Una vulnerabilidad grave ha sido señalada en varios modelos de cámaras y equipos de videovigilancia de Honeywell, y la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una advertencia para administradores y clientes. El fallo, identificado por el investigador Souvik Kanda y registrado como CVE-2026-1670, recibe una puntuación de severidad crítica de 9.8: en términos prácticos, permite a un atacante sin autenticar manipular elementos clave del proceso de recuperación de cuentas y, con ello, tomar el control de cuentas de dispositivo y acceder a las transmisiones de vídeo.
En el corazón del problema está un endpoint de la API que no exige autenticación para una función sensible: cambiar la dirección de correo asociada al mecanismo de recuperación de contraseña. Aprovechando esa debilidad, un atacante puede sustituir la dirección de recuperación por una bajo su control y luego reutilizar los procesos de restablecimiento para apoderarse de la cuenta. Ese tipo de acceso no autorizado es especialmente preocupante cuando hablamos de cámaras desplegadas en oficinas, almacenes o instalaciones críticas, porque supone la posibilidad de espionaje, manipulación de la grabación o eliminación de evidencias.
La propia CISA describe la naturaleza del riesgo y lista las familias de producto afectadas; entre los modelos nombrados se encuentran varias referencias técnicas de cámaras IP y dispositivos PTZ de gama media que Honeywell comercializa para pequeñas y medianas empresas, así como para entornos industriales. Puedes consultar el aviso oficial de CISA en su página de avisos de ciberseguridad industrial: CISA ICSA-26-048-04. Para la referencia pública del identificador de la vulnerabilidad también existe la entrada en MITRE: CVE-2026-1670 (MITRE).
Honeywell es un proveedor con presencia global en soluciones de seguridad y vídeo, y comercializa además cámaras certificadas como compatibles con el NDAA para entornos gubernamentales de Estados Unidos. Aunque la compañía no ha publicado todavía un boletín técnico específico para este fallo, su canal de soporte está abierto para clientes que necesiten orientación sobre parches o mitigaciones: soporte de Honeywell. Mientras tanto, los responsables de seguridad deben actuar con prudencia y asumir que el acceso remoto a estos equipos puede representar un vector explotable.
Según la notificación de CISA, hasta el 17 de febrero no se habían reportado evidencias públicas de explotación activa de esta vulnerabilidad. Esa ausencia de pruebas no implica que el riesgo sea menor: por el contrario, muchas intrusiones pasan desapercibidas durante largo tiempo. Por eso la agencia recuerda medidas prácticas y probadas para reducir la superficie de ataque: minimizar la exposición en red de los dispositivos de control, colocarlos detrás de cortafuegos y exigir accesos remotos mediante canales seguros y actualizados, como VPNs corporativas mantenidas al día. Más orientación general sobre buenas prácticas para dispositivos IoT e infraestructuras críticas está disponible en la web de CISA: Guía de CISA sobre protección de sistemas de control y en recursos sobre ciberseguridad para dispositivos conectados: Buenas prácticas de IoT.
¿Qué deben hacer ahora los administradores y propietarios de cámaras afectadas? Lo ideal es mantener la calma y actuar de forma ordenada: comprobar inventarios para identificar si se usan los modelos señalados por CISA; restringir el acceso remoto directo desde Internet a esos equipos; revisar registros de acceso y alertas para detectar actividades anómalas; y, si es imprescindible permitir acceso remoto, hacerlo solo a través de túneles seguros y con autenticación fuerte. También es recomendable rotar credenciales y verificar las direcciones de correo asociadas a las cuentas de dispositivo, por si alguien ya hubiese intentado modificarlas.
Además, conviene coordinarse con el proveedor. Aunque Honeywell no haya emitido aún un parche público específico para CVE-2026-1670, su soporte puede ofrecer indicaciones temporales, soluciones alternativas o planes de mitigación hasta que se libere una actualización. Puedes ponerte en contacto con ellos a través del canal de soporte que mencionamos arriba. La comunicación con el fabricante es clave para recibir instrucciones oficiales y evitar falsas soluciones que pudieran empeorar la situación.
A largo plazo, este incidente recuerda una lección elemental: los dispositivos de videovigilancia forman parte del ecosistema de seguridad física y cibernética, y su gestión requiere políticas y controles coherentes. Desde segmentar redes hasta aplicar un inventario de activos y actualizaciones periódicas, pasando por la gestión de identidad y el registro centralizado de eventos, las prácticas de ciberhigiene reducen significativamente el riesgo de intrusión. Si quieres profundizar en controles y medidas defensivas recomendadas para infraestructuras críticas y sistemas de control, la CISA publica material útil y actualizado: Medidas defensivas y guías.
En resumen, CVE-2026-1670 representa una vulnerabilidad de alto impacto en varios equipos Honeywell que permite el secuestro de cuentas mediante un endpoint no autenticado para la gestión de recuperación de contraseñas. Aunque no se han confirmado ataques públicos hasta la fecha indicada por CISA, la prudencia dicta aislar y proteger estos dispositivos, auditar configuraciones y credenciales, y contactar con Honeywell para recibir las recomendaciones y parches oficiales. Mantener la vigilancia y aplicar medidas de contención ahora ayudará a evitar problemas mayores después.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...