CISA amplía el catálogo KEV con ocho vulnerabilidades: Plazos para agencias federales el 23 de abril y 4 de mayo en resumen

Q: ¿Qué implica esta oleada para las operaciones de seguridad en pymes?

Las pymes sin SOC 24x7 tienen más dificultades para abordar correctamente las ocho vulnerabilidades en 14 días. Priorizar según exposición y criticidad empresarial es aún más importante. Quien cuente con un proveedor de seguridad gestionada debería acordar explícitamente con él el protocolo de respuesta.

7 Min. de lectura · Fecha: 23.04.2026

El 20 de abril de 2026, la CISA incluyó ocho vulnerabilidades en el catálogo de vulnerabilidades explotadas conocidas (KEV). Tres afectan al Cisco Catalyst SD-WAN Manager, con plazo de parcheo hasta el 23 de abril. Las cinco brechas restantes en PaperCut, JetBrains TeamCity, Kentico Xperience, Quest KACE SMA y Synacor Zimbra tienen plazos federales hasta el 4 de mayo. Para los equipos de seguridad europeos, esta actualización es algo más que un trámite administrativo estadounidense. En 2026, los plazos de la CISA se están convirtiendo cada vez más en una línea de priorización para los CISO de DACH, ya que el BSI no establece plazos comparables de forma tan estricta.

Lo más importante en resumen

Actualización del KEV de la CISA del 20 de abril de 2026 con ocho vulnerabilidades, plazos de parcheo el 23 de abril y el 4 de mayo de 2026.
Tres CVE en Cisco Catalyst SD-WAN Manager (2026-20122, -20128, -20133), además de PaperCut, JetBrains TeamCity, Kentico Xperience, Quest KACE SMA y Synacor Zimbra.
Las brechas en Synacor Zimbra Collaboration Suite y en los productos Cisco Catalyst tienen el plazo más corto, hasta el 23 de abril. Las otras cinco hasta el 4 de mayo.
Los equipos de seguridad europeos utilizan los plazos de la CISA como referencia de priorización, ya que los avisos del BSI rara vez incluyen fechas estrictas de parcheo.
La actualización muestra la combinación típica de 2026: una nueva plataforma de proveedor (Cisco SD-WAN), reactivaciones de vulnerabilidades antiguas (PaperCut, JetBrains) y productos de nicho (Kentico, KACE).

Qué incluye la actualización

¿Qué es el catálogo KEV de la CISA? El catálogo KEV de la agencia estadounidense de Seguridad Cibernética e Infraestructura (CISA) es una lista seleccionada de vulnerabilidades para las que se ha documentado un aprovechamiento activo. Las agencias federales del Federal Civilian Executive Branch están obligadas a corregir estas brechas en un plazo determinado. Además, el catálogo sirve como referencia para equipos de seguridad de todo el mundo, ya que su inclusión significa que una vulnerabilidad ya no es un riesgo teórico, sino un vector de ataque real.

La actualización del 20 de abril de 2026 enumera ocho vulnerabilidades. Tres de ellas afectan a la familia Cisco Catalyst SD-WAN Manager: CVE-2026-20122 (CVSS 5.4, llamadas API inseguras), CVE-2026-20128 (CVSS 7.5, almacenamiento de contraseñas en forma recuperable) y CVE-2026-20133 (CVSS 6.5, información sensible). Estas tres juntas forman una cadena de escalada que resulta crítica en redes de gestión no segmentadas. Por ello, la CISA ha establecido el plazo más corto: 23 de abril de 2026.

La segunda categoría incluye PaperCut NG/MF (CVE-2023-27351, CVSS 8.2), JetBrains TeamCity (CVE-2024-27199), Kentico Xperience (CVE-2025-2749), Quest KACE SMA (CVE-2025-32975) y Synacor Zimbra Collaboration Suite (CVE-2025-48700). Llama la atención la mezcla entre reactivaciones de vulnerabilidades antiguas y errores más recientes. Los problemas de PaperCut ya los tratamos extensamente en un artículo aparte. Synacor Zimbra también tiene plazo hasta el 23 de abril, lo que aumenta la urgencia operativa para quienes gestionan plataformas de correo electrónico.

8 CVEs

en la actualización KEV del 20 de abril de 2026

23 de abril

plazo para Cisco Catalyst y Synacor Zimbra

4 de mayo

plazo para las cinco brechas restantes

Por qué esta actualización es relevante para los equipos de seguridad del espacio DACH

Tres observaciones definen el análisis. La primera es la composición del mix de proveedores. Cisco Catalyst SD-WAN Manager está activamente implementado en muchas empresas del espacio DACH, especialmente en redes corporativas con múltiples ubicaciones y oficinas descentralizadas. Zimbra Collaboration Suite se utiliza ampliamente en universidades y estructuras administrativas. PaperCut está presente en casi todos los entornos de impresión de tamaño medio. Cualquiera que tenga alguno de estos sistemas en funcionamiento debe verificar inmediatamente si las versiones mencionadas están afectadas.

La segunda observación es la conexión con los avisos del BSI. En las últimas semanas, el BSI ha publicado varias alertas preliminares sobre temas relacionados con Cisco Catalyst, aunque sin establecer fechas estrictas de parcheo. Por ello, los CISO de bancos, aseguradoras y operadores de infraestructuras críticas (KRITIS) están utilizando cada vez más las fechas límite de CISA como referencia interna para priorizar. Quien incorpore internamente la fecha tope de CISA como punto de obligado cumplimiento para stacks con exposición similar, gana velocidad sin necesidad de una regulación excesiva.

La tercera observación es la combinación de ciclos de vida. Esta actualización incluye un fallo de 2023 (PaperCut), uno de 2024 (JetBrains), dos de 2025 (Kentico, Quest, Synacor) y tres de 2026 (Cisco). Esta es la realidad actual del mundo de las CVE: se producen reactivaciones porque quedan sistemas sin parchear en entornos operativos. El caso de PaperCut es paradigmático. Quien no haya integrado de forma sistemática la disciplina SBOM y rutinas estructuradas de parcheo, siempre irá a la zaga de cada nueva ola.

Qué deben hacer los equipos de seguridad en las próximas 14 días

Inventario: ¿Qué stacks de los ocho proveedores están en funcionamiento y en qué versión?
Establecer prioridades según exposición (accesibilidad interna o externa) y criticidad para el negocio
Implementar con máxima urgencia los parches para Cisco Catalyst SD-WAN y Synacor Zimbra
Activar reglas de detección para las vulnerabilidades KEV en SIEM y EDR

Qué no funciona

Tratar los parches como una tarea exclusiva de TI sin acompañamiento de cumplimiento normativo
Confiar en el argumento «no estamos en EE. UU., así que no estamos afectados»
Aplicar parches sin dejar un historial de auditoría ni documentación para la revisión interna
Depender únicamente de los avisos del BSI sin realizar un seguimiento propio de KEV

Un plan de reacción de 14 días para las operaciones de seguridad en DACH

Dos semanas son suficientes para una respuesta efectiva si la inventaria, la disciplina en la aplicación de parches y las capas de detección funcionan estrechamente coordinadas. Los siguientes hitos se han sintetizado a partir de conversaciones con responsables de operaciones de seguridad en bancos de tamaño medio y grandes empresas industriales.

Día 1-2

Inventario. ¿Qué stacks de los ocho proveedores están en funcionamiento en la empresa? Análisis de SBOM, escaneo de la base de datos de activos, consulta a los administradores técnicos. Resultado: mapeo por proveedor con número de versión.

Día 3

Triage. Priorización según clases de riesgo. Cisco Catalyst y Synacor Zimbra en primer lugar debido al plazo del 23 de abril. PaperCut y JetBrains en una segunda oleada.

Día 4-7

Despliegue de parches para stacks críticos. Aplicar parches a Cisco Catalyst SD-WAN Manager y Synacor Zimbra. Validación de pruebas en entorno de preproducción, seguido del despliegue en producción con registro de auditoría.

Día 8-11

Despliegue de parches en la segunda oleada. Aplicar parches a PaperCut, JetBrains, Kentico y Quest KACE. Activar reglas de detección en el SIEM.

Día 12-14

Revisión forense y elaboración de informes. Analizar los registros de los últimos 30 días en busca de anomalías. Informe de estado al CISO, al departamento de cumplimiento y, si procede, a la autoridad supervisora.

Qué aprendizajes estructurales se derivan en 2026 de las oleadas KEV

Tres lecciones que van más allá de una actualización puntual merecen atención. Primero: el ritmo de las KEV se está intensificando. CISA publica actualizaciones con mayor frecuencia y con más vulnerabilidades por actualización que en 2024. Los equipos de seguridad necesitan un hueco semanal rutinario para evaluar las KEV, no un tratamiento ad hoc. Quien no lo haga de forma sistemática estará desbordado en el próximo trimestre.

Segundo: las inversiones en SBOM producen beneficios medibles. Quien no disponga de una lista completa de componentes de software de sus aplicaciones no podrá reaccionar en cuestión de horas ante actualizaciones KEV. Proveedores como Anchore, Snyk y Sysdig ofrecen en 2026 herramientas maduras que automatizan la generación de SBOM y la comparación con KEV. La inversión suele situarse típicamente en el rango bajo o medio de cinco cifras anuales y se amortiza con el primer incidente grave.

Tercero: la consolidación de proveedores también es una palanca de seguridad. Quien gestione simultáneamente tres soluciones de servidores de impresión, cuatro proveedores de SD-WAN y dos plataformas de correo electrónico, tendrá una complejidad de parcheo que generará fricciones en cada oleada KEV. Una consolidación consciente reduce no solo los costes de licencias, sino también el esfuerzo de parcheo. Esta discusión debe abordarse en la próxima reunión de estrategia de TI, no en la rutina de seguridad.

Para los CISO y los consejos de administración, esta actualización implica una lógica concreta de acción. La línea KEV debería integrarse en 2026 en todos los informes trimestrales al consejo directivo. El número de vulnerabilidades KEV pendientes, el tiempo de aplicación del parche en comparación con el plazo de CISA y el estado de cumplimiento por sector regulado son tres KPIs sólidos. La discusión sobre ASP.NET Core en relación con DORA y NIS2 ha mostrado ejemplarmente lo estrecha que se ha vuelto la conexión entre CVE individuales y las obligaciones regulatorias de informe. Quien traduzca el movimiento KEV a sus propios informes para el consejo directivo, generará claridad a nivel directivo.

Infografía de cronograma de un plan de reacción de 14 días para operaciones de seguridad, con fases marcadas por colores y símbolos para hitos clave. — El plan de reacción de 14 días estructura las operaciones de seguridad en cuatro fases claramente definidas.

Preguntas frecuentes

¿Qué ocho vulnerabilidades incluye específicamente la actualización del 20 de abril?

Tres CVE del Cisco Catalyst SD-WAN Manager (2026-20122, -20128, -20133), PaperCut NG/MF CVE-2023-27351, JetBrains TeamCity CVE-2024-27199, Kentico Xperience CVE-2025-2749, Quest KACE SMA CVE-2025-32975 y Synacor Zimbra CVE-2025-48700. Las vulnerabilidades de Cisco y Synacor tienen fecha límite el 23 de abril, las restantes el 4 de mayo.

¿Son obligatorias las fechas límite de CISA para empresas alemanas?

No directamente. Las fechas de CISA son obligatorias para agencias federales estadounidenses del Federal Civilian Executive Branch. Para empresas alemanas, constituyen una recomendación con alto valor de referencia. Los operadores NIS2, operadores KRITIS y entidades reguladas por DORA las utilizan cada vez más como proxy interno de escalada.

¿Qué diferencia hay entre el catálogo KEV y el sistema de advisories del BSI?

El catálogo KEV documenta exclusivamente vulnerabilidades con explotación activa y establece plazos estrictos de parcheo para agencias federales estadounidenses. El BSI publica advisories con una evaluación de riesgo más amplia, sin fechas de parcheo obligatorias para el sector privado. Ambos sistemas se complementan, siendo el catálogo KEV operativamente más preciso.

¿Con qué frecuencia debería un equipo de seguridad revisar las actualizaciones del KEV?

Como mínimo semanalmente, idealmente con notificaciones automatizadas mediante RSS o API. En actualizaciones críticas como la del 20 de abril, conviene establecer una rutina de escalada que incorpore la actualización a una triage interna en menos de 24 horas.

¿Qué herramientas son adecuadas para el monitoreo del KEV?

Herramientas clásicas de gestión de vulnerabilidades como Tenable, Qualys y Rapid7 integran de forma nativa la verificación del KEV. Alternativas de código abierto como OpenVAS y Wazuh disponen de módulos KEV. Quienes trabajan con SBOM pueden utilizar Anchore, Snyk o Grype. La elección depende del entorno de herramientas existente.

¿Qué implica esta oleada para las operaciones de seguridad en pymes?

Las pymes sin SOC 24×7 tienen más dificultades para abordar correctamente las ocho vulnerabilidades en 14 días. Priorizar según exposición y criticidad empresarial es aún más importante. Quien cuente con un proveedor de seguridad gestionada debería acordar explícitamente con él el protocolo de respuesta.