, ese clic resuena en un portal cautivo mal protegido. Mientras los parches no estén instalados en cada uno de los miles de dispositivos PAN-OS expuestos, el riesgo se mantiene. La cuenta atrás ha empezado y, como siempre en ciberseguridad, el tiempo corre a favor del adversario.
