Investigadores en ciberseguridad han puesto sobre la mesa una advertencia seria para millones de desarrolladores: varias extensiones populares de Visual Studio Code contienen fallos que, explotados correctamente, permiten robar archivos locales y ejecutar código de forma remota. Estas herramientas —entre las que se encuentran Live Server, Code Runner, Markdown Preview Enhanced y Microsoft Live Preview— suman más de 125 millones de instalaciones, lo que convierte la vulnerabilidad en un riesgo de gran alcance para equipos y organizaciones enteras. Puedes leer el informe completo de los descubridores en el blog de OX Security aquí.
El vector de ataque descrito por los investigadores aprovecha características comunes en muchas extensiones: servidores locales que exponen recursos en localhost, la posibilidad de ejecutar JavaScript en previsualizaciones o la lectura y modificación de configuraciones del editor. En el caso de Live Server, por ejemplo, la extensión levanta por defecto un servidor de desarrollo en un puerto local. Un atacante puede inducir a la víctima a visitar una página web maliciosa y, mientras la extensión está activa, ese código embebido realiza peticiones al servidor local para recuperar archivos y enviarlos a un dominio controlado por el atacante. OX Security documenta este hallazgo con más detalle en su análisis de CVE-2025-65717 aquí.
Otros problemas detectados siguen patrones similares pero con variantes técnicas. En Markdown Preview Enhanced se ha identificado un fallo que permite la ejecución arbitraria de JavaScript cuando se abre un archivo .md especialmente manipulado; esto puede facilitar la enumeración de puertos locales y la extracción de información hacia dominios externos (ver el reporte de OX Security sobre CVE-2025-65716). Code Runner, por su parte, tiene una debilidad que permite ejecutar código si un atacante logra engañar al desarrollador para que modifique su archivo de configuraciones (settings.json), una técnica clásica de ingeniería social documentada como CVE-2025-65715. Todas estas vulnerabilidades cuentan con puntuaciones CVSS altas que reflejan su gravedad.
Microsoft Live Preview también fue señalado por permitir que un script malicioso dirigido a localhost accediera a archivos sensibles cuando la extensión estaba en ejecución. A diferencia de las otras vulnerabilidades, Microsoft publicó una corrección —de forma poco llamativa en el registro de cambios— en la versión 0.4.16 del proyecto; la evidencia y los detalles del arreglo aparecen en el changelog oficial del repositorio aquí, mientras que el análisis técnico de OX Security puede consultarse aquí.
¿Por qué este tipo de fallos es especialmente peligroso en un entorno de desarrollo? Porque los entornos de programación suelen contener claves, certificados, contraseñas en archivos de configuración y repositorios con acceso a infraestructuras empresariales. Un solo cambio inocente —abrir un fichero, visitar un sitio web o aplicar una configuración recomendada en un proyecto— puede ser suficiente para activar la cadena de explotación. Los investigadores han insistido en que con una sola extensión vulnerable bastaría para moverse lateralmente y comprometer una organización, y advierten sobre extensiones mal diseñadas o con permisos demasiado amplios que pueden ejecutar código y modificar archivos sin un control estricto.
Frente a este escenario conviene tomar medidas prácticas y realistas para reducir el riesgo. Es recomendable no aplicar configuraciones o extensiones provenientes de fuentes no verificadas, desinstalar aquello que no se use y mantener las extensiones actualizadas para recibir parches oportunos. También es prudente aislar los servicios locales detrás de cortafuegos que restrinjan conexiones entrantes y salientes, y desactivar servidores en localhost cuando no sean necesarios. Microsoft ofrece información general sobre la gestión y el uso de extensiones en su documentación del marketplace de Visual Studio Code, que puede consultarse en su guía oficial.
Además de estas medidas, las prácticas de higiene digital habituales siguen siendo esenciales: sospechar de repositorios y archivos desconocidos, evitar ejecutar pasos de configuración recibidos por canales no verificados y enseñarle a los equipos a reconocer intentos de ingeniería social que busquen alterar archivos de configuración locales. Organizaciones con políticas de seguridad maduras deberían considerar controles adicionales, como la revisión de extensiones permitidas, el uso de entornos de trabajo aislados (sandboxed) y la monitorización de tráfico inusual hacia dominios externos desde máquinas de desarrollo.
La difusión de estas vulnerabilidades pone de relieve un punto débil más amplio: las extensiones enriquecen los editores de código, pero también amplían la superficie de ataque. El trabajo de empresas de seguridad como OX Security ayuda a visibilizar estos escenarios y a presionar para que se apliquen correcciones. Si quieres revisar los análisis técnicos de cada fallo, OX Security ha publicado entradas específicas para Live Server, Markdown Preview Enhanced y Code Runner en su blog: Live Server, Markdown Preview Enhanced y Code Runner, además del análisis general aquí.
En resumen, no se trata de demonizar las extensiones, sino de tratarlas con la misma cautela que cualquier software que tenga acceso a datos sensibles. Revisar, restringir y actualizar son acciones sencillas que pueden marcar la diferencia entre un entorno de desarrollo seguro y una brecha con consecuencias graves. Mantente atento a las comunicaciones de los mantenedores de las extensiones que utilizas y aplica parches tan pronto como estén disponibles.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...