La agencia estadounidense CISA ha incluido cuatro fallos de seguridad en su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), lo que equivale a un aviso urgente: existen pruebas de que atacantes ya los están aprovechando en entornos reales. Estas vulnerabilidades afectan a piezas muy distintas del ecosistema de software: desde herramientas de desarrollo web hasta plataformas empresariales y paquetes de la cadena de suministro de JavaScript.
Cuando CISA añade un error al KEV, recomienda que las organizaciones actúen de inmediato. Para las agencias federales de EE. UU. sujetas a la directiva BOD 22-01 la agencia exige aplicar parches o mitigaciones, o dejar de usar los productos afectados, antes del 12 de febrero de 2026; el resto de organizaciones deberían tomar el mismo umbral de urgencia por precaución. Más información sobre la directiva está disponible en la web de CISA en su sección sobre BOD 22-01: https://www.cisa.gov/binding-operational-directive-2201.
El primer caso relevante es una falla de control de acceso en la herramienta frontend Vite, registrada como CVE-2025-31125. Esta vulnerabilidad, divulgada inicialmente en marzo del año pasado, permite a un atacante acceder a archivos que deberían estar prohibidos cuando una instancia de desarrollo queda expuesta a la red pública. En la práctica el riesgo más habitual ocurre cuando servidores de desarrollo se publican sin las restricciones adecuadas; los parches están disponibles en versiones concretas (por ejemplo, 6.2.4, 6.1.3, 6.0.13, 5.4.16 y 4.5.11), por lo que es importante actualizar las instancias afectadas o asegurarlas para que no sean accesibles desde Internet.
El segundo caso llama la atención por el tipo de impacto: CVE-2025-34026 es una vulnerabilidad crítica de omisión de autenticación en la plataforma de orquestación SD‑WAN de Versa Concerto. El problema deriva de una configuración errónea del proxy inverso (Traefik) que deja accesibles endpoints administrativos internos —entre ellos la interfaz Actuator— y con ello expone volcados de memoria (heap dumps) y registros de trazas. Aunque CISA identificó como afectadas las versiones Concerto 12.1.2 a 12.2.0, es prudente revisar otras ramas del producto. Investigadores externos (entre ellos ProjectDiscovery) comunicaron los fallos al fabricante y Versa publicó correcciones; puede consultarse información adicional sobre los investigadores en ProjectDiscovery y en medios especializados como BleepingComputer, que cubrieron el proceso de reporte y la respuesta del proveedor.
El tercer problema es parte de un patrón que repite un viejo temor de las organizaciones modernas: la compromisión de la cadena de suministro. La entrada CVE-2025-54313 está relacionada con el paquete eslint-config-prettier, utilizado para resolver conflictos entre ESLint y Prettier. En julio del año anterior algunos paquetes populares de la comunidad JavaScript fueron secuestrados en npm y se publicaron versiones maliciosas que incluían un script de instalación —install.js— capaz de ejecutar un binario en Windows (node-gyp.dll) diseñado para robar tokens de autenticación de npm. Las versiones comprometidas identificadas incluyen 8.10.1, 9.1.1, 10.1.6 y 10.1.7. El mensaje aquí es claro: cualquier dependencia de terceros que se instala automáticamente puede convertirse en un vector de robo de credenciales o ejecución de código.
Finalmente, CISA señala la explotación de una vulnerabilidad de inclusión local de archivos en la interfaz Webmail Classic de Zimbra Collaboration Suite, referenciada como CVE-2025-68645. El fallo proviene de un manejo incorrecto de parámetros en el servlet RestFilter; un atacante no autenticado puede invocar el endpoint /h/rest para cargar archivos arbitrarios desde el directorio WebRoot, lo que puede revelar datos sensibles o permitir otros pasos de explotación. Afecta a Zimbra 10.0 y 10.1, y como en los otros casos la recomendación inmediata es aplicar las actualizaciones provistas por el fabricante o poner mitigaciones hasta que se instale el parche.
En todos los casos la nota de CISA no proporciona detalles técnicos sobre el modo exacto en que los atacantes están explotando las fallas ni indica si se han usado en campañas de ransomware; ese estatus fue marcado como “desconocido”. Eso no significa que el peligro sea remoto, sino que la agencia prefiere no publicar información operativa que pudiera facilitar un abuso mayor. Para los equipos de seguridad la prudencia manda: asumir que existe riesgo real y actuar con rapidez.
¿Qué pueden y deben hacer los responsables técnicos ahora? Lo primero es aplicar las correcciones oficiales o mitigaciones recomendadas por los fabricantes en cuanto sea posible. En entornos de desarrollo conviene verificar que servidores Vite no estén expuestos al público; las instancias de desarrollo deben ejecutarse en redes internas o detrás de túneles seguros. En el caso de plataformas orquestadoras y servicios expuestos mediante proxies inversos, revisar las reglas de enrutamiento y asegurar que las rutas administrativas y endpoints internos (como Actuator) queden inaccesibles desde redes no confiables; Traefik y otros proxies permiten definir reglas de acceso y encabezados que restringen tráfico no autorizado. Ante una posible compromisión derivada de paquetes maliciosos de npm, es imprescindible rotar tokens de autenticación, limpiar credenciales almacenadas en entornos de build y CI/CD, reinstalar dependencias desde fuentes confiables y considerar el uso de registries privados o firmas de paquetes.
También conviene incorporar medidas de prevención a mediano plazo: generar y mantener un SBOM (inventario de software), usar herramientas de escaneo de composición de software que detecten versiones comprometidas, emplear lockfiles y políticas que impidan la elevación automática de dependencias sin revisión, auditar configuraciones de proxies y firewalls, y limitar el acceso a interfaces administrativas a redes de gestión. La monitorización es clave: buscar indicadores como ejecuciones inesperadas de node.exe, creación de volcados de memoria en horarios inusuales, solicitudes hacia endpoints administrativos desde IPs externas o intentos de acceso a archivos del WebRoot.
Para las organizaciones regidas por la directiva BOD 22-01 el calendario es inapelable: las correcciones o mitigaciones deben aplicarse antes de la fecha límite fijada por CISA. Para el resto, la recomendación práctica es no demorar: actualizar, revisar configuraciones y auditar tokens y secretos. Si hay dudas sobre la exposición real, desactivar temporalmente servicios expuestos mientras se valora la amplitud del riesgo puede evitar incidentes mayores.
En resumen, estas cuatro entradas en el KEV son un recordatorio de que la seguridad moderna es un trabajo multidimensional: un mismo ecosistema reúne riesgos en el software de desarrollo, en la infraestructura de red y en la cadena de suministro. Actuar con rapidez y con procedimientos claros reduce la ventana de oportunidad de los atacantes y limita el daño potencial.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...