vulnerabilidad critica en watchguard mas de 73 000 dispositivos siguen expuestos sin parche

Vulnerabilidad crítica en WatchGuard: más de 73.000 dispositivos siguen expuestos sin parche

PorCarlos Ribeiro

Tenemos un problema serio entre manos. En pleno 2025, más de 73.000 dispositivos WatchGuard Firebox siguen sin actualizar frente a una vulnerabilidad crítica que permite a atacantes ejecutar código de forma remota sin necesidad de autenticarse. Y no, no es una exageración: hablamos de firewalls corporativos que deberían estar protegiendo redes empresariales y que ahora son la puerta de entrada perfecta para un atacante.

¿Qué está pasando exactamente?

La vulnerabilidad, catalogada como CVE-2025-9242 con una puntuación CVSS de 9.3 (casi el máximo de 10), afecta al proceso ‘iked’ en múltiples versiones del sistema operativo Fireware que ejecutan estos dispositivos. En términos más claros: existe un fallo de escritura fuera de límites que puede ser explotado remotamente.

Lo preocupante es que este problema afecta a componentes que típicamente están expuestos a internet, específicamente:

  • VPN de usuario móvil que utiliza el protocolo IKEv2
  • VPN de oficina sucursal configurada con IKEv2 y un par de puerta de enlace dinámica

Un problema más extendido de lo que parece

WatchGuard lanzó los parches correspondientes a mediados de septiembre con las versiones Fireware OS 2025.1.1, 12.11.4, 12.5.13 y 12.3.1_Update3. Sin embargo, según datos de The Shadowserver Foundation, un mes después de la disponibilidad del parche, más de 73.800 dispositivos siguen siendo vulnerables.

La distribución geográfica del problema es bastante amplia:

  • 24.000 dispositivos vulnerables en Estados Unidos
  • 7.000 en Alemania
  • 6.500 en Italia
  • 5.300 en Reino Unido
  • 3.900 en Canadá
  • El resto distribuidos en más de 100 países

Y sí, España también figura en esa lista, aunque con cifras menos alarmantes.

¿Por qué no se están actualizando los dispositivos?

La pregunta del millón. WatchGuard tiene más de 250.000 clientes entre pequeñas y medianas empresas, lo que implica un parque de dispositivos enorme. Que casi un tercio sigan sin actualizar un mes después nos habla de varios posibles escenarios:

Falta de recursos técnicos

Muchas pymes no cuentan con personal de TI dedicado o con conocimientos suficientes para gestionar actualizaciones críticas. Un firewall no es como actualizar Windows: requiere planificación, ventanas de mantenimiento y, a veces, reconfiguraciones posteriores.

Miedo a la interrupción del servicio

«Si funciona, no lo toques». Esta mentalidad sigue muy presente en entornos empresariales donde cualquier caída del servicio puede suponer pérdidas económicas. Muchos administradores prefieren arriesgarse con la vulnerabilidad antes que provocar una interrupción.

Desconocimiento del riesgo real

A diferencia de un ataque zero-day que aparece en todos los medios, las actualizaciones post-descubrimiento no siempre reciben la misma atención. Muchas organizaciones simplemente desconocen que sus dispositivos están en riesgo.

El peligro que supone no actualizar

Lo que me preocupa es que estamos hablando de dispositivos de seguridad perimetral, literalmente la primera línea de defensa de cualquier organización. Un firewall comprometido no solo expone todos los sistemas internos, sino que además:

  1. Puede utilizarse como punto de entrada para ransomware
  2. Permite interceptar todo el tráfico de la organización
  3. Facilita movimientos laterales hacia otros sistemas críticos
  4. Puede convertirse en parte de una botnet para atacar a terceros

Y no olvidemos que este tipo de vulnerabilidades suelen terminar con exploits públicos disponibles para cualquiera en cuestión de semanas.

Un escenario preocupante

Lo que más me alarma de esta situación es que, como señala WatchGuard en su aviso, incluso dispositivos que ya no tienen configuradas las VPN problemáticas podrían seguir siendo vulnerables si mantienen ciertos tipos de configuración. Es decir, algunos administradores podrían creer erróneamente que no están afectados.

Lecciones que debemos aprender

No es la primera vez que vemos vulnerabilidades críticas en dispositivos de seguridad. El caso de los firewalls Fortinet en 2023 o los problemas con Cisco ASA en años anteriores nos muestran que este patrón se repite una y otra vez.

Las organizaciones necesitan:

  1. Implementar procesos de gestión de parches más ágiles
  2. Contar con sistemas de monitorización que detecten dispositivos vulnerables
  3. Establecer políticas claras de actualización para infraestructura crítica
  4. Evaluar alternativas de seguridad en profundidad que mitiguen el impacto de un perímetro comprometido

En un mundo donde los atacantes son cada vez más sofisticados, no actualizar un dispositivo crítico de seguridad es casi una invitación al desastre.

Si tienes un WatchGuard Firebox en tu organización, te recomiendo revisar urgentemente su versión y planificar la actualización lo antes posible. El coste de un incidente de seguridad siempre será mayor que el de una actualización planificada.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *