Esta semana Trend Micro lanzó parches para dos fallos críticos en su plataforma de protección de endpoints Apex One que, si no se corrigen, permiten a un atacante ejecutar código remotamente en equipos Windows vulnerables. Se trata de vulnerabilidades en la consola de gestión que aprovechan una debilidad de recorrido de rutas (path traversal) y que, en determinadas condiciones, abren la puerta a la ejecución remota de código.
Apex One es la suite de seguridad que muchas organizaciones usan para detectar y responder a amenazas como malware, spyware y herramientas maliciosas en estaciones y servidores. Cuando la consola de administración tiene una falla en el manejo de rutas de archivos, un atacante puede forzar la lectura o escritura fuera de los directorios previstos y, en combinación con otras condiciones, convertir esa falta de control en una ejecución remota. Trend Micro describe los dos fallos en su aviso técnico, que afectan a diferentes ejecutables de la consola y han sido etiquetados como CVE-2025-71210 y CVE-2025-71211. Más información técnica y las recomendaciones oficiales están disponibles en el comunicado de la compañía: Trend Micro: advisory sobre Apex One.
Desde la nota de Trend Micro se indica además que la explotación exitosa exige acceso a la consola de gestión. En la práctica esto significa que las instancias cuya IP de administración sea accesible desde internet tienen un riesgo mayor, y por ello la empresa sugiere medidas complementarias como restringir las fuentes que pueden conectar con la consola mientras se aplica el parche. Aunque la firma señala que no se han observado explotaciones de estas vulnerabilidades en estado salvaje por ahora, su historial reciente demuestra que los fallos en componentes de administración de Apex One han sido objetivo de atacantes en varias ocasiones.
Para solucionar estos fallos Trend Micro actualizó las versiones SaaS de Apex One y publicó el Critical Patch Build 14136 para instalaciones gestionadas, que además corrige dos vulnerabilidades de escalado de privilegios en el agente de Windows y cuatro problemas adicionales en el agente para macOS. Si gestionas instancias locales, es importante aplicar este parche; si usas la modalidad SaaS, verifica que tu entorno ya esté en la última build. El aviso oficial explica los pasos y versiones afectadas: ver advisory de Trend Micro.
El registro de incidentes pasados muestra que no es una exageración tomar estas advertencias en serio. Otros fallos de Apex One han sido explotados previamente y varias entradas vinculadas a la solución aparecen en el catálogo de vulnerabilidades explotadas por actores reales que mantiene la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA). Actualmente CISA lista diez vulnerabilidades de Trend Micro Apex que han sido identificadas como explotadas en entornos reales; consultarlo ayuda a contextualizar la frecuencia y el impacto de este tipo de problemas: CISA: Known Exploited Vulnerabilities (Trend Micro Apex).
Si administras equipos protegidos por Apex One conviene priorizar varias acciones: comprobar de inmediato si la consola de gestión está expuesta a redes externas, aplicar las restricciones de acceso por IP o VPN si no están en vigor, actualizar a la última build recomendada por Trend Micro y revisar los registros y telemetría para detectar actividad inusual alrededor de la consola y de los agentes. La seguridad complementaria a nivel de red, como la segmentación y el principio de menor privilegio en las cuentas de administración, reduce la probabilidad de que una vulnerabilidad de este tipo se transforme en una intrusión mayor.
Para entender mejor por qué un fallo de recorrido de rutas puede ser tan peligroso, ayuda repasar recursos sobre este tipo de ataques: el concepto básico es que el software confía en rutas de archivos controladas por el usuario y no valida correctamente entradas que permiten escapar del directorio previsto. Recursos formativos como la documentación de OWASP explican el problema y las mitigaciones genéricas: OWASP: Path Traversal.
En resumen, aunque en esta ocasión no haya evidencia pública de explotación masiva, las condiciones descritas por Trend Micro hacen que la actualización sea prioritaria. Actualizar la consola y los agentes, limitar el acceso administrativo desde redes no confiables y vigilar la actividad de la plataforma son las medidas inmediatas que pueden marcar la diferencia entre un parche aplicado a tiempo y una brecha con consecuencias amplias.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...