CVE-2026-35616: El infostealer de FortiClient EMS golpea las redes empresariales

Una nueva campaña de ataques observada en mayo de 2026 está dirigida a organizaciones empresariales a través de una vulnerabilidad crítica en FortiClient Enterprise Management Server (EMS) de Fortinet. La falla, rastreada como CVE-2026-35616, permite a los atacantes eludir la autenticación por completo y ejecutar comandos administrativos sin tener credenciales válidas. El resultado es un ataque empresarial de infostealer de FortiClient EMS que alcanza a los endpoints corporativos gestionados a gran escala, poniendo en grave riesgo los datos confidenciales de empleados y de la organización.

Esto no es una intrusión limitada y dirigida. Debido a que FortiClient EMS se encuentra en el centro de la gestión de endpoints para grandes organizaciones, un solo exploit exitoso puede propagarse en cascada a todos los dispositivos que gestiona el servidor.

Lo que CVE-2026-35616 permite hacer a los atacantes dentro de las redes empresariales

FortiClient EMS está diseñado para ofrecer a los administradores de TI un control centralizado sobre las políticas de seguridad de endpoints, configuraciones de VPN y despliegues de software en toda una flota corporativa. Ese alcance administrativo es precisamente lo que hace que CVE-2026-35616 sea tan peligroso.

Al explotar la falla de omisión de autenticación, los atacantes obtienen la capacidad de hacerse pasar por actores administrativos legítimos en el servidor. Desde esa posición, pueden enviar software a los dispositivos gestionados, modificar configuraciones de endpoints y ejecutar comandos de forma remota sin activar las comprobaciones de autenticación estándar que normalmente alertarían a los equipos de seguridad. En la campaña de mayo de 2026, los atacantes utilizaron este acceso para distribuir un infostealer disfrazado de un parche legítimo de Fortinet, una capa de ingeniería social que hace que la carga maliciosa parezca un mantenimiento rutinario tanto para las defensas automatizadas como para los observadores humanos.

Fortinet lanzó revisiones que abordan la vulnerabilidad en abril de 2026 después de que se identificara que estaba siendo explotada como zero-day en entornos reales. Las organizaciones que aún no han aplicado esos parches permanecen expuestas.

Qué datos personales y de credenciales recolectan los infostealers de los dispositivos corporativos

Una vez que el infostealer se está ejecutando en un endpoint, su alcance es amplio. Los infostealers modernos están diseñados para aspirar todo lo almacenado localmente o que pase por el dispositivo: credenciales guardadas en navegadores, cookies de sesión, datos de autocompletado, contraseñas almacenadas en gestores de contraseñas, credenciales de VPN, tokens de cuentas de correo electrónico y archivos que coincidan con patrones asociados a documentos confidenciales.

En un dispositivo corporativo, esto crea un problema de privacidad agravado. Los empleados utilizan con frecuencia las máquinas de trabajo para tareas que difuminan la línea entre lo personal y lo profesional. Un solo endpoint comprometido puede proporcionar credenciales de inicio de sesión tanto para sistemas corporativos como para cuentas personales a las que el empleado haya accedido en ese dispositivo. Las cookies de sesión son especialmente perjudiciales porque permiten a los atacantes autenticarse como la víctima sin necesidad de contraseña alguna, eludiendo la autenticación multifactor en muchos casos.

El mecanismo de entrega a través de la capa de gestión empeora la situación. Dado que la carga útil llega a través de un canal administrativo de confianza, las herramientas de detección de endpoints que dependen de señales de comportamiento de la capa de usuario pueden no detectarla en la etapa de entrega inicial.

Este ataque comparte similitudes estructurales con otras campañas que utilizan canales de software de confianza como vehículos de entrega. Las tácticas de ingeniería social que disfrazan el malware como herramientas legítimas se han convertido en un tema recurrente en múltiples grupos de amenazas en 2026, lo que subraya cómo los atacantes explotan constantemente la brecha entre lo que parece legítimo y lo que realmente lo es.

Por qué los compromisos de herramientas de gestión empresarial ponen en riesgo la privacidad de los empleados a gran escala

La mayoría de las discusiones sobre filtraciones de datos se centran en la base de datos o la capa de aplicación. La campaña de FortiClient EMS pone de relieve un riesgo diferente y subestimado: el compromiso en la capa de infraestructura de gestión.

Cuando un atacante controla la herramienta que gestiona los endpoints en lugar de un solo endpoint en sí, el radio de afectación se expande drásticamente. En lugar de que se vea comprometido el dispositivo de un empleado, cada dispositivo bajo esa instancia de EMS se convierte en un objetivo potencial. Para grandes empresas, esto podría significar cientos o miles de máquinas que reciben la misma carga maliciosa en un solo envío coordinado.

Esto también crea un problema específico para la privacidad de los empleados que es distinto de una filtración tradicional de una base de datos corporativa. Los infostealers que se ejecutan en dispositivos individuales capturan datos que la propia organización puede que nunca vea o almacene de forma centralizada, incluido el historial de navegación personal, credenciales de cuentas personales y archivos guardados localmente que nunca pasaron por un servidor corporativo. Los empleados tienen poca visibilidad sobre lo que se ha recolectado de sus propias máquinas, y los procesos estándar de respuesta a incidentes corporativos suelen estar diseñados en torno a almacenes de datos centralizados en lugar de datos distribuidos en endpoints.

Lo que los empleados y equipos de TI preocupados por la privacidad deben hacer ahora mismo

Para los equipos de TI y seguridad, la prioridad inmediata es aplicar parches. Fortinet lanzó correcciones para CVE-2026-35616 en abril de 2026. Cualquier organización que ejecute FortiClient EMS y no haya aplicado esas revisiones debe tratar esto como urgente. Las organizaciones también deben auditar los registros de acceso de EMS en busca de acciones administrativas anómalas, en particular cualquier despliegue de software o cambio de configuración que no haya sido iniciado por administradores conocidos.

Más allá de la aplicación de parches, esta campaña es un recordatorio útil para revisar la segmentación entre su infraestructura de gestión y la red más amplia. Los servidores EMS no deberían ser accesibles directamente desde Internet sin controles de acceso sólidos, y las interfaces administrativas deberían requerir capas de autenticación adicionales incluso para usuarios situados internamente.

Para los empleados individuales, el panorama es más matizado. Usted tiene una visibilidad limitada de lo que se ejecuta en un dispositivo corporativo gestionado, y aún menos control sobre si su empleador ha aplicado los parches pertinentes. Algunos pasos prácticos pueden reducir su exposición personal:

  • Evite almacenar credenciales de cuentas personales en navegadores de dispositivos de trabajo. Si se ejecuta un infostealer, esas contraseñas guardadas se encuentran entre las primeras cosas que captura.
  • Utilice un dispositivo personal separado para cuentas personales siempre que sea posible, manteniendo ese tráfico completamente fuera de la infraestructura gestionada por la empresa.
  • Considere usar una VPN personal en su dispositivo de trabajo para el tráfico que quede fuera de los fines comerciales corporativos. Los ataques a la capa de gestión como este se dirigen a canales administrativos y software de endpoints; una VPN personal ejecutándose en el dispositivo añade una capa de privacidad de tráfico cifrado para su propia navegación que las campañas de infostealer distribuidas a través de EMS no pueden interceptar fácilmente a nivel de red.
  • Active llaves de seguridad de hardware o MFA resistente al phishing en sus cuentas personales más sensibles. Incluso si se capturan cookies de sesión, las cuentas protegidas por segundos factores basados en hardware son considerablemente más difíciles de acceder.

La campaña de ataque empresarial del infostealer de FortiClient EMS es un claro recordatorio de que los compromisos de la infraestructura corporativa también son eventos de privacidad personal. Aplicar parches cierra la puerta específica que abre CVE-2026-35616, pero revisar tanto la postura de seguridad de su organización como su propia higiene de datos en dispositivos gestionados es la respuesta más duradera.