Aumento masivo de ataques contra portales GlobalProtect de Palo Alto Networks

ciberseguridad
Empresas
Administración pública
Vulnerabilidades
Nivel de alerta
Alto

Se ha detectado un incremento repentino y sostenido de ataques dirigidos a los portales VPN GlobalProtect de Palo Alto Networks.


Según fuentes de inteligencia de amenazas, desde el 14 de noviembre se han registrado más de 2,3 millones de sesiones maliciosas, centradas principalmente en intentos de fuerza bruta sobre credenciales de acceso.

Los ataques se concentran en la ruta:

/global-protect/login.esp

Este aumento representa un incremento de hasta 40 veces en 24 horas, alcanzando el nivel de actividad maliciosa más alto observado en los últimos meses.

Impacto

Si los atacantes logran éxito en los intentos de autenticación:

  • podría producirse acceso no autorizado a redes corporativas,
  • riesgo de movimiento lateral,
  • robo de información sensible,
  • despliegue potencial de malware o ransomware,
  • interrupción de servicios críticos.

Este tipo de ataques afecta especialmente a organizaciones que no cuentan con mecanismos de autenticación reforzada o con políticas estrictas de bloqueo de cuentas.

Severidad

ALTA

Motivos:

  • actividad en curso,
  • volumen masivo,
  • riesgo directo sobre accesos corporativos,
  • explotación de un vector ampliamente utilizado para acceso remoto.

 

Recomendaciones inmediatas

  1. Activar o reforzar MFA (si no está habilitado).
  2. Aplicar límites de intentos de acceso y bloqueos temporales por fallos repetidos.
  3. Monitorizar logs de GlobalProtect y del firewall en busca de intentos fallidos continuados.
  4. Restringir acceso a la URL del portal desde ubicaciones geográficas o IPs no necesarias.
  5. Implementar reglas de rate limiting o mecanismos anti-fuerza bruta.
  6. Revisar la configuración de seguridad de Palo Alto PAN-OS y GlobalProtect.
  7. Comprobar el estado de las credenciales utilizadas en accesos remotos y forzar cambios si es necesario.

 

El aumento de ataques contra GlobalProtect constituye una amenaza relevante para la seguridad de los sistemas de acceso remoto. Las organizaciones deben reforzar de inmediato sus medidas de autenticación y monitorización para evitar compromisos que puedan derivar en accesos no autorizados a redes corporativas.