Hace unos meses investigadores de la firma de seguridad Ox Security pusieron el foco sobre un problema que debería preocupar a cualquiera que use Visual Studio Code con muchas extensiones instaladas: fallos de seguridad de gravedad alta a crítica en complementos muy populares que, en conjunto, superan los 128 millones de descargas. Estos errores permiten desde la exfiltración de archivos locales hasta la ejecución remota de código dentro del entorno de desarrollo, lo que los convierte en una puerta de entrada ideal para ataques que terminan con credenciales comprometidas o movimiento lateral en redes corporativas.
Las vulnerabilidades detectadas afectan a extensiones ampliamente usadas: Live Server, Code Runner, Markdown Preview Enhanced y Microsoft Live Preview. Ox Security publicó análisis detallados para cada caso y afirma que sus investigadores intentaron notificar a los mantenedores desde junio de 2025 sin obtener respuesta, por lo que finalmente hicieron públicas las investigaciones. Para quien quiera ver los informes técnicos, Ox Security tiene entradas específicas sobre Live Server, Code Runner, Markdown Preview Enhanced y la vulnerabilidad de Live Preview.
Live Server, con decenas de millones de descargas, es especialmente preocupante: según Ox Security, una página web maliciosa puede aprovechar la falla identificada como CVE-2025-65717 para acceder a archivos locales cuando el desarrollador tiene un servidor local en ejecución. Esto no es un simple “defacement” de una pestaña del navegador: un exploit bien diseñado puede extraer ficheros con secretos (claves API, tokens, archivos de configuración) directamente desde tu máquina. El análisis técnico está disponible en el blog de Ox Security sobre Live Server.
Code Runner, otra extensión masiva, fue señalada por una vulnerabilidad catalogada como CVE-2025-65715 que permite la ejecución remota de código manipulando configuraciones. En concreto, un atacante puede inducir a la víctima a introducir o pegar snippets maliciosos en el archivo global settings.json, lo que termina por alterar el comportamiento del ejecutor de código. Si un actor malicioso consigue que tu configuración apunte a un ejecutable o comando arbitrario, se abre la puerta a correr código con tus privilegios; Ox Security describe cómo se puede crear ese escenario en su reporte sobre Code Runner.
Markdown Preview Enhanced, que facilita renderizar documentos Markdown dentro del editor, también presentó una falla (CVE-2025-65716, score 8.8) que permite la ejecución de JavaScript a partir de archivos Markdown especialmente manipulados. Dado que muchos desarrolladores abren documentos de terceros o vistas previas locales, un fichero Markdown malicioso puede ser suficiente para ejecutar scripts en el contexto de la extensión, con las consecuencias que eso conlleva. El informe técnico de Ox Security examina el vector de ataque y las condiciones necesarias para explotarlo.
Además, en versiones antiguas de Microsoft Live Preview se identificó lo que los investigadores describen como una vulnerabilidad de tipo “one-click XSS” que afecta a las versiones anteriores a la 0.4.16; explotada correctamente, permite acceder a ficheros sensibles del sistema de desarrollo. Para la verificación técnica y pruebas de concepto, Ox Security publicó un artículo que documenta el XSS en Live Preview.
Ox Security advierte que estas fallas no se limitan al propio VS Code: editores compatibles o “forks” que soportan extensiones de VS Code, como Cursor o Windsurf, también podrían quedar expuestos si cargan estas extensiones vulnerables. El riesgo real va más allá del archivo comprometido: un atacante con acceso puede robar claves, pivotar dentro de la red y eventualmente tomar control de sistemas, lo que eleva la amenaza a nivel organizativo.
Si usas VS Code, ¿qué puedes hacer ahora mismo? Lo primero es revisar si tienes instaladas las extensiones afectadas y comprobar si sus mantenedores han lanzado actualizaciones correctoras. Además, Microsoft proporciona orientaciones sobre seguridad de extensiones y la función Workspace Trust, que ayudan a limitar la ejecución de código no confiable; conviene leerse esas guías y aplicarlas. Ox Security también publica recomendaciones prácticas en sus informes, entre las que destacan evitar ejecutar servidores locales innecesarios, no abrir HTML no verificado mientras el servidor local está activo y no pegar fragmentos de configuración en settings.json procedentes de fuentes no confirmadas.
Más allá de medidas puntuales, es prudente aplicar una política de extensiones más restrictiva: mantener sólo las que realmente necesitas, preferir autores y editores con buena reputación y monitorizar cambios inesperados en la configuración de VS Code. Para entornos corporativos, aislar el desarrollo con entornos remotos o contenedores reduce la exposición del equipo local; la documentación de Remote Development de VS Code puede servir como punto de partida para este tipo de mitigaciones.
Por último, y no menos importante, la gestión responsable de las vulnerabilidades requiere comunicación entre investigadores y mantenedores. La falta de respuesta a las notificaciones de Ox Security explica en parte por qué estos fallos llegaron a hacerse públicos: cuando no se corrigen a tiempo, la ventana de riesgo se alarga. Para consultar las notas técnicas y pruebas de concepto publicadas por los descubridores, revisa los análisis de Ox Security sobre Live Server, Code Runner, Markdown Preview Enhanced y Live Preview. Para profundizar en cómo VS Code trata la seguridad de extensiones y la confianza en el espacio de trabajo, la documentación oficial de Microsoft es un buen recurso.
La moraleja es clara: las extensiones convierten a un IDE en una herramienta extremadamente poderosa, pero también en una superficie de ataque. Usar extensiones no es en sí inseguro, pero exige prudencia, actualizaciones y controles para que el entorno de desarrollo no se convierta en la entrada por la que los atacantes roban secretos o toman sistemas enteros.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...