Netcrook Logo
👤 SECPULSE
🗓️ 16 Feb 2026  

Toma silenciosa: cómo los hackers secuestraron Active Directory a través de una falla crítica en BeyondTrust

Subtítulo: Una falla devastadora en los sistemas autogestionados de BeyondTrust permite a los atacantes apoderarse de las llaves de las redes empresariales - sin necesidad de contraseñas.

En una mañana tranquila, los equipos de TI de todo el mundo despertaron ante una advertencia urgente: una sola vulnerabilidad pasada por alto en sus confiables dispositivos BeyondTrust podría significar un desastre para toda la organización. La falla - no detectada hasta ahora - estaba siendo utilizada por atacantes para tomar el control de Active Directory, el corazón digital de la identidad y el acceso empresarial. Los atacantes no necesitaban contraseñas ni conocimientos internos; solo requerían un servidor sin parches. Para algunos, la brecha ya estaba en curso.

Dentro de la cadena de ataque: del acceso inicial al administrador empresarial

Investigadores de Arctic Wolf han rastreado una sofisticada campaña de ataques que explota la recién divulgada vulnerabilidad CVE-2026-1731 en las plataformas autogestionadas de BeyondTrust Remote Support y Privileged Remote Access. Esta falla, calificada como “crítica”, permite a atacantes no autenticados inyectar comandos del sistema operativo de forma remota - sin necesidad de credenciales. Una vez dentro, los atacantes se mueven rápidamente, desplegando la herramienta de gestión remota SimpleHelp disfrazando sus binarios con nombres genéricos como “remote access.exe” y ubicándolos en el directorio ProgramData para evitar llamar la atención.

El verdadero peligro comienza tras el acceso inicial. Utilizando comandos familiares de Windows, los adversarios crean nuevas cuentas de dominio y las promueven de inmediato a los grupos de mayor privilegio: Enterprise Admins y Domain Admins. Esta maniobra les otorga control total sobre Active Directory, permitiéndoles inventariar activos de red, recopilar datos de configuración y enumerar recursos compartidos usando herramientas como AdsiSearcher. Luego, los atacantes emplean PSexec para expandir su presencia a múltiples sistemas y utilizan el kit de herramientas Impacket para el movimiento lateral, lo que les permite ampliar silenciosamente su acceso dentro de la red.

El alcance de la vulnerabilidad es amplio - afecta a todas las implementaciones autogestionadas de BeyondTrust que ejecutan Remote Support versión 25.3.1 (y anteriores) o Privileged Remote Access versión 24.3.4 (y anteriores). Mientras que los clientes en la nube de BeyondTrust quedaron protegidos automáticamente el 2 de febrero, las organizaciones autogestionadas siguen expuestas a menos que apliquen rápidamente los parches BT26-02-RS o BT26-02-PRA. Cabe destacar que las instalaciones más antiguas deben actualizarse primero a una versión compatible antes de poder aplicar el parche - un paso que muchas organizaciones pueden pasar por alto hasta que sea demasiado tarde.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha dado la voz de alarma, colocando la CVE-2026-1731 en su lista de Vulnerabilidades Conocidas Explotadas y exigiendo a las agencias federales que apliquen el parche antes de mediados de febrero de 2026. La agencia advierte que la explotación de la falla es “sin intervención” - no se requiere interacción del usuario para que los atacantes comprometan sistemas completos, roben datos sensibles o saboteen servicios.

Mitigación y perspectivas

Para cualquier organización que utilice dispositivos BeyondTrust autogestionados, el mensaje es claro: parchea ahora o arriesga una toma silenciosa. La velocidad y sofisticación de estos ataques resaltan el peligro creciente de las vulnerabilidades en la cadena de suministro y el acceso remoto. A medida que los atacantes continúan apuntando a soluciones de acceso privilegiado, los líderes de TI deben mantenerse vigilantes, mantener los sistemas actualizados y asumir que incluso las plataformas de confianza pueden convertirse en el eslabón más débil de la noche a la mañana.

WIKICROOK

  • Active Directory: Active Directory es el sistema de Microsoft para gestionar usuarios, dispositivos y permisos en redes empresariales, centralizando el acceso y los controles de seguridad.
  • Ejecución remota de código: La ejecución remota de código permite a los atacantes ejecutar comandos en tu computadora a distancia, lo que a menudo lleva a la toma total del sistema y al robo de datos.
  • Escalada de privilegios: La escalada de privilegios ocurre cuando un atacante obtiene acceso de mayor nivel, pasando de una cuenta de usuario común a privilegios de administrador en un sistema o red.
  • Movimiento lateral: El movimiento lateral es cuando los atacantes, tras vulnerar una red, se desplazan lateralmente para acceder a más sistemas o datos sensibles, ampliando su control y alcance.
  • Impacket: Impacket es un kit de herramientas de Python de código abierto para interactuar con protocolos de red, ampliamente utilizado en ciberseguridad para pruebas de penetración y ataques.
BeyondTrust Active Directory Cybersecurity
SECPULSE SECPULSE
SOC Detection Lead
← Back to news