Desde el 14 de noviembre de 2025, se ha identificado un incremento masivo de ataques maliciosos dirigidos a los portales VPN GlobalProtect de Palo Alto Networks, con más de 2.3 millones de sesiones consideradas hostiles (maliciosas) registradas según métricas de GreyNoise.
Los ataques se enfocan en intentos de fuerza bruta y descubrimiento de credenciales contra la URI sensible: /global-protect/login.esp. Este comportamiento está siendo explotado en plataformas PAN-OS y configuraciones de GlobalProtect VPN, con el objetivo de comprometer credenciales corporativas, obtener acceso no autorizado y pivotar hacia redes internas.
Las campañas detectadas provienen de una diversidad de IPs comprometidas, infraestructura en la nube y botnets automatizadas, lo que demuestra un patrón altamente distribuido, persistente y con capacidad de evasión de detecciones tradicionales.
Este aumento masivo coincide con la publicación de múltiples PoCs y automatizaciones para escanear y atacar portales GlobalProtect alrededor del mundo, incrementando el riesgo para organizaciones que aún no implementan endurecimiento de configuración ni autenticación robusta.
Productos afectados
| Fabricante | Producto | Componente | Plataformas/SO |
|---|---|---|---|
| Palo Alto Networks | GlobalProtect VPN | PAN-OS / portal VPN | Multiples plataformas soportadas |
Solución
Auditar los portales GlobalProtect expuestos y aplicar configuraciones seguras incluyendo autenticación multifactor.
Recomendaciones
Implementar monitoreo activo para detectar los indicadores relacionados, reforzar la configuración VPN y aplicar políticas estrictas de autenticación; se recomienda priorizar la revisión en organizaciones con elevada dependencia del acceso remoto.