La Agencia de Ciberseguridad y de Infraestructura de los Estados Unidos (CISA) ha emitido una directiva urgente que obliga a todas las agencias federales a parchear la vulnerabilidad crítica CVE-2026-3502 presente en el software de videoconferencia TrueConf antes del 16 de abril. El fallo, que cuenta con una puntuación de gravedad de 7.8 sobre 10, ya ha sido confirmado como objeto de explotación activa por parte de atacantes.
La operación "TrueChaos" contra objetivos gubernamentales
Esta alerta surge tras los recientes hallazgos de la firma de ciberseguridad Check Point. Los investigadores han señalado que un grupo de hackers denominado "TrueChaos" ha estado aprovechando esta brecha desde principios de 2026 para atacar a entidades gubernamentales en el sudeste asiático. El grupo utiliza frecuentemente la herramienta de pruebas de penetración Havoc con el fin de llevar a cabo actividades de espionaje a través de los sistemas de videoconferencia comprometidos.
El informe de Check Point detalla que la vulnerabilidad reside en el mecanismo de verificación de actualizaciones del software. Una vez que los atacantes toman el control de un servidor TrueConf desplegado internamente en una empresa, pueden manipular los paquetes de actualización para distribuir y ejecutar archivos maliciosos en todos los terminales conectados. Dado que TrueConf es utilizado habitualmente por gobiernos, fuerzas militares y sectores de infraestructura crítica para garantizar la privacidad de sus comunicaciones internas, este tipo de ataque resulta altamente selectivo.
"Los atacantes distribuyen actualizaciones maliciosas a decenas de entidades gubernamentales a través de los servidores del departamento de TI de las propias víctimas", explicaron los investigadores de Check Point. La mayoría de los afectados se infectaron tras hacer clic en avisos de actualización; dado que este software suele implementarse en entornos cerrados o aislados (air-gapped), las actualizaciones fraudulentas resultan extremadamente difíciles de detectar.
Basándose en las tácticas empleadas, el uso de herramientas alojadas en Alibaba Cloud y Tencent Cloud, y los rastros del malware ShadowPad hallados en los dispositivos afectados, Check Point ha atribuido la campaña a un grupo de hackers de origen chino. Actualmente, el software TrueConf cuenta con unos 100.000 clientes institucionales en todo el mundo, distribuidos principalmente por Asia, Europa y América.
Tras recibir la advertencia sobre la vulnerabilidad, TrueConf lanzó un parche de seguridad el pasado mes de marzo. La CISA ha instado a las agencias federales a completar la actualización dentro del plazo establecido para prevenir riesgos adicionales de filtración de datos.
