BeyondTrust publicó el 6 de febrero de 2026 el aviso de seguridad BT26-02, en el que reconoce una vulnerabilidad crítica de ejecución remota de código (RCE) sin autenticación previa en dos de sus productos de acceso remoto: Remote Support (RS) y Privileged Remote Access (PRA). El fallo se identificó como CVE-2026-1731 y ha sido objeto de explotación activa, incluyendo campañas de ransomware.
Qué es la vulnerabilidad
CVE-2026-1731 es una vulnerabilidad de inyección de comandos del sistema operativo (OS command injection) localizada en el componente thin-scc-wrapper. Un atacante remoto y no autenticado puede enviar peticiones especialmente diseñadas —típicamente sobre una conexión WebSocket— para ejecutar comandos arbitrarios del sistema operativo en el contexto del usuario del servicio. Esto se traduce en un compromiso total del servidor: shell remoto, lectura de ficheros, ejecución de procesos y movimiento lateral hacia el resto de la infraestructura.
La puntuación de gravedad es de las más altas posibles: CVSS v4.0 de 9.9 (y referencias a CVSS 9.8 en NVD). El vector es de red, sin necesidad de credenciales ni de interacción del usuario, lo que la hace especialmente peligrosa para servidores expuestos a Internet.
A quién afecta
Están afectadas las versiones de Remote Support 25.3.1 y anteriores y de Privileged Remote Access 24.3.4 y anteriores. El riesgo recae sobre todo en las instancias on-premises accesibles desde Internet. Investigadores de Hacktron AI, que descubrieron el fallo mediante análisis de variantes asistido por IA, identificaron unas 8.500 instancias on-premises expuestas; telemetría posterior de Unit 42 (Palo Alto Networks) elevó la cifra a más de 16.400 instancias potencialmente vulnerables.
Estos productos se usan habitualmente en help desks, MSPs y equipos de soporte para acceder a sistemas de clientes con privilegios elevados, por lo que un compromiso puede tener efecto cascada sobre múltiples organizaciones.
Gravedad y explotación real
El fallo se explotó como zero-day desde finales de enero de 2026. El 13 de febrero de 2026, CISA lo añadió a su catálogo de vulnerabilidades explotadas conocidas (KEV) y posteriormente actualizó la entrada para activar el indicador de ransomware, confirmando su uso en operaciones de cifrado y extorsión.
Unit 42 documentó actividad en la naturaleza asociada a las familias de malware SparkRAT y VShell, con atacantes centrados en el robo de datos: en varios compromisos investigados se intentaron exfiltrar ficheros de configuración, bases de datos internas e incluso un volcado completo de PostgreSQL hacia servidores de mando y control (C2). Existe además prueba de concepto pública, lo que reduce drásticamente la barrera para la explotación masiva.
Mitigación y parche
La recomendación es actualizar de inmediato a las versiones corregidas que BeyondTrust publica en el aviso BT26-02. Como medidas adicionales:
- Restringir el acceso a las consolas RS/PRA, evitando exponerlas directamente a Internet (usar VPN, listas de control de acceso o segmentación).
- Revisar registros y conexiones WebSocket en busca de peticiones anómalas y de los indicadores de compromiso publicados por Unit 42.
- Asumir compromiso si el servidor estuvo expuesto sin parchear: rotar credenciales, revisar volcados de base de datos y buscar artefactos de SparkRAT/VShell.
Dado que se trata de una entrada del catálogo KEV de CISA con marcador de ransomware, las organizaciones bajo directiva federal deben aplicar la corrección dentro del plazo obligatorio, y el resto debería tratarla como prioridad máxima.