CISA amplía el catálogo KEV con ocho vulnerabilidades: Plazos para agencias federales el 23 de abril y 4 de mayo en resumen

Q: ¿Qué significa esta ola de vulnerabilidades para las operaciones de seguridad de las empresas medianas?

Las empresas medianas sin un SOC 24x7 tienen más dificultad para abordar correctamente las ocho vulnerabilidades en 14 días. La priorización según la exposición y la criticidad del negocio es aún más importante. Quienes tienen un socio de seguridad gestionada, deberían coordinar explícitamente con él el camino de respuesta.

7 Min. de lectura · Actualizado: 23.04.2026

El 20 de abril de 2026, la CISA ha incluido ocho vulnerabilidades en su catálogo de vulnerabilidades explotadas conocidas (Known Exploited Vulnerabilities). Tres de ellas afectan a Cisco Catalyst SD-WAN Manager con fecha límite para aplicar parches hasta el 23 de abril. Las cinco vulnerabilidades adicionales en PaperCut, JetBrains TeamCity, Kentico Xperience, Quest KACE SMA y Synacor Zimbra tienen plazos federales hasta el 4 de mayo. Para los equipos de seguridad europeos, esta actualización es más que una rutina administrativa estadounidense. Los plazos de la CISA se están convirtiendo cada vez más en una línea de priorización para los CISO de DACH (Alemania, Austria y Suiza) en 2026, ya que el BSI (Oficina Federal de Seguridad de la Información de Alemania) no establece plazos igualmente estrictos.

Qué incluye la actualización

¿Qué es el catálogo CISA KEV? El catálogo KEV de la agencia estadounidense de Ciberseguridad y Seguridad de Infraestructuras (Cybersecurity and Infrastructure Security Agency) es una lista curada de vulnerabilidades para las que se ha documentado una explotación activa. Las agencias federales del Ejecutivo Civil Federal están obligadas a parchear las vulnerabilidades listadas en un plazo determinado. Además, el catálogo sirve como referencia para equipos de seguridad en todo el mundo, porque su inclusión significa que una vulnerabilidad ya no es un riesgo teórico, sino un vector de ataque real.

La actualización del 20 de abril de 2026 lista ocho vulnerabilidades. La familia de gestores Cisco Catalyst SD-WAN incluye tres de ellas: CVE-2026-20122 (CVSS 5.4, llamadas a API no seguras), CVE-2026-20128 (CVSS 7.5, almacenamiento de contraseñas en forma recuperable) y CVE-2026-20133 (CVSS 6.5, información sensible). Estas tres juntas forman una cadena de escalada que se vuelve crítica en redes de gestión no segmentadas. CISA ha establecido para ellas el plazo más corto del 23 de abril de 2026.

La segunda clase incluye PaperCut NG/MF (CVE-2023-27351, CVSS 8.2), JetBrains TeamCity (CVE-2024-27199), Kentico Xperience (CVE-2025-2749), Quest KACE SMA (CVE-2025-32975) y Synacor Zimbra Collaboration Suite (CVE-2025-48700). Destaca la mezcla de reactivaciones de vulnerabilidades antiguas y nuevos errores. Los problemas de PaperCut los tratamos en un artículo separado en detalle. Synacor Zimbra también tiene la fecha límite del 23 de abril, lo que aumenta la urgencia operativa para los operadores de plataformas de correo electrónico.

8 CVEs

en la actualización KEV del 20 de abril de 2026

23 de abril

Plazo para Cisco Catalyst y Synacor Zimbra

4 de mayo

Plazo para las cinco vulnerabilidades restantes

Por qué la actualización es relevante para los equipos de seguridad de DACH

Tres observaciones configuran la evaluación. La primera es la composición de la mezcla de proveedores. Cisco Catalyst SD-WAN Manager está activamente en uso en muchas empresas de DACH, especialmente en redes transversales con infraestructura de oficinas descentralizada. Zimbra Collaboration Suite funciona en muchas estructuras universitarias y gubernamentales. PaperCut se encuentra en casi todos los entornos de impresión de tamaño mediano. Quien tenga uno de estos sistemas en uso, debe verificar inmediatamente si las versiones mencionadas se ven afectadas.

La segunda observación es la conexión con los boletines del BSI (Oficina Federal Alemana de Seguridad de la Información). El BSI ha publicado en las últimas semanas varias advertencias preliminares sobre temas de Cisco Catalyst, pero sin fechas límite estrictas para las actualizaciones. Por lo tanto, los CISO (Directores de Seguridad de la Información) en bancos, aseguradoras y operadores de KRITIS (infraestructuras críticas) utilizan cada vez más los plazos de la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU.) como proxy de priorización interna. Quien incorpore la fecha límite de la CISA como un momento de obligación en la lógica de escalado interno para pilares comparativamente expuestos, gana velocidad sin una excesiva regulación.

La tercera observación es la mezcla de ciclos de vida. La actualización combina un error de 2023 (PaperCut), uno de 2024 (JetBrains), dos de 2025 (Kentico, Quest, Synacor) y tres de 2026 (Cisco). Esta es la realidad de los mundos modernos de CVE (Vulnerabilidades y Exposiciones Comunes): las reactivaciones ocurren porque los sistemas no parcheados permanecen extendidos. El caso de PaperCut es ejemplar. Quien no ancla sistemáticamente la disciplina de SBOM (Lista de Materiales de Software) y las rutinas de parcheo, corre tras cada ola.

Qué deben hacer los equipos de seguridad en los próximos 14 días

Inventario: ¿Cuáles de los ocho pilares de proveedores funcionan en la empresa, en qué versión?
Priorización según exposición (internamente vs. externamente accesible) y criticidad para el negocio
Despliegue de parches para Cisco Catalyst SD-WAN y Synacor Zimbra con máxima urgencia
Activar reglas de detección para las vulnerabilidades KEV (Explotación Confirmada en el Entorno Real) en SIEM (Gestión e Información de Seguridad y Eventos) y EDR (Detección y Respuesta de Puntos Finales)

Lo que no funciona

Patches como tarea pura de TI sin acompañamiento de cumplimiento
Confianza en «no estamos en EE.UU., por lo que no nos afecta»
Patches sin historial de auditoría y documentación para revisión interna
Dependencia de los boletines del BSI sin propio monitoreo KEV

Un plan de respuesta de 14 días para las operaciones de seguridad de DACH

Dos semanas son suficientes para una respuesta eficaz cuando el inventario, la disciplina de parches y las capas de detección trabajan estrechamente coordinados. Los siguientes hitos se han recopilado a partir de conversaciones con responsables de operaciones de seguridad en bancos de tamaño medio y grupos industriales.

Días 1-2

Inventario. ¿Cuáles de las ocho pila de proveedores (vendor stacks) se están utilizando en la empresa? Evaluación de SBOM (Bill of Materials de Software), escaneo de la base de datos de activos y encuesta a los administradores técnicos. Resultado: Mapeo por proveedor con número de versión.

Día 3

Triaje. Priorización según clases de riesgo. Cisco Catalyst y Synacor Zimbra en la parte superior debido a la fecha límite del 23 de abril. PaperCut y JetBrains en la segunda oleada.

Días 4-7

Despliegue de parches de pilas críticas. Parches para Cisco Catalyst SD-WAN Manager y Synacor Zimbra. Validación de pruebas en entorno de preproducción, luego despliegue en producción con registro de auditoría.

Días 8-11

Despliegue de parches de la segunda oleada. Parches para PaperCut, JetBrains, Kentico y Quest KACE. Activación de reglas de detección en SIEM.

Días 12-14

Examen forense e informes. Revisión de los registros de los últimos 30 días en busca de anomalías. Informe de estado al CISO, Cumplimiento y, en su caso, a la autoridad supervisora.

Lo que 2026 estructuralmente aprende de las olas KEV

Tres lecciones que van más allá de la actualización individual merecen atención. En primer lugar: El ritmo de las KEV se intensifica. CISA publica actualizaciones con más vulnerabilidades por actualización que en 2024. Los equipos de seguridad necesitan un espacio rutinario semanal para la evaluación de KEV, no un procesamiento ad hoc. Quien no lo haga de manera sistemática, se sentirá abrumado en el próximo trimestre.

En segundo lugar: Las inversiones en SBOM (Bill of Materials) dan resultados medibles. Quien no tenga una lista completa de piezas de software de sus aplicaciones, no puede reaccionar a las actualizaciones de KEV en cuestión de horas. Proveedores como Anchore, Snyk y Sysdig ofrecen en 2026 herramientas maduras que automatizan la generación de SBOM y la comparación con KEV. La inversión suele estar en el rango de cinco cifras bajas a medias por año y se amortiza con el primer incidente grave.

En tercer lugar: La consolidación de proveedores también es un palanca de seguridad. Quien opera tres soluciones de servidor de impresión, cuatro proveedores de SD-WAN y dos plataformas de correo electrónico en paralelo, tiene una complejidad de parches que genera fricción en cada ola KEV. Una consolidación consciente no solo reduce los costos de licencias, sino también el esfuerzo de parcheo. Esta discusión debe tener lugar en la próxima reunión de estrategia de TI, no en la rutina de seguridad.

Para los CISO y los consejos de administración, la actualización resulta en una lógica de acción concreta. La línea KEV debería incorporarse en 2026 en cada informe trimestral al consejo directivo. Número de vulnerabilidades KEV abiertas, tiempo de parcheo en comparación con el plazo de CISA y estado de cumplimiento por sector regulado son tres KPI sólidos. La discusión sobre ASP.NET Core, CVE-2026-40372, CVSS 9.1, DORA y NIS2 ha ejemplificado de manera demostrativa cómo se ha vuelto estrecha la conexión entre los CVE individuales y las obligaciones de informe regulatorio. Quien traduzca el movimiento KEV a su propio resumen para el consejo directivo, creará claridad a nivel de dirección.

Preguntas frecuentes

¿Qué ocho vulnerabilidades están específicamente incluidas en la actualización del 20 de abril?

Tres CVE de Cisco Catalyst SD-WAN Manager (2026-20122, -20128, -20133), CVE-2023-27351 de PaperCut NG/MF, CVE-2024-27199 de JetBrains TeamCity, CVE-2025-2749 de Kentico Xperience, CVE-2025-32975 de Quest KACE SMA y CVE-2025-48700 de Synacor Zimbra. Las vulnerabilidades de Cisco y Synacor tienen el plazo del 23 de abril, mientras que las restantes tienen el plazo del 4 de mayo.

¿Son las plazos de CISA también vinculantes para las empresas alemanas?

No directamente. Los plazos de CISA son obligatorios para las agencias federales de EE.UU. en el Federal Civilian Executive Branch. Para las empresas alemanas son una recomendación con alto valor de referencia. Los operadores de NIS2, KRITIS y las entidades reguladas por DORA los utilizan cada vez más como proxy de escalado interno.

¿Qué diferencia hay entre el catálogo KEV y el sistema de alertas del BSI?

El catálogo KEV documenta exclusivamente vulnerabilidades con explotación activa y establece plazos estrictos de parcheado para las agencias federales de EE.UU. El BSI publica alertas con una evaluación de riesgos más amplia, sin fechas obligatorias de parcheado para el sector privado. Ambos sistemas se complementan, siendo el catálogo KEV más operativo.

¿Con qué frecuencia debería un equipo de seguridad revisar las actualizaciones KEV?

Al menos semanalmente, idealmente con notificación automatizada mediante RSS o API. Para actualizaciones críticas como la del 20 de abril, es útil establecer una rutina de escalado que transfiera la actualización a una triaje interna en un plazo de 24 horas.

¿Qué herramientas son adecuadas para el monitoreo KEV?

Las herramientas clásicas de gestión de vulnerabilidades como Tenable, Qualys y Rapid7 integran la comparación KEV de forma nativa. Alternativas de código abierto como OpenVAS y Wazuh tienen módulos KEV disponibles. Quienes trabajan con SBOM utilizan Anchore, Snyk o Grype. La selección depende del panorama de herramientas existente.

¿Qué significa esta ola de vulnerabilidades para las operaciones de seguridad de las empresas medianas?

Las empresas medianas sin un SOC 24×7 tienen más dificultad para abordar correctamente las ocho vulnerabilidades en 14 días. La priorización según la exposición y la criticidad del negocio es aún más importante. Quienes tienen un socio de seguridad gestionada, deberían coordinar explícitamente con él el camino de respuesta.