La forma en que lo afrontan es más importante que la explotación en sí. Otras empresas han hecho un mal trabajo con estas cosas en el pasado. Hasta ahora, no he visto a N-able manejar uno mal, y estoy agradecido por ello”, dice Paul Vedder, CEO de VXIT.
El miércoles, N-able reveló dos vulnerabilidades “críticas” que afectan a su plataforma de gestión y monitoreo remoto (RMM) N-central, una de las cuales recibió la calificación de gravedad más alta posible.
En un correo electrónico a CRN, la compañía dijo que “no había indicios” de que las vulnerabilidades de nivel crítico en N-central se utilizaran en ataques cibernéticos. Los parches ya están disponibles, dijo el proveedor con sede en Burlington, Massachusetts.
Esta es la tercera vulnerabilidad reportada por N-able en tres meses. El 13 de agosto, la Agencia de Seguridad Cibernética y de Infraestructura (CISA) informó dos vulnerabilidades conocidas en la herramienta N-Central de N-able.
Según un aviso de N-able, una vulnerabilidad de gravedad máxima que afecta a N-central (rastreada como CVE-2025-11367) podría permitir la ejecución remota de código. La vulnerabilidad afecta a la versión de Windows de N-central Software Probe, un componente clave de la plataforma RMM que proporciona capacidades como el descubrimiento de dispositivos.
La vulnerabilidad, que recibió una calificación de gravedad máxima de 10,0 sobre 10,0, se soluciona en la versión 2025.4 N-central, dijo N-able.
(Relacionado: 10 grandes ataques cibernéticos y violaciones de datos en 2025 (hasta ahora))
Según la compañía, las cuatro vulnerabilidades de N-central reveladas el miércoles se solucionaron en el parche 2025.4.
La segunda vulnerabilidad crítica recientemente descubierta que afecta a N-central (rastreada como CVE-2025-11366) se puede utilizar para eludir la autenticación y tiene una clasificación de gravedad de 9,4 sobre 10,0, dijo N-able.
Dos fallas adicionales de N-central incluyen una vulnerabilidad de alto nivel (seguida como CVE-2025-11700) y una falla de nivel medio (seguida como CVE-2025-9316), ninguna de las cuales fue explotada por los atacantes, dijo N-able.
Los socios dijeron que la rápida respuesta técnica de la compañía fue alentadora, pero una mayor transparencia podría ayudar a los socios a evaluar mejor el riesgo potencial y tranquilizar a los clientes.
“Si ya han lanzado una nueva versión de su software, han hecho lo que tenían que hacer técnicamente. Pero brindar más transparencia: qué se vio afectado, cuánto tiempo ha estado allí, realmente ayudará a los usuarios que confían en N-central”, dijo a CRN Don Sizer, director ejecutivo de 3rd Element Consulting, con sede en Mechanicsburg, Pensilvania.
Añadió que, si bien N-able normalmente proporciona una comunicación sólida sobre vulnerabilidades y riesgos comunes (CVE), los socios a menudo necesitan más contexto para determinar cómo podría verse el problema en su entorno particular.
“Publican información, pero no siempre se obtiene mucho más allá del propio CVE”, dijo. “Sería útil saber cómo se ve eso, qué métricas verificar y dónde los socios pueden ver evidencia de compromiso”.
Paul Vedder, cofundador y director ejecutivo de VXIT en West Palm Beach, Florida, dijo que la forma en que la empresa maneja la situación es más importante que el defecto en sí.
“Siempre estoy preocupado por todo, ninguna plataforma es 100 por ciento segura”, dijo Vedder a CRN. “Pero me alegro de que lo hayan detectado antes de que supuestamente se usara en la naturaleza. Veo a N-able como un perdedor en el espacio RMM, así que los apoyo”.
Destacó que la respuesta a incidentes y la comunicación son los verdaderos diferenciadores en momentos como este.
“La forma en que lo afrontan es más importante que la explotación en sí”, afirmó. “Otras empresas han manejado mal estas cosas en el pasado. No he visto a N-able manejarlo mal hasta ahora y estoy agradecido por ello”.
El usuario de N-Central, Brent Yax, también pide una comunicación más clara y rápida para ayudar a mantener informados a los socios y tranquilizar a los clientes.
“Estoy de acuerdo en que internamente están haciendo todo bien”, dijo a CRN Yax, CEO de Awecomm con sede en Troy, Michigan. “Pero sigue siendo difícil obtener información. No se habla mucho y, de repente, todo el mundo se apresura a descubrir qué está pasando”.
“Deben centrarse en cómo notificar a los socios y hacerlos sentir seguros, darles toda la información antes de que haya un montón de clientes haciendo preguntas y los socios aún no lo sepan”, añadió.
Su preocupación surge porque esta es la tercera vulnerabilidad crítica del proveedor desde agosto, lo que genera dudas sobre si las recientes revelaciones reflejan una tendencia de seguridad más amplia.
“Sólo queremos saber de ellos cómo están resolviendo este problema”, dijo Yax. “¿Son estos descubrimientos una señal de una mayor preparación y pruebas internas? Si es así, díganos, no nos haga adivinar por qué están apareciendo más vulnerabilidades últimamente”.
Para otros, la vulnerabilidad resalta las realidades ineludibles del riesgo de ciberseguridad en un ecosistema conectado.
“Mire, va a suceder”, dijo a CRN Michael Cervino, cofundador y director ejecutivo de MSP Circle Square Consulting, con sede en Radnor, Pensilvania. “Mientras hicieran lo que se suponía que debían hacer: siguieran los protocolos establecidos y lo arreglaran, no tengo ningún problema. Estas cosas suceden”.
Y su confianza en el proveedor sigue siendo la misma.
“Es un buen producto”, dijo. “Según lo que estoy escuchando y los primeros indicios, no afectará la forma en que hacemos negocios con ellos”.
Los cuatro socios dijeron que las vulnerabilidades son inevitables, pero la forma en que responden los proveedores determina la ecuación de confianza a largo plazo.
“La transparencia es la clave”, afirmó Sizer. “Danos los detalles que necesitamos para validar nuestros sistemas y ayudar a nuestros clientes. Así es como se genera confianza”.
