Blog de junio, 2026

Estimados compañeros:

Os informamos que se ha detectado una campaña de correos fraudulentos (phishing) con códigos QR dirigida al personal del Servicio Andaluz de Salud. El objetivo de estos mensajes es obtener de forma ilícita las credenciales corporativas (usuario y contraseña).

El aspecto del mensaje es el siguiente:

Es previsible que este tipo de intentos continúen en los próximos días, por lo que os pedimos que extreméis las precauciones. Para ello, os recordamos algunas recomendaciones básicas de seguridad ante estos casos:

  1. Analiza el contexto del mensaje. Sospecha de solicitudes urgentes o poco habituales sin contrastarlo por otras vías.
  2. Revisa siempre la dirección del remitente. Desconfía de mensajes que provengan de cuentas no corporativas o con dominios inusuales.
  3. No respondas jamás a mensajes sospechosos.
  4. No escanees códigos QR ni abras enlaces ni archivos adjuntos de remitentes desconocidos o que te generen dudas.
  5. No introduzcas tus credenciales corporativas desde enlaces o QR.
  6. Recuerda que el SAS nunca solicita contraseñas por correo ni mediante códigos QR.
  7. Accede siempre a las aplicaciones y sistemas corporativos exclusivamente desde los enlaces y sitios oficiales habituales.
  8. Avisa inmediatamente. Notifica estos mensajes fraudulentos. Consulta cómo hacerlo aquí: Consulta ayudaDIGITAL-AvisarPhishing

Muchas gracias por vuestra colaboración.



Comunicación

Dirección General de Tecnologías de la Información y Comunicaciones 

Servicio Andaluz de Salud


La Unidad de Seguridad TIC, siguiendo las indicaciones marcadas por el SOC de la Junta de Andalucía, avisa de una campaña de explotación activa asociada a vulnerabilidades en dispositivos de Check Point, que afectan al protocolo VPN IKEv1, permitiendo el acceso no autorizado.

Detalle 


La vulnerabilidad principal, explotada en ataques de día cero, identificada como  CVE-2026-50751 (puntuación CVSS: 9,3), consiste en una debilidad en el flujo lógico de la validación de certificados que permite a un atacante remoto no autenticado establecer una conexión VPN sin credenciales válidas, debido a un fallo en la lógica de validación de certificados de los módulos Remote Access y Mobile Access.

Para su explotación exitosa, se deben cumplir las siguientes condiciones:

  • El acceso remoto VPN o el acceso móvil deben estar habilitados.
  • IKEv1 debe estar habilitado para el acceso remoto.
  • Los gateways deben aceptar clientes de acceso remoto heredados.
  • Los gateways no deben requerir un certificado de máquina para las conexiones.

Asociada a la vulnerabilidad anterior se ha descubierto una segunda ( identificada como CVE-2026-50752 ) que afecta la validación de certificados en el intercambio de claves IKEv1 obsoleto y que puede ser explotada en ataques de intermediario en conexiones VPN de sitio a sitio.

Detrás de la campaña de explotación se encuentra un actor de amenazas asociado al ransomware Qilin.

Recursos Afectados


Los sistemas afectados son:

CVE-2026-50751 (explotada actualmente)

  • Check Point Mobile Access / SSL VPN
  • Remote Access VPN
  • Security Gateways: versiones R82.10 Jumbo Hotfix Take 19 o inferior; R82 Jumbo Hotfix Take 103 o inferior; R81.20 Jumbo Hotfix Take 141 o inferior; R81.10 (EOS), R81 (EOS) y R80.40 (EOS)
  • Spark Firewalls: Versiones R80.20.X (EOS), R81.10.X y R82.00.X

CVE-2026-50752

  • Security Gateways: versiones R82.10 Jumbo Hotfix Take 19 o inferior; R82 Jumbo Hotfix Take 103 o inferior; R81.20 Jumbo Hotfix Take 141 o inferior; R81.10 (EOS), R81 (EOS) y R80.40 (EOS)
  • Spark Firewalls: Versiones R80.20.X (EOS), R81.10.X y R82.00.X

Recomendaciones Actualizadas (09/06/2026)


Mitigación

1º. Solución a las vulnerabilidades:

Se recomienda actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante:

2º. Workaround a la vulnerabilidad:

En caso de no poder actualizar de forma inmediata, se recomienda aplicar las siguientes medidas de mitigación:



Debido al riesgo potencial que presentan estas vulnerabilidades, desde la USTIC rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente al fallo indicado.


Referencias




En caso de haber detectado la explotación de esta vulnerabilidad:

debes reportar el incidente de seguridad  con el código USTIC-AV1026, informando en el área personal de ayudaDIGITAL: Asesoramiento vulnerabilidad en seguridad


Para cualquier otra duda o consulta al respecto, podéis contactar con ustic.dgtic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Dirección General de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

Ya está aquí la edición de mayo de 2026 del informe mensual sobre Ciberseguridad, dirigida a los profesionales de la DGTIC. Este informe ofrece un resumen de las noticias más relevantes acontecidas durante el último mes en materia de ciberseguridad que pueden afectar a nuestra organización, como ciberataques a centros sanitarios y otras entidades públicas, cambios legislativos, incidentes de seguridad, filtraciones, vulnerabilidades en sistemas, avisos, alertas y recomendaciones de buenas prácticas.

En esta publicación se incluyen los Informes DarkWeb-Landscape del CCN-CERT correspondientes al período, un análisis sobre los grupos turcos de cibercrimen (Wolf) y una presentación detallada del perfil profesional del Cybersecurity Researcher (CSR).

Como siempre os recordamos, para recibir este informe es necesario suscribirse a nuestro blog de la USTIC. Comparte esta información con otros compañeros que pueda interesarles para que lleguemos a cuanta más gente, mejor.

Muchas gracias por tu atención.


Unidad de Seguridad TIC

Dirección General de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud