La Unidad de Seguridad TIC, siguiendo las indicaciones marcadas por el SOC de la Junta de Andalucía, avisa de una campaña de explotación activa asociada a vulnerabilidades en dispositivos de Check Point, que afectan al protocolo VPN IKEv1, permitiendo el acceso no autorizado.

Detalle 

La vulnerabilidad principal, explotada en ataques de día cero, identificada como  CVE-2026-50751 (puntuación CVSS: 9,3), consiste en una debilidad en el flujo lógico de la validación de certificados que permite a un atacante remoto no autenticado establecer una conexión VPN sin credenciales válidas, debido a un fallo en la lógica de validación de certificados de los módulos Remote Access y Mobile Access.

Para su explotación exitosa, se deben cumplir las siguientes condiciones:

• El acceso remoto VPN o el acceso móvil deben estar habilitados.
• IKEv1 debe estar habilitado para el acceso remoto.
• Los gateways deben aceptar clientes de acceso remoto heredados.
• Los gateways no deben requerir un certificado de máquina para las conexiones.

Asociada a la vulnerabilidad anterior se ha descubierto una segunda ( identificada como CVE-2026-50752 ) que afecta la validación de certificados en el intercambio de claves IKEv1 obsoleto y que puede ser explotada en ataques de intermediario en conexiones VPN de sitio a sitio.

Detrás de la campaña de explotación se encuentra un actor de amenazas asociado al ransomware Qilin.

Recursos Afectados

Los sistemas afectados son:

CVE-2026-50751 (explotada actualmente)

• Check Point Mobile Access / SSL VPN
• Remote Access VPN
• Security Gateways: versiones R82.10 Jumbo Hotfix Take 19 o inferior; R82 Jumbo Hotfix Take 103 o inferior; R81.20 Jumbo Hotfix Take 141 o inferior; R81.10 (EOS), R81 (EOS) y R80.40 (EOS)
• Spark Firewalls: Versiones R80.20.X (EOS), R81.10.X y R82.00.X

CVE-2026-50752

• Security Gateways: versiones R82.10 Jumbo Hotfix Take 19 o inferior; R82 Jumbo Hotfix Take 103 o inferior; R81.20 Jumbo Hotfix Take 141 o inferior; R81.10 (EOS), R81 (EOS) y R80.40 (EOS)
• Spark Firewalls: Versiones R80.20.X (EOS), R81.10.X y R82.00.X

Recomendaciones Actualizadas (09/06/2026)

Mitigación

1º. Solución a las vulnerabilidades:

Se recomienda actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante:

• https://support.checkpoint.com/results/sk/sk185033
• https://support.checkpoint.com/results/sk/sk185035

2º. Workaround a la vulnerabilidad:

En caso de no poder actualizar de forma inmediata, se recomienda aplicar las siguientes medidas de mitigación:

• https://support.checkpoint.com/results/sk/sk185033
• https://support.checkpoint.com/results/sk/sk185035

Debido al riesgo potencial que presentan estas vulnerabilidades, desde la USTIC rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente al fallo indicado.

Referencias

• Aviso de Check Point: https://blog.checkpoint.com/security/check-point-releases-important-hotfix-for-vulnerabilities-in-deprecated-ikev1-vpn-protocol/amp/
• CVE‑2026‑50751: https://www.cve.org/CVERecord?id=CVE-2026-50751
• CVE‑2026‑50752: https://www.cve.org/CVERecord?id=CVE-2026-50752

En caso de haber detectado la explotación de esta vulnerabilidad:

debes reportar el incidente de seguridad  con el código USTIC-AV1026, informando en el área personal de ayudaDIGITAL: Asesoramiento vulnerabilidad en seguridad

Para cualquier otra duda o consulta al respecto, podéis contactar con ustic.dgtic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Dirección General de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

Ya está aquí la edición de mayo de 2026 del informe mensual sobre Ciberseguridad, dirigida a los profesionales de la DGTIC. Este informe ofrece un resumen de las noticias más relevantes acontecidas durante el último mes en materia de ciberseguridad que pueden afectar a nuestra organización, como ciberataques a centros sanitarios y otras entidades públicas, cambios legislativos, incidentes de seguridad, filtraciones, vulnerabilidades en sistemas, avisos, alertas y recomendaciones de buenas prácticas.

En esta publicación se incluyen los Informes DarkWeb-Landscape del CCN-CERT correspondientes al período, un análisis sobre los grupos turcos de cibercrimen (Wolf) y una presentación detallada del perfil profesional del Cybersecurity Researcher (CSR).

Como siempre os recordamos, para recibir este informe es necesario suscribirse a nuestro blog de la USTIC. Comparte esta información con otros compañeros que pueda interesarles para que lleguemos a cuanta más gente, mejor.

Muchas gracias por tu atención.

Unidad de Seguridad TIC

Dirección General de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

Estimados compañeros, 

Os informamos que en los últimos días se están detectando varias campañas de correos electrónicos maliciosos de tipo phishing dirigidas a los profesionales del SAS, cuyo objetivo es obtener de forma fraudulenta datos personales y credenciales de acceso (usuario y contraseña) a los sistemas informáticos.

Estos correos pueden presentarse bajo distintas apariencias. En algunos casos, suplantan la identidad de organismos oficiales e invitan a escanear un código QR para acceder a supuestos documentos urgentes (como notificaciones judiciales o requerimientos). En otros, incluyen falsas solicitudes de información personal.

A continuación, podéis ver algunos ejemplos de los correos recibidos:

Imagen 1. Correo malicioso solicitando información personal

Imagen 2. Correo electrónico fraudulento con QR

Imagen 3. Otro correo de phishing con QR recibido

Es previsible que este tipo de intentos continúen en los próximos días, por lo que os pedimos que extreméis las precauciones. Para ello, os recordamos algunas recomendaciones básicas de seguridad ante estos casos:

1. Analiza el contexto del mensaje. Sospecha de solicitudes urgentes o poco habituales sin contrastarlo por otras vías.
2. Revisa siempre la dirección del remitente. Desconfía de mensajes que provengan de cuentas no corporativas o con dominios inusuales.
3. No respondas jamás a mensajes sospechosos.
4. No escanees códigos QR ni abras enlaces ni archivos adjuntos de remitentes desconocidos o que te generen dudas.
5. No introduzcas tus credenciales corporativas desde enlaces o QR.
6. Recuerda que el SAS nunca solicita contraseñas por correo ni mediante códigos QR.
7. Accede siempre a las aplicaciones y sistemas corporativos exclusivamente desde los enlaces y sitios oficiales habituales.
8. Avisa inmediatamente. Notifica estos mensajes fraudulentos. Consulta cómo hacerlo aquí: Consulta ayudaDIGITAL-AvisarPhishing

Muchas gracias por vuestra colaboración.

Comunicación

Dirección General de Tecnologías de la Información y Comunicaciones 

Servicio Andaluz de Salud

Estimados compañeros:

Os informamos de que en las últimas horas se están recibiendo correos electrónicos maliciosos (phishing), cuyo único objetivo es obtener de manera fraudulenta tu cuenta de correo profesional y tu contraseña.

El aspecto del mensaje es el siguiente:

Imagen 1. Correo electrónico malicioso recibido

Para minimizar riesgos, os recordamos algunas recomendaciones básicas de seguridad ante estos casos:

1. Revisa siempre la dirección del remitente. Desconfía de mensajes que provengan de cuentas no corporativas o con dominios sospechosos.
2. Analiza el contexto del mensaje. Si recibes un correo inesperado, con solicitudes poco habituales o urgentes, no lo ejecutes sin contrastarlo por otras vías.
3. No respondas jamás a mensajes sospechosos.
4. No abras enlaces ni archivos adjuntos de remitentes desconocidos o que te generen dudas.
5. Avisa inmediatamente. Tienes dos vías complementarias:

1. Correo: incidentes.soc@juntadeandalucia.es
2. Teléfono: 955 060 974

             Más información sobre cómo hacerlo: Consulta ayudaDIGITAL Correo Phishing

Muchas gracias por vuestra colaboración.

Unidad de Seguridad TIC

Dirección General de Tecnologías de la Información y Comunicaciones 

Servicio Andaluz de Salud

Estimados compañeros, 

Os informamos que se ha detectado una campaña de correos electrónicos fraudulentos dirigida al personal del Servicio Andaluz de Salud, que simula avisos oficiales sobre Diraya y SARAC e incluyen códigos QR con el objetivo de obtener credenciales de forma ilícita.

El aspecto del mensaje es el siguiente:

Imagen 1. Correo electrónico malicioso con QR recibido

El código QR te conduce a una página web maliciosa que suplanta a SARAC, donde solicitan tus datos.

Para minimizar riesgos, os recordamos algunas recomendaciones básicas de seguridad ante estos casos:

1. Analiza el contexto del mensaje. Sospecha de solicitudes urgentes o poco habituales sin contrastarlo por otras vías.
2. No escanees códigos QR recibidos por correo electrónico.
3. No introduzcas tus credenciales corporativas desde enlaces o QR.
4. Recuerda que el SAS nunca solicita contraseñas por correo ni mediante códigos QR.
5. Accede siempre a las aplicaciones y sistemas corporativos exclusivamente desde los enlaces y sitios oficiales habituales.
6. Avisa inmediatamente. Tienes dos vías complementarias:

1. Correo: incidentes.soc@juntadeandalucia.es
2. Teléfono: 955 060 974

Más información sobre cómo hacerlo: Consulta ayudaDIGITAL Correo Phishing

Muchas gracias por vuestra colaboración.

Comunicación

Dirección General de Tecnologías de la Información y Comunicaciones 

Servicio Andaluz de Salud

Estimados compañeros, 

Os informamos que se ha detectado una campaña de correos electrónicos fraudulentos (phishing) que suplanta a organismos oficiales y solicitan escanear un código QR para acceder a supuestos documentos urgentes (notificaciones judiciales, requerimientos, etc.).

El único objetivo es obtener de manera fraudulenta tus datos personales y credenciales de acceso (usuario y contraseña) a los sistemas informáticos de la Junta de Andalucía.

El aspecto que presentan los correos recibidos es el siguiente:

Imagen 1. Correo electrónico malicioso recibido

Para minimizar riesgos, os recordamos algunas recomendaciones básicas de seguridad al revisar cualquier e-mail:

1. Revisa siempre la dirección del remitente. Desconfía de mensajes que provengan de cuentas no corporativas o con dominios sospechosos.
2. Analiza el contexto del mensaje. Si recibes un correo inesperado, con solicitudes poco habituales o urgentes, no lo ejecutes sin contrastarlo por otras vías.
3. No escanees códigos QR ni abras enlaces ni archivos adjuntos de remitentes desconocidos o que te generen dudas.
4. No respondas jamás a mensajes sospechosos.

1. Avisa inmediatamente. Tienes dos vías complementarias:

1. Correo: incidentes.soc@juntadeandalucia.es
2. Teléfono: 955 060 974

 Hemos publicado esta información en el portal ayudaDIGITAL, destinada a profesionales del SAS, por si os interesa para enviar a perfiles asistenciales. 

Muchas gracias por vuestra atención.

Comunicación

Dirección General de Tecnologías de la Información y Comunicaciones 

Servicio Andaluz de Salud