Los fundamentos de la seguridad de Linux acaban de tener un mal día. Lo cuenta The Verge este 30 de abril a partir de la divulgación de Theori, la firma de seguridad coreana que descubrió el bug. CVE-2026-31431, conocida cómo «Copy Fail», es una vulnerabilidad en el módulo criptográfico authencesn del kernel de Linux que permite a cualquier usuario local sin privilegios obtener acceso root en prácticamente todas las distribuciones de Linux desde 2017. La explotación es trivial: un script de Python de 732 bytes (10 líneas) usando solo módulos de la biblioteca estándar, ningún payload compilado, ninguna instalación de dependencias. Continúa leyendo «Copy Fail: la vulnerabilidad de Linux que lleva 9 años escondida y permite obtener root con un script de 732 bytes»
Etiqueta: Vulnerabilidad
Ubuntu lleva más de un día caído: un ataque DDoS bloquea las actualizaciones justo cuando hay una vulnerabilidad crítica que parchear
La infraestructura de Canonical —la empresa que desarrolla Ubuntu— lleva más de 24 horas fuera de servicio tras un ataque de denegación de servicio distribuido (DDoS) reclamado por el grupo hacktivista «The Islamic Cyber Resistance in Iraq – 313 Team». El momento no podría ser peor: el ataque comenzó horas después de que se publicara el exploit de Copy Fail (CVE-2026-31431), una vulnerabilidad crítica del kernel de Linux que permite a cualquier usuario local escalar privilegios hasta root en prácticamente todas las distribuciones lanzadas desde 2017.
Lo informa Ars Technica en detalle, y la historia tiene una dimensión que va más allá del DDoS en sí: la coincidencia —deliberada o no— entre el ataque y la divulgación pública de una vulnerabilidad grave ha dejado a millones de administradores de sistemas sin acceso a los avisos de seguridad oficiales en el peor momento posible.
Vulnerabilidad en FortiOS: una vieja debilidad que vuelve a amenazar la autenticación VPN
Una vulnerabilidad descubierta en 2020 en el sistema FortiOS SSL VPN ha vuelto a convertirse en un riesgo activo para organizaciones que usan esta tecnología de Fortinet. El problema, catalogado como CVE-2020-12812, tiene una puntuación CVSS de 5.2 y afecta al mecanismo de autenticación de dos factores (2FA), permitiendo que usuarios eviten este segundo paso de seguridad bajo ciertas configuraciones.
El fallo se presenta cuando el nombre de usuario se introduce con una combinación distinta de mayúsculas y minúsculas respecto al valor registrado. Esto provoca que el sistema, en lugar de validar la cuenta local con 2FA, delegue la autenticación al servidor LDAP, que no distingue entre mayúsculas y minúsculas.
Imaginemos que se tiene registrado «jsmith» como usuario, pero alguien inicia sesión con «JSmith» o «jsmiTh». En ese caso, el FortiGate podría ignorar la validación 2FA y autorizar el acceso directamente a través del servidor LDAP, comprometiendo la seguridad de la red. Continúa leyendo «Vulnerabilidad en FortiOS: una vieja debilidad que vuelve a amenazar la autenticación VPN»
Un correo oculto que engaña a la IA: el nuevo riesgo en la automatización de correos electrónicos
En la actualidad, muchas personas empiezan a delegar tareas rutinarias en agentes de inteligencia artificial, como la revisión de correos electrónicos. La posibilidad de pedirle a un asistente que analice bandejas de entrada y extraiga información relevante suena tentadora, sobre todo cuando el tiempo escasea y las tareas administrativas se acumulan. Esta comodidad, sin embargo, abre la puerta a nuevos riesgos de seguridad que hasta hace poco parecían improbables.
Un reciente estudio de Radware Cybersecurity ha puesto en evidencia una vulnerabilidad crítica en la función «Investigación en profundidad» de ChatGPT, al demostrar que un simple correo electrónico, cuidadosamente diseñado, podía manipular al agente para que ejecutara acciones no autorizadas y filtrara información sensible sin que el usuario se percatara. Continúa leyendo «Un correo oculto que engaña a la IA: el nuevo riesgo en la automatización de correos electrónicos»
Vulnerabilidad en ChatGPT: ¿una amenaza persistente para los usuarios?
En un descubrimiento reciente, el investigador de seguridad Johann Rehberger ha identificado una vulnerabilidad en ChatGPT que permite a los atacantes plantar «falsas memorias» en las configuraciones de memoria a largo plazo del modelo, lo que podría comprometer la seguridad de los usuarios de manera continua. Aunque OpenAI inicialmente desestimó la vulnerabilidad, tratándola como un problema de seguridad menor, Rehberger demostró cómo este fallo podría explotarse para robar datos del usuario de forma indefinida.
Continúa leyendo «Vulnerabilidad en ChatGPT: ¿una amenaza persistente para los usuarios?»
¡Atención usuarios de Windows! Actualiza tu sistema ahora mismo
Este último mes ha sido un verdadero caos para Microsoft en términos de seguridad de su sistema operativo. Pero, ¿quién no ha pasado por momentos complicados? La buena noticia es que cuando Microsoft encuentra una vulnerabilidad, la parchean rápidamente. Claro, esto solo funciona si los usuarios actualizan sus sistemas. Así que si aún no has actualizado tu Windows 10 o Windows 11, te estás perdiendo una protección esencial.
Continúa leyendo «¡Atención usuarios de Windows! Actualiza tu sistema ahora mismo»
Vulnerabilidad en OpenSSH pone en riesgo a millones de servidores
Un nuevo informe ha revelado una grave vulnerabilidad en OpenSSH, conocida como «regreSSHion», que afecta a más de 14 millones de servidores en todo el mundo. Este problema es una regresión de una vulnerabilidad parcheada previamente en 2006, identificada como CVE-2006-5051.
Continúa leyendo «Vulnerabilidad en OpenSSH pone en riesgo a millones de servidores»
Actualiza tu PC con Windows para evitar una vulnerabilidad crítica de Wi-Fi
Si has estado posponiendo la próxima actualización de tu PC con Windows, este es el momento para hacerlo. Microsoft ha lanzado recientemente un parche para una vulnerabilidad grave en Windows 10 y Windows 11 que podría poner en riesgo tu equipo cuando se conecta a una red Wi-Fi pública.
Continúa leyendo «Actualiza tu PC con Windows para evitar una vulnerabilidad crítica de Wi-Fi»
Vulnerabilidad en plugin WordPress compromete la seguridad de miles de sitios web
En el mundo de la ciberseguridad, mantenerse actualizado es crucial. Recientemente, una campaña de malware explotó una vulnerabilidad en el complemento Popup Builder de WordPress, afectando a más de 9.000 sitios web. Este incidente subraya la importancia de mantener los complementos y aplicaciones web actualizados para protegerse contra ataques que buscan inyectar código malicioso.
Continúa leyendo «Vulnerabilidad en plugin WordPress compromete la seguridad de miles de sitios web»
Así pueden entrar en la puerta de tu hotel, hackeando el sistema
Recientemente, se ha desvelado una información que sacude los cimientos de la seguridad hotelera a nivel mundial. Un equipo de investigadores de seguridad, tras una meticulosa investigación, ha descubierto una técnica que permite desbloquear cualquier cerradura Saflok de hoteles en cuestión de segundos. Este hallazgo plantea preocupaciones inmediatas sobre la privacidad y seguridad de los huéspedes, por lo que hay trabajo pendiente para volver a recuperar la seguridad.
Continúa leyendo «Así pueden entrar en la puerta de tu hotel, hackeando el sistema»