Un grave fallo de ejecución remota (RCE) sin autenticar en BeyondTrust Remote Support (CVE-2026-1731) ha sido activamente explotado pocas horas después de la divulgación pública de un PoC, poniendo en jaque a organizaciones de todo el mundo. La rapidez de la explotación evidencia la criticidad y el alcance de la vulnerabilidad.
BeyondTrust Remote Support y Privileged Remote Access, plataformas ampliamente implementadas en empresas para la gestión remota segura, se ven amenazadas por la vulnerabilidad crítica CVE-2026-1731. El fallo fue anunciado y corregido por BeyondTrust el pasado 6 de febrero de 2026, pero la disponibilidad inmediata de un exploit público (PoC) ha desencadenado ataques masivos, reafirmando la necesidad de una respuesta proactiva.
CVE-2026-1731 permite la ejecución remota de código (RCE) sin autenticación, comprometiendo la seguridad de los sistemas con solo enviar peticiones manipuladas al servidor. Este fallo afecta tanto a BeyondTrust Remote Support como a Privileged Remote Access, productos esenciales para la administración de sesiones privilegiadas y soporte remoto. Desde la publicación del PoC, organizaciones como GreyNoise, WatchTowr y Defused han monitorizado intentos activos de explotación procedentes de múltiples IPs, algunas asociadas a operaciones persistentes de escaneo y ataques previos contra SonicWall, MOVEit, Apache y Sophos.
El impacto es elevado, dada la prevalencia de 11.000 instancias expuestas a Internet, incluidas más de 8.500 implementaciones on-premises potencialmente vulnerables. Los atacantes podrían lograr control total del sistema, eludiendo controles de acceso y comprometiendo datos sensibles, credenciales y operaciones críticas. Algunos atacantes tienen historial en el uso de fuerza bruta y credenciales por defecto para amplificar el impacto y persistencia.
Se recomienda actualizar inmediatamente BeyondTrust Remote Support y Privileged Remote Access con los parches publicados. Verificar la exposición pública de los sistemas, restringir el acceso mediante firewalls y segmentación de red, e implementar autenticación multifactor. Monitorizar los registros en busca de actividad sospechosa, escaneos y posibles compromisos, e informar de incidentes a sus equipos de respuesta ante emergencias.
La ventana de actuación frente a un PoC público en una vulnerabilidad crítica como CVE-2026-1731 es mínima. Actuar con celeridad es esencial: parchear, limitar exposición y vigilar la infraestructura remota debe ser prioritario. La colaboración y la vigilancia colectiva ayudarán a mitigar futuros incidentes en el ecosistema de acceso remoto privilegiado.
Más información
- CVE-2026-1731 (Referencia NVD): https://nvd.nist.gov/vuln/detail/CVE-2026-1731
- BeyondTrust Vulnerability Targeted by Hackers Within 24 Hours of PoC Release: https://www.securityweek.com/beyondtrust-vulnerability-targeted-by-hackers-within-24-hours-of-poc-release/
