En un alarmante desarrollo observado por la comunidad de ciberseguridad, se ha detectado un inusual aumento en los intentos de acceso a los portales de inicio de sesión de GlobalProtect, la popular solución de VPN empresarial de Palo Alto Networks. A lo largo de marzo de 2025, el equipo de investigación de GreyNoise ha registrado la participación de más de 24.000 direcciones IP únicas en esta actividad sospechosa, haciendo sonar las alarmas ante una posible campaña de ataques cibernéticos o la inminente explotación de una nueva vulnerabilidad.
El momento álgido de estos escaneos masivos se produjo el 17 de marzo, con 20.000 IPs activas en un solo día, y este volumen de actividad se mantuvo hasta el 26 de marzo. Las investigaciones de GreyNoise han clasificado 23.800 de estas IPs como «sospechosas» y 154 como «maliciosas», subrayando el potencial de un reconocimiento sistemático previo a un ataque cibernético.
Las conexiones sospechosas provienen principalmente de Estados Unidos y Canadá, aunque las organizaciones afectadas se encuentran en diversas partes del mundo, con un particular enfoque en servidores estadounidenses que permanecen expuestos a Internet. Bob Rudis, vicepresidente de Ciencia de Datos en GreyNoise, ha señalado un patrón recurrente en los últimos 18 a 24 meses: campañas de reconocimiento dirigidas a tecnologías específicas que preceden la revelación de vulnerabilidades nuevas.
Aunque aún no se ha identificado una falla específica en GlobalProtect, la comunidad de ciberseguridad no descarta la posibilidad de una antesala para futuros ataques aprovechando brechas aún desconocidas, conocidas como zero-days. GreyNoise también ha detectado actividad paralela el 26 de marzo, relacionada con un rastreador de PAN-OS que involucró a 2.580 IPs, lo cual podría ser parte de la misma operación o compartir infraestructura.
Este comportamiento recuerda a campañas de espionaje anteriores, como ArcaneDoor, la cual fue revelada por Cisco Talos en 2024 y tuvo como objetivo dispositivos perimetrales y redes empresariales. Actualmente, Palo Alto Networks no ha confirmado la explotación de ninguna vulnerabilidad específica, pero ha asegurado que están monitoreando la situación de cerca, destacando que la seguridad de sus clientes es su máxima prioridad.
En respuesta a estos eventos, GreyNoise recomienda encarecidamente a los administradores de sistemas que implementen medidas como auditar los registros de actividad desde mediados de marzo, buscar signos de compromiso en sus infraestructuras, fortalecer la configuración de los portales de inicio de sesión a través de autenticación multifactor, actualizar a la versión más reciente de PAN-OS y bloquear las IPs maliciosas conocidas.
Esta oleada de escaneos parece indicar una fase temprana de reconocimiento más que un evento aislado, sugiriendo un patrón de vigilancia repetido previo a la explotación activa de vulnerabilidades. Las organizaciones deberán adoptar una postura preventiva y reforzar sus controles de seguridad, evitando así situaciones críticas que podrían comprometer su infraestructura cibernética.
