Frenesí de Firewalls: Más de 115,000 dispositivos WatchGuard quedan completamente expuestos a ataques remotos

En una fría mañana de diciembre, administradores de TI de todo el mundo despertaron a una pesadilla: una nueva vulnerabilidad, explotada activamente, había dejado a más de 115,000 firewalls WatchGuard Firebox expuestos a ataques de ejecución remota de código (RCE). Mientras se asienta el polvo digital, comienza la carrera para parchear defensas vitales antes de que los ciberdelincuentes atraviesen las puertas.

La vulnerabilidad, identificada como CVE-2025-14733, ataca el corazón de los firewalls Firebox de WatchGuard - dispositivos en los que confían más de 250,000 pequeñas y medianas empresas en todo el mundo para defender sus redes. El error reside en el sistema operativo Fireware, afectando a las versiones 11.x en adelante, y permite a los atacantes ejecutar código malicioso de forma remota sin necesidad de credenciales válidas. El ataque requiere un esfuerzo mínimo y ninguna interacción del usuario, lo que lo convierte en un objetivo codiciado para los ciberdelincuentes.

La falla apunta específicamente a dispositivos configurados para IKEv2 VPN, un método común para acceso remoto seguro. Pero la amenaza no termina ahí: incluso después de deshabilitar configuraciones vulnerables, los firewalls pueden seguir en riesgo si ciertos ajustes de VPN de sucursal (BOVPN) permanecen activos. WatchGuard ha emitido recomendaciones urgentes, incluyendo parches, indicadores de compromiso y soluciones temporales para quienes no puedan actualizar de inmediato.

El organismo de vigilancia de seguridad Shadowserver dio la voz de alarma al detectar más de 124,000 dispositivos Firebox sin parchar aún accesibles en línea, con casi 117,500 expuestos apenas un día después de que WatchGuard publicara su solución. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) no perdió tiempo, añadiendo la vulnerabilidad a su catálogo de Vulnerabilidades Conocidas y Explotadas y exigiendo un plazo acelerado de parcheo para las agencias federales.

No es la primera vez que los firewalls de WatchGuard se encuentran en la mira de los ciberdelincuentes. En septiembre, una falla de RCE casi idéntica (CVE-2025-9242) dejó a más de 75,000 dispositivos vulnerables, y incidentes similares han provocado mandatos federales de parcheo en el pasado. Con la amplia base de clientes de WatchGuard y la dependencia de estos dispositivos para la seguridad perimetral, cada nueva falla genera ondas en la comunidad global de defensa cibernética.

Mientras las organizaciones se apresuran a parchear sus firewalls, rotar secretos y reforzar las configuraciones de VPN, el incidente sirve como un recordatorio contundente: incluso los centinelas digitales más confiables pueden convertirse en eslabones débiles si la vigilancia decae. La ventana crítica entre la divulgación y el parcheo es cuando los atacantes golpean con más fuerza - y ahora mismo, miles de puertas permanecen peligrosamente entreabiertas.

WIKICROOK

• Ejecución Remota de Código (RCE): La ejecución remota de código (RCE) ocurre cuando un atacante ejecuta su propio código en el sistema de la víctima, lo que a menudo conduce al control total o la vulneración de ese sistema.
• Firewall: Un firewall es una barrera digital que monitorea y controla el tráfico de red para proteger los sistemas internos de accesos no autorizados y amenazas cibernéticas.
• IKEv2 VPN: IKEv2 VPN es un protocolo seguro para crear túneles VPN cifrados, comúnmente utilizado en redes empresariales para acceso remoto y fuerte protección de datos.
• Indicador de Compromiso (IoC): Un indicador de compromiso (IoC) es una pista, como un archivo sospechoso o una dirección IP, que señala que un sistema puede haber sido hackeado.
• Parche: Un parche es una actualización de software lanzada para corregir vulnerabilidades de seguridad o errores en los programas, ayudando a proteger los dispositivos de amenazas cibernéticas y mejorar la estabilidad.