En un reciente desarrollo que ha encendido las alarmas en la comunidad internacional de ciberseguridad, se ha detectado un inusual incremento en las actividades de escaneo masivo dirigidas a los portales de inicio de sesión de GlobalProtect, la solución de VPN empresarial de Palo Alto Networks. Según los expertos de GreyNoise, este fenómeno ha involucrado más de 24.000 direcciones IP únicas durante el mes de marzo de 2025, generando preocupación sobre la posibilidad de una campaña de ataques inminente o la explotación de una nueva y desconocida vulnerabilidad.
El día más crítico se registró el 17 de marzo, cuando se identificaron 20.000 IPs activas en un solo día, manteniéndose esta tendencia hasta el 26 de marzo. De las direcciones IP involucradas, GreyNoise clasifica 23.800 como sospechosas y 154 como maliciosas, sugiriendo una fase de reconocimiento previa a un posible ciberataque. Las conexiones provienen principalmente de Estados Unidos y Canadá, pero los objetivos se extienden globalmente, con una alta concentración en servidores estadounidenses vulnerables.
Bob Rudis, vicepresidente de Ciencia de Datos en GreyNoise, subrayó la existencia de un patrón recurrente durante los últimos 18 a 24 meses: campañas de reconocimiento dirigidas a tecnologías específicas que anteceden el descubrimiento de nuevas vulnerabilidades.
A pesar de que aún no se ha confirmado un fallo específico en GlobalProtect, el comportamiento actual recuerda a anteriores estrategias cibernéticas donde los atacantes cartografían activos potencialmente vulnerables. GreyNoise también destaca una actividad similar el 26 de marzo, donde un rastreador de PAN-OS implicó 2.580 IPs, indicando quizás una operación interrelacionada.
Este evento trae a la memoria la campaña de espionaje ArcaneDoor, documentada por Cisco Talos en 2024, enfocada igualmente en dispositivos perimetrales y redes empresariales. Aun sin confirmación de explotación de vulnerabilidades, Palo Alto Networks ha asegurado que monitoriza activamente la situación, destacando que la seguridad de sus clientes sigue siendo su prioridad.
Ante este escenario, GreyNoise recomienda a los administradores de sistemas de GlobalProtect varias acciones: auditar registros desde mediados de marzo para identificar escaneos o accesos sospechosos, reforzar la seguridad de los portales de inicio de sesión con autenticación multifactor, actualizar al último PAN-OS y bloquear IPs maliciosas conocidas.
La reciente oleada de escaneos contra GlobalProtect podría no ser un evento aislado, sino parte de un patrón de vigilancia preexplotación. Aunque no exista aún evidencia de un ataque activo, las organizaciones deben reaccionar proactivamente y fortalecer sus medidas de seguridad para evitar consecuencias desfavorables en el futuro cercano.
