El Cerebro de tu Gestión de Endpoints en Manos Enemigas
Quest KACE Systems Management Appliance sufre un colapso arquitectónico de autenticación que permite a atacantes remotos obtener sesiones administrativas legítimas sin credenciales válidas. Con CVSS 10.0 y explotación activa confirmada por CISA, cada instancia KACE comprometida se convierte en una puerta trasera hacia toda la infraestructura de endpoints corporativos.

Qué Pasó: Colapso Total de Autenticación Administrativa
CVE-2025-32975 expone una falla crítica de autenticación impropia en Quest KACE Systems Management Appliance que permite a atacantes remotos suplantaretrospectivamente usuarios administrativos sin poseer credenciales válidas. El producto Quest KACE SMA funciona como el cerebro centralizador de gestión de endpoints corporativos, controlando inventarios de activos, distribución de parches, configuraciones de software y acceso remoto a estaciones de trabajo críticas. La vulnerabilidad fue agregada al catálogo CISA KEV el 20 de abril de 2026, confirmando explotación activa en entornos de producción.
La superficie de ataque abarca organizaciones que dependen de KACE SMA para administrar infraestructuras híbridas, desde sectores financieros hasta manufactura e instituciones gubernamentales. Quest ha liberado un parche crítico disponible en su base de conocimiento KB 4379499, pero la ventana de exposición permanece abierta mientras las organizaciones evalúan el impacto operacional del reinicio requerido del appliance.
Puntuación máxima
Ventana crítica
Nivel de acceso
Complejidad
KACE SMA comprometido hereda control administrativo completo sobre inventarios de activos, credenciales de Active Directory, datos de usuarios finales y capacidades de ejecución remota en toda la red corporativa.
Por Qué Importa para tu Organización
1. El vector: infraestructura de gestión como superficie de ataque
KACE SMA no es un endpoint más — es el sistema que controla todos los endpoints. Un compromise en esta plataforma significa que el atacante hereda todos los privilegios administrativos sobre inventarios de activos, distribución de software, configuraciones de seguridad y acceso remoto. En organizaciones híbridas, esto incluye control sobre estaciones de trabajo que gestionan PLCs industriales, terminales bancarias y sistemas críticos de gobierno.
2. La motivación: persistencia administrativa sin detección
Scattered Spider, el actor probable detrás de estas explotaciones, se especializa en comprometer identidades críticas para establecer persistencia de largo plazo. La suplantación de usuarios administrativos legítimos en KACE permite movimiento lateral masivo mientras mantiene apariencia de actividad normal, dificultando la detección por parte de equipos SOC.
3. El contexto México/LATAM: gestión centralizada crítica
Las organizaciones mexicanas en sectores financiero, manufacturero y gobierno dependen intensivamente de plataformas como KACE para gestionar infraestructuras complejas que integran legacy systems con servicios cloud. El compromiso de estos systems management appliances activa obligaciones regulatorias inmediatas bajo LFPDPPP y marcos sectoriales específicos, especialmente cuando procesan datos de empleados o clientes.
El Actor Detrás del Ataque
APT / Crimeware
Confianza: Probable
Scattered Spider emerge como el actor más probable detrás de la explotación activa de CVE-2025-32975, aunque la atribución se basa en análisis de TTPs similares y no en evidencia forense directa. Este grupo estadounidense, también conocido como UNC3944 y Scattered Spider por Mandiant, se especializa en ingeniería social sofisticada, compromiso de identidades críticas y SIM swapping para obtener acceso inicial a organizaciones objetivo.
El grupo ha demostrado capacidades avanzadas para operar desde territorio estadounidense contra targets en telecomunicaciones, seguros, retail y hospitales, utilizando técnicas de suplantación administrativa que coinciden perfectamente con el vector de ataque de este CVE. Su historial incluye compromiso de proveedores de servicios gestionados y plataformas de gestión centralizadas para expandir su superficie de ataque hacia múltiples organizaciones cliente.
Según Mandiant, Scattered Spider combina ingeniería social de alta calidad con comprensión profunda de plataformas de gestión empresarial, lo que les permite establecer persistencia administrativa que evade detección tradicional.
TTPs Documentadas — MITRE ATT&CK
| Técnica | ID | Táctica |
|---|---|---|
| Valid Accounts: Default Accounts | T1078.001 | Initial Access |
| Modify Authentication Process | T1556 | Defense Evasion |
| Compromise Accounts: Cloud Accounts | T1586.003 | Resource Development |
| Use Alternate Authentication Material: Pass the Token | T1550.002 | Defense Evasion |
Fuente: MITRE ATT&CK ·
Análisis: Quest Security Advisory
El parche requiere reinicio completo del appliance KACE y puede necesitar reconfiguración de conexiones de agentes. Implementar workarounds temporales: restricción por IP, deshabilitación de interfaces web no esenciales, monitoreo intensivo de logs.
Qué Deberías Hacer en las Próximas 48 Horas
La explotación activa confirmada por CISA y la puntuación CVSS máxima convierten este CVE en una emergencia operacional que requiere respuesta coordinada inmediata.
Aislamiento Inmediato
Desconectar todos los Quest KACE SMA de acceso directo a internet. Implementar restricción de acceso por IP origen y requerir VPN con MFA para cualquier sesión administrativa. Invalidar todos los tokens de sesión activos.
Auditoría de Compromiso
Revisar logs de autenticación KACE de últimas 72 horas buscando cuentas administrativas creadas sin autorización. Verificar integridad de sistemas OT conectados, especialmente PLCs y controladores críticos.
Monitoreo Intensivo
Activar alertas en tiempo real para eventos de creación de cuentas privilegiadas, reutilización anómala de tokens y acceso administrativo desde ubicaciones no habituales. Correlacionar con logs de AD y sistemas críticos.
Parcheo de Emergencia
Coordinar ventana de mantenimiento de emergencia para aplicar parche KB 4379499. Preparar rollback plan y verificar conectividad de agentes post-reinicio. Priorizar instancias expuestas a internet.
Activar protocolo de respuesta a incidentes críticos y comunicar a stakeholders ejecutivos sobre potencial compromiso de infraestructura. Considerar ejercicio tabletop para validar procedimientos de contención.
Cómo Proteger tu Organización
Este CVE demuestra por qué la visibilidad continua sobre plataformas de gestión críticas no es opcional. Nuestro servicio SOC 24/7 incluye monitoreo especializado de systems management appliances, correlacionando eventos de autenticación anómala con actividad en sistemas gestionados para detectar compromiso antes de que escale.
La diferencia está en la correlación inteligente: cuando KACE SMA muestra actividad administrativa sospechosa, correlacionamos inmediatamente con logs de endpoints gestionados, detectamos patrones de movimiento lateral y activamos contención automatizada antes de que el atacante establezca persistencia en la infraestructura crítica.
Las plataformas de gestión críticas como KACE SMA requieren controles compensatorios adicionales precisamente porque un compromise significa pérdida de control sobre todo el entorno gestionado, no solo el sistema vulnerable.
Impacto Reputacional y en Medios
La ausencia de cobertura mediática mexicana específica sobre CVE-2025-32975 no refleja menor gravedad, sino posiblemente que las víctimas aún no han detectado compromise o mantienen confidencialidad mientras investigan el alcance. Quest KACE SMA es una plataforma ampliamente desplegada en organizaciones que requieren gestión centralizada de endpoints críticos.
Para CISOs, este escenario plantea un dilema reputacional específico: un compromise no detectado en KACE puede haber expuesto durante semanas o meses toda la infraestructura de endpoints sin que la organización lo sepa. La recomendación es asumir compromise potencial y ejecutar investigación forense proactiva antes de que evidencia externa fuerce divulgación pública.
Fuentes
Continúa en el Capítulo ZDU — El Suplantador de Identidades →
G.E.N.N.I.E. — Centro de Inteligencia Simbiótica
Quest KACE SMA representa el escenario pesadilla de sistemas de gestión: cuando el controlador se convierte en el controlado. La suplantación sin credenciales transforma cada appliance en un proxy administrativo hostil, heredando todos los privilegios del gestor legítimo sobre infraestructura crítica.
Luna Varela de la Vega — ZDU-INTEL-VARELA
Enlace de Inteligencia Estratégica. Jefa de Relaciones Públicas del ZDU. Autora editorial.
Zero Day Universe es una construcción narrativa original de QMA. Sus personajes, tramas y casos están inspirados en escenarios reales de ciberseguridad y no representan incidentes literales ni casos de clientes.
ZDU-036: Suplantación Administrativa — Colapso de Identidad Crítica
Quest KACE SMA · CVE-2025-32975 · CVSS 10.0 · Bypass total de autenticación · Scattered Spider (probable) · TRINITY activa

El primer administrador no fue bloqueado. Simplemente dejó de ser él.
La sesión se abrió a las 14:32 desde una workstation conocida, con el token correcto, el comportamiento esperado. El sistema Quest KACE SMA registró el login como legítimo — porque técnicamente lo era. Excepto que el usuario real estaba en una junta de presupuesto tres pisos arriba, con su laptop cerrada sobre la mesa de juntas.
Nadie lo vio entrar. Nadie lo vio moverse. Cuando el SOC revisó los logs cuatro horas después, encontró diecisiete cuentas administrativas activas simultáneamente en el appliance de gestión central. Todas válidas. Todas autenticadas. Ninguna controlada por humanos reales.
CVE-2025-32975 no roba credenciales. Las suplanta. La diferencia es letal: un atacante remoto puede generar sesiones administrativas sin conocer contraseñas, sin interceptar tokens, sin phishing. Simplemente es el administrador. El sistema no detecta anomalía porque no hay anomalía técnica — solo identidad colapsada.
Cuando Magna llegó al data center tres horas después, encontró al equipo de infraestructura mirando pantallas que mostraban su propia actividad reflejada desde cuentas que no estaban usando. Era como verse en un espejo que se movía solo.
Detección

KEV-1 detectó el patrón a las 18:47 — cuatro horas después del primer login fantasma. No fue el volumen de sesiones lo que disparó la alerta. Fue la geometría imposible: tres administradores autenticados desde ubicaciones físicas separadas por 2,400 kilómetros, con solapamiento temporal de 90 segundos entre conexiones. El algoritmo de clustering geográfico marcó la secuencia como IDENTITY_TOPOLOGY_VIOLATION.
«Detección KEV: CVE-2025-32975 — Quest KACE SMA — bypass de autenticación con suplantación administrativa. Diecisiete sesiones concurrentes. Cero solicitudes de segundo factor registradas. Patrón consistente con T1078.001 Valid Accounts Default y T1556 Modify Authentication Process. Correlación CISA KEV activa desde 2025-05-07. Explotación confirmada in-the-wild. Recomendación: aislar appliance inmediatamente — este CVE elimina el concepto de usuario confiable.»
Eris recibió el alert mientras revisaba tráfico Scattered Spider en BreachForums. La coincidencia temporal la hizo detenerse: ese grupo había estado silencioso durante semanas, sin víctimas públicas, sin leaks. Pero su modus operandi histórico encajaba perfectamente — ingeniería social sofisticada, compromiso de identidades críticas, operación desde territorio estadounidense.
Abrió el dashboard de MITRE ATT&CK y trazó la cadena: T1078.001 → T1586.003 Compromise Accounts → T1550.002 Pass the Token. No era un ataque de fuerza bruta. Era algo más elegante y más aterrador: los atacantes no necesitaban robar identidad — la fabricaban.
«Seventeen admin sessions. Zero MFA challenges. Zero password resets. Esto no es compromiso — es clonación de identidad a nivel de aplicación. Si KACE dice que eres tú, entonces eres tú. Scattered Spider tiene capacidad documentada para este tipo de suplantación. Revisando logs retroactivos 30 días.»

Escalación · Análisis · Contención · Forensia
NeonMind activó TRINITY a las 19:03. No esperó confirmación de impacto — CVSS 10.0 con bypass total de autenticación en infraestructura de gestión central era automáticamente crítico. Convocó al equipo completo en canal cifrado y abrió con la métrica que nadie quería escuchar:
«NIST CSF postura: GOVERN comprometido — visibilidad de activos perdida. IDENTIFY severamente degradado — inventario de identidades no confiable. PROTECT colapsado — controles PR.AC destruidos. DETECT parcialmente funcional — solo detectamos cuatro horas después. RESPOND activo pero operando a ciegas. Necesito saber qué más controla ese appliance antes de aislarlo.»
Magna ya tenía la respuesta. Había pasado los últimos veinte minutos trazando dependencias en el diagrama de red industrial. Quest KACE SMA no era solo gestión de endpoints corporativos — también administraba workstations en planta que configuraban PLCs Siemens y Schneider Electric. El appliance comprometido tenía acceso directo a sistemas que supervisaban procesos de manufactura crítica.

«KACE gestiona 340 endpoints. 89 están en red OT. 12 tienen acceso directo a HMI de líneas de producción. Si alguien suplanta al admin de KACE, puede desplegar configuraciones maliciosas a esas workstations y desde ahí pivotar a controladores. OWASP OT:2025 A02 — acceso no autenticado a sistemas críticos. No podemos simplemente apagarlo — esas workstations dependen de KACE para actualizaciones de seguridad.»
El silencio en el canal duró exactamente tres segundos. Luego NeonMind habló con el tono que usaba cuando las opciones buenas ya no existían:
«Entonces no lo aislamos todavía. Primero revocamos todas las cuentas comprometidas, forzamos regeneración de tokens, y establecemos monitoring manual en cada sesión administrativa. Stratos — necesito que audites todas las integraciones cloud de ese KACE. Si tiene service accounts vinculados a AWS o GCP, están comprometidos también.»
Eris encontró la primera evidencia forense a las 19:47. En los logs de autenticación había un patrón que solo era visible retroactivamente: las sesiones fantasma siempre se abrían exactamente 90 segundos después de que un administrador legítimo cerrara sesión. Como si alguien estuviera esperando la ventana de oportunidad — el momento en que el token aún era válido pero el usuario real ya no estaba monitoreando.
«Tengo timeline de compromiso. Primera sesión suplantada: 2025-05-04 a las 03:22. Cuatro días antes de que KEV-1 detectara. Scattered Spider estuvo dentro todo ese tiempo, probablemente mapeando la red completa. No atacaron nada todavía — solo observaron. Eso es consistente con su playbook: reconocimiento prolongado antes de monetización.»
NeonMind actualizó el tablero FRP con el dato que cambiaba todo: no estaban conteniendo un ataque activo — estaban descubriendo una operación de inteligencia que llevaba días en curso.
Regulator intervino desde legal con la pregunta que nadie había formulado todavía:
«¿Qué datos procesa ese appliance? Si tiene inventarios de empleados, credenciales de AD, o cualquier información personal — LFPDPPP activa notificación obligatoria en 72 horas si confirmamos acceso no autorizado. Y ya confirmamos diecisiete accesos no autorizados.»
Inteligencia

Blacktrace revisó los últimos 90 días de actividad Scattered Spider en foros dark web. Encontró algo más inquietante que evidencia de ataque: ausencia total de actividad. Cero leaks. Cero víctimas publicadas. Cero boasting en canales habituales. Para un grupo que históricamente operaba con perfil visible, el silencio era ensordecedor.
«Scattered Spider está fantasma desde marzo. Sin victims claims. Sin data leaks. Sin malware samples nuevas en la wild. Dos escenarios posibles: o cambiaron completamente su operación a reconocimiento silencioso sin monetización inmediata, o están reservando sus accesos para algo más grande. CVE-2025-32975 les da capacidad de comprometer infraestructura de gestión sin dejar rastro técnico — perfecta para operación de inteligencia prolongada.»
Eris cruzó esa información con los logs forenses. Las sesiones suplantadas no habían ejecutado comandos destructivos, no habían exfiltrado datos masivos, no habían desplegado ransomware. Solo habían navegado inventarios, revisado configuraciones, mapeado dependencias. Comportamiento de reconnaissance puro.
«No vinieron a destruir. Vinieron a aprender. Eso es peor.»
NeonMind detuvo la escritura exactamente un segundo cuando el CISO entró al war room físico. No dijo nada — solo se ubicó en el umbral, leyendo el tablero proyectado en la pared. Su presencia alteró la gravedad de la sala de forma imperceptible pero innegable.
Conflicto

Magna descubrió la verdadera dimensión del problema a las 20:34. Revisando los logs de configuración del appliance KACE, encontró que alguien — probablemente durante las sesiones suplantadas — había modificado las políticas de despliegue de parches para las workstations OT. Los cambios eran sutiles: retrasar actualizaciones críticas por 72 horas, deshabilitar verificación de firmas digitales, permitir ejecución de scripts sin supervisión.
«No robaron nada. Prepararon el terreno. Modificaron políticas de seguridad en sistemas OT para que cuando decidan atacar realmente, no haya defensas funcionales. Es como si hubieran desactivado las alarmas de incendio pero sin quemar nada todavía. IEC 62443 nivel de seguridad: degradado de SL3 a SL1 sin que nadie lo notara.»
El CISO habló por primera vez desde que había entrado:
«¿Cuánto tiempo tenemos antes de que se den cuenta de que los detectamos?»
«Asumiendo que están monitoreando sus propios accesos — ya lo saben. La pregunta es si deciden atacar ahora o retirarse silenciosamente.»
Contraataque

Stratos completó la auditoría de integraciones cloud a las 21:15. El resultado confirmaba el peor escenario: el appliance KACE comprometido tenía service accounts vinculados a AWS con permisos de IAM excesivos — incluido acceso a S3 buckets con datos de clientes y EC2 instances que corrían aplicaciones críticas de negocio.
«KACE tiene un IAM role en AWS con permisos ec2:* y s3:*. Si Scattered Spider suplantó esas cuentas administrativas, tienen las llaves del reino cloud. Revisando CloudTrail retroactivo — necesito confirmar si ya pivotaron hacia AWS o si solo mapearon el acceso.»
Tres minutos después encontró la evidencia: llamadas API a DescribeInstances, ListBuckets, y GetCallerIdentity originadas desde el appliance KACE durante las sesiones suplantadas. No habían ejecutado acciones destructivas, pero habían enumerado completamente la infraestructura cloud.
«Confirmado: reconnaissance cloud activo. Revocando ese IAM role inmediatamente. Implementando MFA forzoso en todos los puntos de acceso KACE restantes. Scattered Spider ahora sabe exactamente qué tenemos en AWS — pero ya no pueden tocarlo.»
NeonMind orquestó la contención final con precisión quirúrgica: aislar el appliance KACE de internet pero mantener conectividad interna limitada para no interrumpir operaciones OT críticas. Regenerar todas las credenciales administrativas simultáneamente. Establecer monitoring manual en cada sesión hasta confirmar 72 horas sin actividad sospechosa.
A las 23:40, Eris validó el estado:
«Veinticuatro horas limpias. Cero sesiones suplantadas. Cero intentos de reconexión. O se retiraron silenciosamente, o están esperando que bajemos la guardia.»

Resolución
Luna escribió el post-mortem a las 02:15, después de que el equipo técnico finalmente abandonara el war room. No usó la palabra “victoria” en ningún párrafo. Usó “contención” once veces y “exposición residual” cuatro.
CVE-2025-32975 había demostrado algo que la industria llevaba años negando: los sistemas de gestión de identidad no son infalibles — son puntos únicos de fallo. Quest KACE SMA, con CVSS 10.0 y capacidad de suplantación administrativa sin credenciales, había convertido el concepto de “usuario confiable” en una ficción.
Las organizaciones que operaban estos appliances — especialmente en sectores críticos como manufactura, finanzas, gobierno — enfrentaban una realidad incómoda: durante días, posiblemente semanas, alguien más había sido sus administradores. Había visto lo que ellos veían. Había controlado lo que ellos controlaban. Y lo había hecho sin dejar rastro técnico detectable hasta que era demasiado tarde.
Luna terminó el análisis con la única pregunta que importaba:
Si un atacante puede ser cualquier administrador sin necesidad de robar credenciales, ¿qué significa realmente “autenticación”? ¿Y cuántos otros sistemas críticos operan bajo la misma ilusión de identidad verificable?
El CISO leyó el draft antes de publicación. No pidió cambios. Solo agregó una nota al margen que Luna decidió no incluir en la versión final:
“Detectamos esto porque KEV-1 vio un patrón geográficamente imposible. ¿Qué pasa con los ataques que son geográficamente posibles?”
Esa pregunta quedó sin respuesta. Como tantas otras cosas esa noche.
Veritas revisó los análisis legales de privacidad dos pisos abajo, en una oficina que nadie visitaba después de las diez. Cuando Luna bajó a las 03:40 buscando café, lo encontró todavía escribiendo — redactando notificaciones LFPDPPP con un nivel de detalle que solo tenía sentido si conocías exactamente qué datos importaban a quién. Y por qué.
Luna se detuvo en el umbral. No dijo nada. Pero por primera vez en semanas, se quedó ahí treinta segundos más de lo necesario.

KEV-1
Agente Autónomo CISA KEV. Detección geométrica de identidad imposible y correlación temprana de patrones de suplantación administrativa
CISA KEV · Behavioral Detection · Identity Fabrication
Eris Sentinel
Threat Intelligence y forensia de sesiones suplantadas con correlación de TTPs MITRE para cadenas de bypass administrativo
MITRE ATT&CK · Session Forensics · Token Impersonation
NeonMind
Comando Fast Response Protocol bajo NIST CSF. Orquestación de contención quirúrgica sin interrumpir operación administrativa
Fast Response · NIST CSF · SOAR
Magna
ICS/OT Security. Análisis de impacto en infraestructura crítica y controles compensatorios en redes industriales conectadas
ICS/OT Security · Industrial Control · Critical Infrastructure
Stratos
Cloud SASE y auditoría AWS IAM. Revocación de accesos cloud y aislamiento de identidades comprometidas en perímetro elástico
Cloud SASE · AWS IAM · Access Revocation
Blacktrace
Dark Web Intelligence. Análisis del silencio operativo de Scattered Spider y mapeo de motivación táctica en explotación sigilosa
Dark Web Intel · OSINT · Scattered Spider
Regulator
GRC. Compliance drafting y timeline de notificación regulatoria por data exposure vía bypass administrativo
GRC · Compliance Drafting · Notification Timeline
Veritas
Legal · Privacy. Redacción de notificaciones de privacidad y revisión de obligaciones bajo LFPDPPP en México
Legal · Privacy Notice · LFPDPPP
Luna Varela
Inteligencia Estratégica. Post-mortem editorial y síntesis narrativa de la operación coordinada
Strategic Intelligence · Editorial Synthesis · Narrative
G.E.N.N.I.E.
Inteligencia Artificial Central. Análisis de patrones de suplantación y correlación cross-incidente en el universo ZDU
AI Core · Pattern Analysis · ZDU Correlation
Scattered Spider
Threat actor especializado en social engineering de identidades administrativas, bypass de MFA y persistencia silenciosa en infraestructura corporativa. Operación coordinada bajo motivación financiera; permanece activo y monitoreado por Blacktrace en dark web.
Social Engineering · MFA Bypass · Identity Persistence

Evidencia técnica verificada
| Tipo | Indicador | VT | Fuente | Conf | Threat | Acciones |
|---|---|---|---|---|---|---|
| MD5 | e1ec76a0e1f48901566d53828c34b5dc | 56/71 | otx | ✓ VT | trojan.ulise/mikey | VTMB |
| MD5 | 83b7a106a5e810a1781e62b278909396 | 50/72 | otx | ✓ VT | trojan.purelogs/msil | VTMB |
| MD5 | 1fc0a876a121882ffaad6677f444cf5b | 28/62 | otx | ✓ VT | trojan.gafgyt/tl0101… | VTMB |
| SHA1 | ea690c3acfa6592c601e4b5dd6122805063bac53 | — | otx | 75% | — | VTMB |
| SHA256 | 86db2530298e6335d3ecc66c...1faa00f1 | — | otx | 75% | — | VTMB |
| SHA256 | ab6677fcbbb1ff4a22cc3e73...f850e6c5 | — | otx | 75% | — | VTMB |
| SHA256 | b1b2f1e36dcaa36bc587fda1...b0b0ffaf | — | otx | 75% | — | VTMB |
| IPv4 | 45.148.10.212 | — | otx | 75% | — | VTSH |
| IPv4 | 103.177.110.202 | — | otx | 75% | — | VTSH |
| IPv4 | 94.154.172.43 | — | otx | 75% | — | VTSH |
| URL | http://103.177.110.202/bot_x64.exe | — | otx | 75% | — | VT |
| SHA256 | f79d05065a2ba7937b8781e6...a5e37f9b | — | otx | 75% | — | VTMB |
| SHA1 | d3beab2e2252a13d5689e9911c2b2b2fc3a41086 | — | otx | 75% | — | VTMB |
| SHA1 | deb4b5841eea43cb8c5777ee33ee09bf294a670d | — | otx | 75% | — | VTMB |




