Una vulnerabilidad crítica en el servidor de desarrollo Metro, usado por muchas aplicaciones basadas en React Native, está siendo explotada en entornos reales y plantea un recordatorio duro para quienes administran infraestructuras de desarrollo. El fallo, registrado como CVE-2025-11953 y apodado Metro4Shell, permite a atacantes remotos sin autenticación ejecutar comandos arbitrarios en el sistema que hospeda el servidor.
La investigación pública más reciente apareció cuando la firma de ciberseguridad VulnCheck documentó intentos de explotación detectados a partir del 21 de diciembre de 2025. Antes de eso, investigadores de seguridad ya habían descrito el problema a finales de noviembre —entre ellos reportes de empresas de seguridad—, pero la actividad observada en la red de honeypots de VulnCheck muestra que no se trató de experimentos aislados: las cargas útiles entregadas se repitieron de manera consistente, lo que indica operaciones más allá de una simple prueba de concepto.
La gravedad técnica del fallo es elevada: la puntuación CVSS asociada es de 9.8. Esto refleja que el ataque puede desencadenarse de forma remota y sin credenciales, con capacidad para ejecutar código en el host afectado. Metro, el empaquetador y servidor de desarrollo que usa el ecosistema de React Native, está incluido en varios flujos de trabajo de desarrollo, y cuando esas instancias quedan accesibles desde redes no confiables pasan a comportarse como sistemas de producción desde el punto de vista del atacante.
En los incidentes analizados, los atacantes usaron la vulnerabilidad para desplegar un script de PowerShell codificado en Base64. Ese script realiza varias acciones hostiles: suprime la detección al añadir exclusiones en Microsoft Defender para el directorio de trabajo actual y para la carpeta temporal del usuario (C:\Users\\AppData\Local\Temp), establece una conexión TCP directa hacia un servidor controlado por el atacante y solicita un binario que escribe en la carpeta temporal y luego ejecuta.
El binario descargado, cuyo análisis preliminar está disponible en VirusTotal, está implementado en Rust y contiene mecanismos para dificultar su análisis estático, lo que complica el trabajo de detección y respuesta. Las conexiones salientes observadas en las intrusiones apuntaron a direcciones IP concretas asociadas con la campaña, y la recurrencia de los mismos artefactos y canales sugiere que se trata de una operación organizada y sostenida.
Este episodio vuelve a poner sobre la mesa una lección sencilla pero frecuente: la infraestructura destinada al desarrollo deja de ser "solo desarrollo" cuando es accesible desde redes externas. Un servidor Metro expuesto puede convertirse en una puerta de entrada con consecuencias graves, independientemente de que su propósito original sea probar interfaces o compilar paquetes de forma local.
Para equipos y administradores la prioridad inmediata debe ser conocer el alcance y aplicar correcciones. Actualizar los paquetes y dependencias relacionadas con Metro y con la herramienta @react-native-community/cli es el primer paso. También es aconsejable revisar la configuración de redes y firewalls para evitar que puertos de desarrollo queden expuestos públicamente, así como segmentar redes de desarrollo y producción para minimizar el impacto si una instancia se ve comprometida. El código del propio Metro está disponible públicamente en GitHub, donde pueden consultarse parches y discusiones técnicas relacionadas.
Además de parchear, conviene buscar indicadores de compromiso en las máquinas de desarrollo: comprobar exclusiones nuevas en soluciones antivirus, revisar la carpeta temporal en busca de ejecutables sospechosos, y auditar conexiones salientes hacia las IPs que se vincularon con la campaña. Si se detecta actividad maliciosa, la respuesta debería incluir aislamiento de los sistemas afectados, análisis forense y, cuando sea necesario, la reconstrucción limpia de los equipos comprometidos y la revocación de credenciales potencialmente filtradas.
La comunidad de seguridad ya ha mostrado ejemplos anteriores donde herramientas de desarrollo mal configuradas han sido aprovechadas por atacantes. Por eso, no basta con aplicar parches: es imprescindible aplicar principios de seguridad en la configuración y el despliegue. Esto pasa por evitar exponer servidores de desarrollo a Internet, exigir acceso mediante VPN o túneles seguros cuando sea estrictamente necesario, y emplear mecanismos de autenticación y control de acceso incluso en entornos internos.
Si bien la divulgación técnica inicial llegó en noviembre y la explotación activa se observó en diciembre de 2025, la visibilidad pública de estas intrusiones no siempre es inmediata ni amplia. Esto puede dejar a muchas organizaciones en la incertidumbre hasta que consultores o informes específicos sacan a la luz la actividad. Mantenerse informado revisando fuentes confiables y boletines de seguridad es clave para reaccionar con rapidez.
En resumen, la combinación de una vulnerabilidad crítica en un componente ampliamente utilizado por desarrolladores y prácticas de despliegue permisivas ha permitido una campaña con capacidad de ejecución remota y entrega de malware sofisticado. Las recomendaciones son claras: parchear, limitar la exposición de servicios de desarrollo, auditar y responder ante indicios de compromiso, y aplicar controles de acceso estrictos. Seguir estos pasos reduce notablemente la probabilidad de que una herramienta pensada para facilitar el desarrollo termine siendo una vía de ataque.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...