← Alertas
Otro En monitoreo

Falla activa en FortiClient permite robo silencioso de credenciales corporativas

Una vulnerabilidad en FortiClient Enterprise Management Server (CVE-2026-35616) permite a atacantes entrar sin autenticación y desplegar un programa que extrae credenciales almacenadas en el sistema. FortiClient es una solución de seguridad de red usada en miles de empresas medianas. Si está presente en tu organización, el riesgo es activo.

2026-05-28 · BleepingComputer

Contexto

FortiClient EMS es el servidor que centraliza la gestión de las conexiones seguras de los empleados a la red corporativa. Una vulnerabilidad de autenticación —es decir, una falla que permite entrar sin usuario ni contraseña— en ese servidor da acceso directo al sistema de control. Una vez adentro, los atacantes instalan EKZ, un programa de robo de credenciales que extrae nombres de usuario y contraseñas almacenados en el equipo. El proceso ocurre en segundo plano sin señales visibles para el usuario.

Impacto potencial

Las credenciales robadas dan acceso a todos los sistemas que el empleado puede usar: correo, aplicaciones de negocio, banca corporativa, plataformas de proveedores. Si las mismas credenciales se usan en varios sistemas —práctica común en empresas sin políticas claras de contraseñas— el alcance del compromiso puede ser total. El robo de credenciales no genera alertas inmediatas: el daño se descubre semanas después, cuando el atacante ya operó.

Recomendaciones

Si tu empresa usa FortiClient o productos Fortinet para la conexión remota de empleados, solicita a tu proveedor de TI que confirme si FortiClient EMS está instalado y si ya se aplicó el parche para CVE-2026-35616. Necesitas la versión actualizada y la fecha de aplicación por escrito, no una promesa general.

Si no sabes si usas FortiClient, busca ese nombre en los equipos de trabajo o pregunta a quien preste el soporte técnico. Identificar qué hay instalado es el primer paso para saber si estás expuesto.

Leer fuente original →