CVE-2026-35616: FortiClient EMS explotado mediante parches falsos para distribuir el infostealer EKZ

Una vulnerabilidad crítica en FortiClient Endpoint Management Server de Fortinet está siendo activamente explotada en entornos reales. Identificada como CVE-2026-35616, la falla está siendo utilizada por actores de amenazas para desplegar el malware infostealer EKZ mediante un método particularmente engañoso: un parche de software falso. La campaña de robo de credenciales a través de la vulnerabilidad de FortiClient EMS apunta a organizaciones que dependen de la gestión centralizada de endpoints, convirtiendo su propia infraestructura de seguridad en un vector de ataque.

Para los equipos de TI y seguridad que administran fuerzas laborales distribuidas o remotas, esta no es una amenaza abstracta. La cadena de ataque está diseñada para parecer legítima, lo que la hace especialmente peligrosa.

Cómo se está explotando CVE-2026-35616 en entornos reales

CVE-2026-35616 tiene una puntuación CVSS de 9.1 y permite la omisión de la autenticación previa y la escalada de privilegios dentro de FortiClient EMS. En términos prácticos, los atacantes pueden acceder al servidor de gestión sin credenciales válidas y ejecutar comandos con niveles de privilegio elevados.

Lo que diferencia esta campaña de un intento de explotación típico es la capa de ingeniería social que la envuelve. Los actores de amenazas están distribuyendo un parche falso disfrazado de actualización legítima para el software afectado. Cuando un administrador o un endpoint gestionado procesa este parche fraudulento, ejecuta silenciosamente comandos maliciosos de PowerShell en segundo plano. La víctima ve lo que parece una actualización normal; el atacante consigue un punto de apoyo.

Fortinet emitió parches urgentes en abril después de confirmar que la vulnerabilidad había sido explotada como una vulnerabilidad de día cero, lo que significa que los ataques ya estaban en marcha antes de que hubiera una solución disponible. Las organizaciones que no hayan aplicado esos parches siguen expuestas, pero incluso los entornos parcheados pueden estar en riesgo si el señuelo del parche falso ya se había entregado antes de la corrección.

Qué roba el infostealer EKZ y quién está en riesgo

Una vez que se ejecutan los comandos maliciosos de PowerShell, el infostealer EKZ se despliega en el endpoint comprometido. Su objetivo principal es la recolección de credenciales. El malware se dirige específicamente a las credenciales almacenadas en los navegadores, incluidos nombres de usuario y contraseñas guardados en los navegadores más comunes, junto con otros datos sensibles accesibles en la máquina gestionada.

Dado que FortiClient EMS está diseñado para gestionar endpoints en toda la organización desde una sola consola, un compromiso exitoso no afecta solo a una máquina. Los atacantes que obtienen acceso a través del servidor EMS pueden alcanzar potencialmente todos los endpoints bajo su paraguas de gestión. Esto hace que el radio de afectación de un solo evento de explotación sea significativamente mayor que el compromiso de un dispositivo aislado.

Las organizaciones más directamente expuestas son aquellas que utilizan FortiClient EMS para gestionar fuerzas laborales remotas o híbridas, donde los endpoints están distribuidos en redes domésticas, sucursales y otros entornos fuera del perímetro corporativo tradicional. Los trabajadores remotos a menudo almacenan credenciales en los navegadores por comodidad, lo que convierte esos endpoints en objetivos de alto valor para los infostealers.

Por qué las herramientas de seguridad de endpoints por sí solas no son suficientes para equipos remotos

Hay una dolorosa ironía incrustada en esta campaña. FortiClient es en sí mismo un producto de seguridad para endpoints, y su servidor de gestión ahora está siendo utilizado como mecanismo de distribución de malware. Esto subraya un principio más amplio que los equipos de seguridad a menudo reconocen en teoría pero les cuesta poner en práctica: ninguna herramienta de seguridad es suficiente por sí sola.

Las plataformas de seguridad de endpoints son componentes valiosos de una estrategia de defensa, pero también son software, y el software tiene vulnerabilidades. Cuando una herramienta de gestión centralizada se ve comprometida, puede neutralizar las protecciones que se suponía debía aplicar. Los atacantes entienden esto, razón por la cual las interfaces de gestión y la infraestructura de seguridad se han convertido en objetivos de alta prioridad.

Para los equipos remotos en particular, la superficie de ataque se extiende mucho más allá del dispositivo gestionado. El tráfico de red, la transmisión de credenciales y los flujos de autenticación pasan por entornos que la organización no controla por completo. Los controles en capas, incluidas protecciones a nivel de red, políticas de acceso de confianza cero y prácticas sólidas de higiene de credenciales, son complementos necesarios de las herramientas de seguridad de endpoints, no extras opcionales.

El método de entrega del parche falso utilizado en esta campaña también destaca cómo se puede explotar el propio proceso de actualización. Si los empleados o administradores están condicionados a instalar parches bajo demanda, los atacantes pueden instrumentalizar ese comportamiento. Verificar la autenticidad de los parches a través de los canales oficiales del proveedor antes de la instalación es un paso crítico que esta campaña intenta eludir específicamente.

Cómo proteger su organización contra ataques de parches falsos e infostealers

Para las organizaciones que utilizan FortiClient EMS, la prioridad inmediata es aplicar los parches oficiales de Fortinet únicamente a través de canales de actualización verificados. No confíe en avisos o enlaces enviados por correo electrónico, chat o interfaces desconocidas.

Más allá del parche inmediato, estos son pasos concretos que vale la pena priorizar:

  • Auditar los endpoints gestionados en busca de signos de compromiso. Busque eventos inesperados de ejecución de PowerShell, conexiones salientes inusuales o evidencia de actividad de extracción de credenciales en los almacenes de datos de los navegadores.
  • Restringir el acceso al servidor de gestión. FortiClient EMS no debe estar expuesto a la Internet pública sin controles de acceso estrictos. Limite quién puede acceder a la interfaz de gestión y desde dónde.
  • Aplicar la autenticación multifactor en todos los puntos de acceso remoto. Las credenciales robadas de los navegadores son más peligrosas cuando proporcionan acceso directo a los sistemas corporativos. La MFA rompe esa cadena.
  • Educar a los administradores sobre las tácticas de parches falsos. Los ataques de ingeniería social dirigidos al personal de TI son cada vez más comunes. Los equipos que entienden la táctica tienen menos probabilidades de caer en ella.
  • Evaluar controles a nivel de red para endpoints remotos. Las herramientas que cifran y autentican el tráfico de los dispositivos remotos añaden una capa de protección que complementa la seguridad de endpoints, particularmente cuando la propia herramienta de seguridad de endpoints se ve comprometida.

La campaña CVE-2026-35616 es un recordatorio de que entender la diferencia entre una vulnerabilidad parcheada y una amenaza completamente mitigada es importante. Incluso después de aplicar los parches, las organizaciones deben investigar si el señuelo del parche falso ya podría haberse ejecutado en su entorno. El momento de aplicación del parche y los controles complementarios son ambos parte de la ecuación, razón por la cual los marcos de seguridad tratan cada vez más la protección de endpoints como una capa entre muchas, en lugar de una solución independiente.

Si su organización gestiona una fuerza laboral remota, ahora es un buen momento para auditar no solo su implementación de FortiClient EMS, sino también su estrategia de seguridad en capas más amplia. Identificar brechas antes de que la próxima campaña las explote es una posición mucho mejor que responder después de que las credenciales ya hayan sido robadas.