Roundcube Webmail, el cliente de correo basado en web que desde hace años acompaña a millones de servidores y que desde 2008 se integra como interfaz por defecto en cPanel, volvió a situarse en el centro de la atención por razones que cualquier responsable de sistemas debería tomar en serio. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) añadió recientemente dos fallos de Roundcube a su catálogo de vulnerabilidades explotadas en la naturaleza y dio instrucciones estrictas para que las agencias federales apliquen parches con urgencia.
El primer fallo señalado permite la ejecución remota de código y aparece registrado como CVE-2025-49113. Fue parcheado por los responsables de Roundcube, pero investigadores y organizaciones de monitorización detectaron explotación poco después de que se publicara la corrección, lo que motivó alertas públicas sobre decenas de miles de instalaciones expuestas. El segundo problema, CVE-2025-68461, es una vulnerabilidad de cross-site scripting (XSS) que abusa de la etiqueta animate en documentos SVG y que también tiene parche disponible desde las versiones que Roundcube publicó para corregirla.
Para contextualizar la magnitud del riesgo: motores de búsqueda orientados a dispositivos conectados a Internet como Shodan muestran decenas de miles de instancias de Roundcube accesibles desde la red pública —una cifra que indica el enorme alcance potencial de cualquier vulnerabilidad crítica en este software—. Puede consultarse la búsqueda pública de Shodan relacionada con Roundcube aquí.
CISA formalizó la preocupación en una alerta oficial en la que incluyó ambas fallas en su comunicación pública y añadió las entradas al Catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), un listado que la agencia usa para priorizar acciones defensivas en el sector público. Además, CISA recordó que existen otras vulnerabilidades históricas en Roundcube que han sido aprovechadas por actores maliciosos, y por eso incluyó esta familia de fallos en su seguimiento continuo.
La respuesta del Gobierno federal fue rápida en términos de exigencia: a través de la directiva operativa vinculante conocida como BOD 22-01, se ordenó a las agencias civiles federales que completen las mitigaciones necesarias en un plazo de tres semanas. Esa prisa no es casual: las vulnerabilidades en interfaces de correo web son atractivas para delincuentes y grupos patrocinados por estados porque ofrecen un acceso relativamente directo a conversaciones y credenciales, y porque muchas instalaciones siguen expuestas durante largos periodos.
Los responsables de Roundcube publicaron correcciones que las organizaciones deben adoptar cuanto antes; las versiones correctoras para las ramas soportadas están disponibles en los canales oficiales del proyecto y en los repositorios de lanzamiento. Si administra servidores con Roundcube, es imprescindible actualizar a las versiones que incluyen los parches, revisar registros en busca de posibles accesos no autorizados y minimizar la exposición pública de la interfaz cuando sea posible. Para acceder a las publicaciones y a las versiones oficiales puede consultarse el repositorio de lanzamientos del proyecto en GitHub: Roundcube - Releases.
No es la primera vez que Roundcube sirve de vector para campañas sofisticadas. Históricamente, actores con motivaciones políticas o criminales han explotado fallos de este software para espiar administraciones y organizaciones. Este patrón —fallo público, parche y explotación en pocos días— subraya una realidad simple pero dolorosa: la ventana entre la publicación de un parche y su despliegue efectivo sigue siendo el principal punto débil en la seguridad de muchas infraestructuras.
Desde un punto de vista práctico, actualizar lo antes posible es la medida esencial. Además, conviene endurecer la exposición de interfaces web de correo mediante reglas de acceso, autenticación fuerte, monitoreo de logs y análisis de indicadores de compromiso. También es recomendable que los responsables de seguridad consulten fuentes de inteligencia y catálogos oficiales, como el listado de CISA mencionado anteriormente, para priorizar acciones según el riesgo real y la presencia del software en su entorno.
La lección que deja este episodio es clara: incluso herramientas ampliamente desplegadas y de larga trayectoria pueden convertirse en un riesgo sistémico si las actualizaciones no se aplican con rapidez y si la telemetría sobre su exposición no se integra en los procesos de seguridad. Mantener el software al día, reducir la superficie expuesta y vigilar activamente los entornos son prácticas que, en conjunto, hacen la diferencia entre un parche que protege y un parche que llega demasiado tarde.
Fuentes y lecturas recomendadas: la entrada de CISA sobre la inclusión de estas vulnerabilidades en su catálogo aquí, los detalles técnicos en el National Vulnerability Database para CVE-2025-49113 y CVE-2025-68461, la búsqueda pública de instancias de Roundcube en Shodan y el repositorio oficial de lanzamientos de Roundcube en GitHub.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...