La CISA añadió el 9 de junio de 2026 tres vulnerabilidades al catálogo Known Exploited Vulnerabilities (KEV) después de detectar que los atacantes ya las usan en campañas reales. La medida pone el foco en entornos muy distintos, desde la infraestructura de red hasta el navegador, y fija para las agencias federales incluidas en el programa FCEB una fecha límite de mitigación: el 23 de junio de 2026.

La primera, CVE-2026-20245, afecta a Cisco Catalyst SD-WAN Manager. El fallo permite que un atacante con acceso autenticado y local ejecute comandos arbitrarios con privilegios de root. El vector pasa por suministrar un fichero manipulado al sistema, un detalle que vuelve especialmente relevante el control de qué archivos se suben, se importan o se procesan en la plataforma de administración.

La segunda, CVE-2026-11645, golpea al motor V8 de Google Chrome. El escenario es el clásico que preocupa a cualquier organización: un atacante remoto puede preparar una página HTML manipulada para lograr ejecución de código dentro del sandbox del navegador. Google ya corrigió el problema en Chrome Stable Desktop para Windows, macOS y Linux, y mantuvo restringidos varios detalles técnicos mientras la actualización llega a la mayoría de usuarios. La recomendación práctica es inmediata: actualizar al menos a 149.0.7827.103 y comprobarlo desde chrome://settings/help.

El tercer caso, CVE-2026-7473, afecta a Arista EOS y abre la puerta a un procesamiento inesperado de tráfico tunelizado que el equipo no tiene configurado, siempre que actúe como endpoint de túnel con una IP de desencapsulación. El riesgo se concentra en familias como Arista 7020R, 7280R/7280R2 y 7500R/7500R2, sobre todo si existe configuración como VXLAN VTEP, decap groups o una interfaz GRE.

Aquí hay un matiz importante: Arista no prevé publicar un parche para esta vulnerabilidad y apuesta por mitigaciones. La vía recomendada pasa por aplicar ACL en los propios equipos o en dispositivos situados aguas arriba para permitir solo el tráfico de túnel legítimo y bloquear el malicioso. También conviene inventariar qué switches actúan como endpoints con desencapsulación, revisar si esa función debe permanecer expuesta y reforzar segmentación y filtrados en redes de administración.

Para organizaciones fuera del ámbito federal estadounidense, el catálogo KEV funciona como termómetro fiable de prioridad: si una debilidad entra ahí, no espera. Parchear Chrome, endurecer el acceso a la CLI y a redes de gestión en Cisco, y aplicar controles de tráfico en Arista marca la diferencia entre una incidencia contenida y una intrusión con recorrido.

Más información

• The Hacker News – CISA Adds Cisco, Chrome, and Arista Flaws to KEV Catalog Amid Active Exploitation : https://thehackernews.com/2026/06/cisa-adds-cisco-chrome-and-arista-flaws.html
• TechRadar – Update Chrome now — Google patches new zero-day flaw already being exploited : https://www.techradar.com/pro/security/update-chrome-now-google-patches-new-zero-day-flaw-already-being-exploited

La entrada CISA incorpora fallos explotados en Cisco, Chrome y Arista a su catálogo KEV se publicó primero en Una Al Día.

La tanda de parches de Microsoft del 9 de junio de 2026 llega con un volumen poco cómodo incluso para los equipos acostumbrados al Patch Tuesday: corrige alrededor de 200 vulnerabilidades y mete en el mismo paquete seis zero-day, cinco ya divulgadas públicamente y una con explotación activa. La actualización afecta a Windows en varios componentes y también a Microsoft Exchange Server, con implicaciones claras para organizaciones con servidores expuestos a Internet.

El balance técnico incluye 33 fallos críticos. Dentro de ese grupo aparecen 28 vulnerabilidades de ejecución remota de código, además de errores de elevación de privilegios y divulgación de información. Es el tipo de boletín que obliga a priorizar, porque mezcla problemas explotables a distancia con otros que facilitan pasar de un acceso limitado a control total del sistema.

El caso más delicado se centra en CVE-2026-42897, un fallo de suplantación en Microsoft Exchange Server 2016, 2019 y Subscription Edition (SE). Permite ejecutar JavaScript en el navegador dentro de Outlook Web Access (OWA) cuando el usuario abre un correo manipulado. Se ha visto en ataques reales y, de hecho, CISA lo incorporó a su catálogo de vulnerabilidades explotadas conocidas a mediados de mayo, elevando la presión sobre los administradores de correo.

Otra corrección sensible apunta a HTTP.sys con CVE-2026-49160, un DoS asociado al patrón HTTP/2 Bomb. El ataque dispara el consumo de recursos forzando un uso desproporcionado de memoria mediante cabeceras HTTP/2 y parámetros de flow control. Microsoft añadió el ajuste de registro MaxHeadersCount para limitar el número de cabeceras aceptadas en peticiones HTTP/2 y HTTP/3, con instrucciones específicas en KB5102602, una medida práctica para servidores expuestos.

El boletín también toca el cifrado. CVE-2026-45585, vinculada al alias YellowKey, permite saltarse BitLocker con acceso físico, un riesgo especialmente relevante en equipos con Windows 11 configurados en modo solo TPM, y en Windows Server 2022 y Windows Server 2025. A esto se suma CVE-2026-50507, otro bypass asociado al nombre bitskrieg, que llega con una advertencia operativa: en algunos equipos pueden aparecer problemas de arranque ligados a la carga de la clave de BitLocker.

En el terreno de privilegios, Microsoft corrige CVE-2020-17103 en Windows Cloud Files Mini Filter Driver, asociada a Mini Plasma, y CVE-2026-45586 en Windows Collaborative Translation Framework, relacionada con GreenPlasma. En ambos casos la preocupación es clara: estos fallos pueden convertir una intrusión limitada en una shell con permisos SYSTEM, el punto en el que el atacante ya juega con ventaja.

La recomendación para administradores y responsables de seguridad pasa por actuar en dos velocidades. Primero, desplegar con prioridad los parches de junio en servidores expuestos a Internet y en sistemas con datos sensibles. En Exchange, conviene instalar la actualización cuanto antes y mantener habilitado Exchange Emergency Mitigation Service, conservando la mitigación aplicada para CVE-2026-42897 como una capa adicional. En servidores que dependan de HTTP.sys, la configuración de MaxHeadersCount ayuda a reducir la superficie ante ataques de tipo HTTP/2 Bomb.

Para entornos con exigencias de protección física, merece la pena revisar BitLocker y evitar el modo solo TPM cuando proceda, migrando a TPM+PIN. Y si tras parchear CVE-2026-50507 aparece el error de BitLocker relacionado con la carga de clave, Microsoft apunta una salida práctica: reinicializar WinRE desactivándolo y activándolo de nuevo con reagentc en una consola con privilegios elevados. Como siempre en parches que tocan el arranque, lo sensato es validar primero en preproducción y vigilar de cerca los equipos más críticos.

Más información

• BleepingComputer – Microsoft June 2026 Patch Tuesday fixes 6 zero-days, 200 flaws : https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-6-zero-days-200-flaws/
• BleepingComputer – Microsoft patches Exchange Server zero-day exploited in attacks : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-exchange-server-zero-day-exploited-in-attacks/

La entrada Microsoft tapa 200 fallos en Windows y Exchange con seis vulnerabilidades zero-day se publicó primero en Una Al Día.

La CISA ha activado el modo urgencia con Check Point: la agencia estadounidense ha metido CVE-2026-50751 en el catálogo KEV de vulnerabilidades explotadas y ha ordenado a las agencias federales que lo remedien antes del 11 de junio de 2026, un margen inusualmente corto. El movimiento no responde a un riesgo teórico. La explotación se ha observado en ataques reales y, al menos en un incidente, se ha vinculado la actividad posterior a la intrusión con un afiliado de ransomware Qilin, con una atribución de confianza media.

El problema afecta al perímetro, justo donde más duele. CVE-2026-50751 permite que un atacante remoto no autenticado se salte la autenticación y levante una sesión de VPN de acceso remoto. La condición clave aparece en despliegues de Check Point Remote Access VPN y Mobile Access que todavía aceptan IKEv1, un protocolo obsoleto que muchas organizaciones mantienen por compatibilidad con clientes antiguos. El escenario se agrava cuando el gateway admite clientes heredados y no exige certificado de máquina para conectar.

A nivel técnico, el fallo encaja en CWE-287 por autenticación incorrecta y alcanza una puntuación CVSS 9,3. La debilidad nace de una lógica defectuosa en la validación de certificados durante el intercambio IKEv1 en componentes de acceso remoto. Tras el bypass, el atacante aún necesita acciones adicionales para moverse por la red, acceder a recursos internos o escalar privilegios, pero la puerta de entrada queda abierta en un servicio expuesto.

La actividad se detecta desde, al menos, el 7 de mayo de 2026, con un repunte a principios de junio. Se describe como una campaña de alcance limitado, con varias decenas de organizaciones afectadas en distintos países, pero el patrón encaja con lo que más buscan hoy los grupos de extorsión: credenciales y sesiones en el borde para colarse sin levantar demasiadas alarmas.

Check Point publicó hotfixes el 8 de junio de 2026 para múltiples ramas, entre ellas R80.20.X, R80.40, R81, R81.10, R81.10.X, R81.20, R82, R82.00.X y R82.10. El detalle incómodo es que varias de esas ramas ya han llegado a fin de soporte, como R80.20.X, R80.40, R81 y R81.10, lo que complica el mantenimiento y reduce el margen de maniobra ante incidentes.

En paralelo, la compañía ha identificado CVE-2026-50752 con CVSS 7,4 en el mismo camino de código de IKEv1, potencialmente útil para ataques de tipo intermediario en túneles site to site bajo ciertas configuraciones, sin señales de explotación activa.

La lista de prioridades para equipos de seguridad es clara: aplicar ya los hotfix, desactivar IKEv1 y forzar IKEv2, retirar el soporte de cliente heredado cuando sea viable y obligar al certificado de máquina en las conexiones. También conviene activar IPS y actualizar firmas, además de auditar logs y cambios de configuración desde el 7 de mayo para detectar accesos anómalos y rastros de movimiento lateral. Incluso tras parchear, la recomendación operativa pasa por una búsqueda proactiva de compromiso, con especial atención a posibles mecanismos de persistencia y herramientas de exfiltración. Si la infraestructura sigue en ramas fuera de soporte, toca acelerar la migración a versiones mantenidas: en el perímetro, la deuda técnica se paga con intereses.

Más información

• SC Media – CISA adds Check Point VPN bug to list of exploited vulnerabilities : https://www.scworld.com/news/cisa-adds-check-point-vpn-bug-to-list-of-exploited-vulnerabilities
• Rapid7 – Critical Check Point VPN Zero-Day Exploited in the Wild (CVE-2026-50751) : https://www.rapid7.com/blog/post/etr-critical-check-point-vpn-zero-day-exploited-in-the-wild-cve-2026-50751/

La entrada CISA impone un parche exprés para un fallo crítico en la VPN de Check Point explotado por Qilin se publicó primero en Una Al Día.

El kernel de Linux arrastra un fallo de seguridad relevante en nf_tables, la pieza del subsistema netfilter que permite a nftables gestionar filtrado y reglas de red. El problema abre la puerta a una escalada local de privilegios hasta root cuando el sistema permite a usuarios sin privilegios crear user namespaces y usar nftables, una combinación habitual en muchos entornos modernos y, sobre todo, en máquinas multiusuario o con servicios donde conviven cuentas con distintos niveles de confianza.

La vulnerabilidad se encuadra en un use after free, un tipo de error especialmente delicado porque deja al kernel usando memoria que ya se ha liberado. Aquí la causa está en una comprobación con lógica invertida dentro de nft_map_catchall_activate(), durante el camino de abortado de una transacción. Cuando el kernel intenta reactivar elementos catchall en mapas de veredictos, la condición mal planteada hace que se salten elementos inactivos que deberían restaurarse.

Esa omisión no es un detalle menor: impide recomponer correctamente el contador chain->use de una cadena que sigue referenciada por veredictos NFT_GOTO o NFT_JUMP. Tras repetir abortos de transacciones, el contador puede bajar a cero aunque todavía existan referencias válidas. En ese punto, el sistema permite borrar la cadena y liberar memoria que el kernel aún considera accesible. El resultado es el use after free y, con suficiente control, la posibilidad de tomar el mando.

La investigación pública describe una cadena de explotación completa: incluye fugas de direcciones del kernel para sortear KASLR, filtrado de direcciones en el heap y un secuestro del flujo de ejecución mediante ROP. En pruebas controladas, el exploit supera el 99 por ciento de estabilidad en condiciones ociosas, aunque la tasa cae aproximadamente al 80 por ciento cuando se somete al sistema a una presión intensa de asignaciones de memoria.

El parche se incorporó al proyecto original el 5 de febrero de 2026 y el seguimiento se ha consolidado como CVE-2026-23111, con clasificaciones de severidad altas en distribuciones populares. Ubuntu lo marca como alta prioridad y le asigna una CVSS v3.1 de 7.8, con vector local, baja complejidad y sin necesidad de interacción del usuario.

La mitigación pasa por algo poco glamuroso pero urgente: actualizar. Conviene aplicar los kernels corregidos cuanto antes, priorizando servidores y equipos multiusuario. También resulta sensato revisar el hardening de user namespaces donde no aporten valor operativo, limitar quién puede gestionar reglas de nftables y vigilar el despliegue de kernels en ramas LTS y variantes específicas de proveedores cloud, donde los desfases de versión suelen convertirse en la grieta por la que se cuelan este tipo de escaladas.

Más información

• blog.exodusintel.com – Off By !: Exploiting a Use-after-Free in the Linux Kernel : https://blog.exodusintel.com/2026/06/08/off-by-exploiting-a-use-after-free-in-the-linux-kernel/
• The Hacker News – One-Character Linux Kernel Flaw Enables Local Root Access, Exploits Now Public : https://thehackernews.com/2026/06/one-character-linux-kernel-flaw-enables.html
• Ubuntu Security – CVE-2026-23111 : https://ubuntu.com/security/CVE-2026-23111
• Debian Security Tracker – CVE-2026-23111 : https://security-tracker.debian.org/tracker/CVE-2026-23111

La entrada Un fallo en nftables permite escalar a root en Linux con un exploit estable se publicó primero en Una Al Día.

La campaña Miasma ha sacudido el ecosistema de desarrollo de Microsoft tras comprometer 73 repositorios públicos alojados en GitHub. La plataforma los deshabilitó en bloque y el incidente se extendió por varias organizaciones, entre ellas Azure, Azure Samples, Microsoft y MicrosoftDocs, con un efecto colateral especialmente incómodo: la interrupción de flujos de trabajo que dependían de Azure/functions-action, una GitHub Action oficial utilizada para desplegar Azure Functions.

El punto de partida se localizó en un commit malicioso dentro de Azure/durabletask. Los atacantes lograron introducirlo mediante una cuenta de colaborador comprometida, un detalle clave porque desplaza el foco desde las vulnerabilidades tradicionales hacia algo más difícil de frenar: la confianza depositada en el modelo de mantenimiento y en las credenciales válidas. El cambio buscó pasar desapercibido. Incluyó la marca skip ci, un sello temporal retrodatado y evitó tocar ficheros de código fuente para no levantar sospechas inmediatas.

El mecanismo de ejecución también resulta revelador. En vez de inyectar backdoors en librerías, el ataque añadió ficheros de configuración pensados para disparar auto-ejecución al abrir el repositorio en herramientas de desarrollo. Ahí entran desde Visual Studio Code, mediante tareas que se activan al abrir una carpeta, hasta agentes y entornos populares como Claude Code y Gemini CLI, con hooks de SessionStart, o Cursor, donde se observaron reglas y técnicas de prompt injection orientadas a activar comportamiento no deseado.

La carga maliciosa residía en un script JavaScript ubicado como .github/setup.js. Aparecía ofuscado y con un tamaño de varios megabytes, un patrón compatible con intentos de dificultar el análisis, y apuntaba al robo de credenciales. En paralelo, el caso mostró conexiones con la recomprometida del paquete durabletask en PyPI, que semanas antes ya se había usado para distribuir un ladrón de información en sistemas Linux, lo que refuerza la lectura de una campaña persistente centrada en cadena de suministro.

Para equipos de seguridad y desarrollo, las prioridades se parecen más a una respuesta a incidente clásica que a una simple revisión de dependencias. La recomendación pasa por tratar como potencialmente comprometido cualquier equipo que haya abierto repositorios afectados en VS Code, Claude Code, Cursor o Gemini CLI, y rotar cuanto antes credenciales accesibles desde ese entorno: tokens de GitHub, credenciales de Azure, AWS y GCP, claves SSH, secretos de Kubernetes, tokens de npm y credenciales guardadas en ficheros de configuración.

Conviene también auditar repositorios propios en busca de rutas y artefactos típicos de esta intrusión, como .claude/, .gemini/, .cursor/, .vscode/tasks.json y .github/setup.js. En red, se han señalado indicadores vinculados a la infraestructura de la campaña, incluidos los dominios check.git-service[.]com y t.m-kosche[.]com, útiles para búsquedas en logs y posibles bloqueos.

En el plano operativo, el incidente vuelve a poner el foco en una práctica que muchos equipos todavía dejan para más adelante: fijar GitHub Actions a un SHA de commit en vez de depender de etiquetas mutables como v1. Y, si un pipeline depende de Azure/functions-action@v1, se recomienda migrar temporalmente a alternativas como Azure CLI o Azure DevOps Pipelines. A partir de ahí, protecciones de rama, revisiones obligatorias por pull request y controles sobre el tráfico saliente desde runners de CI/CD completan el cinturón de seguridad frente a un gusano que no necesitó explotar un bug para colarse, le bastó con parecer legítimo.

Más información

• The Hacker News – Miasma Worm Hits 73 Microsoft GitHub Repositories in Major Supply Chain Attack : https://thehackernews.com/2026/06/miasma-worm-hits-73-microsoft-github.html
• StepSecurity – Miasma Worm Hits Microsoft Again: Azure Functions Action and 72 Other Repositories Disabled After Supply Chain Attack Targeting AI Coding Agents : https://www.stepsecurity.io/blog/miasma-worm-hits-microsoft-again-azure-functions-action-and-72-other-repositories-disabled-after-supply-chain-attack-targeting-ai-coding-agents

La entrada El gusano Miasma compromete 73 repositorios de Microsoft en GitHub y fuerza su desactivación se publicó primero en Una Al Día.

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos ha lanzado una alerta por ataques en curso contra sistemas Automatic Tank Gauge (ATG) que permanecen expuestos directamente a Internet. Este tipo de equipos, habituales en entornos de tecnología operacional (OT), se usan para monitorizar niveles, temperatura y posibles fugas en tanques que almacenan combustible y otros líquidos. Cuando alguien los deja accesibles desde fuera, un incidente ya no se queda en la pantalla de un panel de control: puede trasladarse al terreno, con consecuencias físicas y ambientales.

Los ATG aparecen en sectores catalogados como infraestructuras críticas, desde energía y químico hasta alimentación, agricultura y transporte. La advertencia no habla de una única debilidad concreta, sino de un patrón que se repite en sistemas industriales conectados sin la debida protección: acceso inicial mediante elusión de autenticación, uso de credenciales codificadas de forma fija o contraseñas triviales, explotación de fallos de ejecución de comandos del sistema operativo, inyección SQL y posteriores técnicas de escalada de privilegios.

Una vez dentro, el problema cambia de escala. Los atacantes pueden tocar ajustes que condicionan la operación diaria: configuración de red, identificadores de producto, volúmenes del tanque o incluso controles de bombeo. La manipulación resulta especialmente delicada cuando desactiva alertas o altera la supervisión del llenado, porque dificulta detectar a tiempo una fuga o un fallo de equipo. En un entorno industrial, retrasar una alarma no es un detalle menor.

Por ahora, la actividad no se atribuye a un actor o país concreto, y la autoría sigue sin verificación. También se ha relacionado este tipo de intrusiones con episodios en gasolineras de varios estados, donde se habrían manipulado lecturas en pantalla sin que cambiasen los niveles reales, una afirmación que todavía requiere confirmación definitiva.

El mensaje defensivo es directo: sacar los ATG de la exposición a Internet y tratar el acceso remoto como una excepción, no como la norma. La recomendación pasa por limitar conexiones con cortafuegos, VPN o listas de control de acceso, sustituir contraseñas por defecto por claves robustas y únicas, y activar autenticación multifactor cuando el producto y la operativa lo permitan. A esto se suma lo de siempre, que en OT suele llegar tarde: aplicar parches del fabricante y vigilar registros y cambios de configuración.

En la práctica, conviene afinar la monitorización para detectar señales típicas de manipulación, como la desactivación de alertas, cambios inesperados en parámetros de red o modificaciones en valores operativos críticos, por ejemplo volúmenes y controles de bombeo. En sistemas que miden y previenen fugas, la integridad de los datos es casi tan importante como la propia seguridad perimetral.

Más información

• BleepingComputer – CISA warns of cyberattacks targeting fuel tank monitoring systems : https://www.bleepingcomputer.com/news/security/cisa-warns-of-cyberattacks-targeting-fuel-tank-monitoring-systems/amp/
• Homeland Security Today – Cybersecurity and Infrastructure Security Agency Urges Stronger Security for Automatic Tank Gauge Systems : https://www.hstoday.us/subject-matter-areas/cybersecurity/cybersecurity-and-infrastructure-security-agency-urges-stronger-security-for-automatic-tank-gauge-systems/

La entrada CISA alerta de ataques activos contra sistemas de medición de tanques de combustible expuestos a Internet se publicó primero en Una Al Día.

Un ataque de denegación de servicio remoto, conocido como HTTP/2 Bomb, está poniendo contra las cuerdas a varias implementaciones de HTTP/2 capaces de caer en menos de un minuto por agotamiento de memoria. El fallo se ha asociado a CVE-2026-49975 en el entorno de Apache HTTP Server, pero la técnica no se queda ahí: pruebas públicas muestran caídas rápidas también en nginx, Envoy y hasta Microsoft IIS en Windows Server 2025.

La idea no consiste en enviar cabeceras enormes, que es lo que muchos sistemas ya vigilan. El truco combina dos abusos de HTTP/2 que, juntos, resultan explosivos. Primero, una ‘bomba’ basada en HPACK, el mecanismo de compresión de cabeceras, fuerza al servidor a realizar asignaciones internas desproporcionadas mediante referencias indexadas. Después, el atacante bloquea el control de flujo llevando la ventana a cero, de forma que el servidor no termina de enviar la respuesta ni libera recursos. La petición queda ‘viva’ y la memoria, retenida.

Las cifras impresionan porque rebajan la barrera de entrada. Un único cliente con una conexión de unos 100 Mbps puede disparar el consumo hasta decenas de gigabytes en segundos. En las demostraciones publicadas, un entorno con Envoy 1.37.2 agota 32 GB en torno a 10 segundos; Apache httpd 2.4.67 tarda unos 18; nginx 1.29.7 ronda los 45. En IIS sobre Windows Server 2025, la prueba llega a vaciar 64 GB en aproximadamente 45 segundos.

El ataque, además, sortea defensas que solo miran el tamaño total de cabeceras ya decodificadas. La amplificación nace de la contabilidad por campo y de asignaciones internas del servidor, no de valores especialmente grandes en texto plano. Por eso, imponer límites únicamente por bytes puede no frenar la caída.

Las correcciones ya están sobre la mesa. nginx 1.29.8 introduce la directiva max_headers, con un límite por defecto de 1.000 cabeceras, para cortar el abuso por número de campos. En Apache, mod_http2 2.0.41 ajusta el recuento para que las cabeceras Cookie, incluidas las ‘migas’ cuando se reparten en varios campos, computen contra LimitRequestFields, una diferencia clave en escenarios reales.

Para quienes operan servicios expuestos y no pueden parchear de inmediato, la recomendación práctica pasa por reducir superficie: desactivar HTTP/2 temporalmente, por ejemplo con http2 off en nginx o forzando Protocols http/1.1 en Apache. Otra opción razonable consiste en colocar un proxy inverso o un terminador HTTP/2 delante, con límites estrictos al número de cabeceras por solicitud, contando también fragmentos de Cookie.

En paralelo, conviene separar límites, uno para el tamaño total de cabeceras decodificadas y otro para el número de campos, sin fiarlo todo a una sola métrica. También ayuda acotar la vida máxima de streams bloqueados para evitar retenciones indefinidas, y fijar topes de memoria por proceso o worker con cgroups, ulimit o límites del contenedor, para que un único worker caído no arrastre toda la máquina por swapping.

El riesgo crece porque ya circulan pruebas de concepto y laboratorios de demostración, lo que suele acelerar la adopción en campañas. Envoy ha publicado parches que parecen mitigar la técnica, aunque la validación completa de cobertura figura como pendiente. En un protocolo tan extendido como HTTP/2, la rapidez al desplegar actualizaciones y límites sensatos marca la diferencia entre una caída puntual y una interrupción sistemática del servicio.

Más información

• BleepingComputer – New ‘HTTP/2 Bomb’ DoS attack crashes web servers in under a minute : https://www.bleepingcomputer.com/news/security/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute/
• Calif – Codex Discovered a Hidden HTTP/2 Bomb : https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb
• seclists.org (oss-sec) – HTTP/2 Bomb affects Apache httpd, nginx, envoy, & pingora : https://seclists.org/oss-sec/2026/q2/790

La entrada Un ataque HTTP/2 Bomb tumba servidores web al agotar la memoria se publicó primero en Una Al Día.

Un ataque de denegación de servicio remoto, conocido como HTTP/2 Bomb, está poniendo contra las cuerdas a varias implementaciones de HTTP/2 capaces de caer en menos de un minuto por agotamiento de memoria. El fallo se ha asociado a CVE-2026-49975 en el entorno de Apache HTTP Server, pero la técnica no se queda ahí: pruebas públicas muestran caídas rápidas también en nginx, Envoy y hasta Microsoft IIS en Windows Server 2025.

La idea no consiste en enviar cabeceras enormes, que es lo que muchos sistemas ya vigilan. El truco combina dos abusos de HTTP/2 que, juntos, resultan explosivos. Primero, una ‘bomba’ basada en HPACK, el mecanismo de compresión de cabeceras, fuerza al servidor a realizar asignaciones internas desproporcionadas mediante referencias indexadas. Después, el atacante bloquea el control de flujo llevando la ventana a cero, de forma que el servidor no termina de enviar la respuesta ni libera recursos. La petición queda ‘viva’ y la memoria, retenida.

Las cifras impresionan porque rebajan la barrera de entrada. Un único cliente con una conexión de unos 100 Mbps puede disparar el consumo hasta decenas de gigabytes en segundos. En las demostraciones publicadas, un entorno con Envoy 1.37.2 agota 32 GB en torno a 10 segundos; Apache httpd 2.4.67 tarda unos 18; nginx 1.29.7 ronda los 45. En IIS sobre Windows Server 2025, la prueba llega a vaciar 64 GB en aproximadamente 45 segundos.

El ataque, además, sortea defensas que solo miran el tamaño total de cabeceras ya decodificadas. La amplificación nace de la contabilidad por campo y de asignaciones internas del servidor, no de valores especialmente grandes en texto plano. Por eso, imponer límites únicamente por bytes puede no frenar la caída.

Las correcciones ya están sobre la mesa. nginx 1.29.8 introduce la directiva max_headers, con un límite por defecto de 1.000 cabeceras, para cortar el abuso por número de campos. En Apache, mod_http2 2.0.41 ajusta el recuento para que las cabeceras Cookie, incluidas las ‘migas’ cuando se reparten en varios campos, computen contra LimitRequestFields, una diferencia clave en escenarios reales.

Para quienes operan servicios expuestos y no pueden parchear de inmediato, la recomendación práctica pasa por reducir superficie: desactivar HTTP/2 temporalmente, por ejemplo con http2 off en nginx o forzando Protocols http/1.1 en Apache. Otra opción razonable consiste en colocar un proxy inverso o un terminador HTTP/2 delante, con límites estrictos al número de cabeceras por solicitud, contando también fragmentos de Cookie.

En paralelo, conviene separar límites, uno para el tamaño total de cabeceras decodificadas y otro para el número de campos, sin fiarlo todo a una sola métrica. También ayuda acotar la vida máxima de streams bloqueados para evitar retenciones indefinidas, y fijar topes de memoria por proceso o worker con cgroups, ulimit o límites del contenedor, para que un único worker caído no arrastre toda la máquina por swapping.

El riesgo crece porque ya circulan pruebas de concepto y laboratorios de demostración, lo que suele acelerar la adopción en campañas. Envoy ha publicado parches que parecen mitigar la técnica, aunque la validación completa de cobertura figura como pendiente. En un protocolo tan extendido como HTTP/2, la rapidez al desplegar actualizaciones y límites sensatos marca la diferencia entre una caída puntual y una interrupción sistemática del servicio.

Más información

• BleepingComputer – New ‘HTTP/2 Bomb’ DoS attack crashes web servers in under a minute : https://www.bleepingcomputer.com/news/security/new-http-2-bomb-dos-attack-crashes-web-servers-in-under-a-minute/
• Calif – Codex Discovered a Hidden HTTP/2 Bomb : https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb
• seclists.org (oss-sec) – HTTP/2 Bomb affects Apache httpd, nginx, envoy, & pingora : https://seclists.org/oss-sec/2026/q2/790

La entrada Un ataque HTTP/2 Bomb tumba servidores web al agotar la memoria se publicó primero en Una Al Día.

Una vulnerabilidad crítica en Windows Netlogon, identificada como CVE-2026-41089, se explota de forma activa y apunta directamente al corazón de muchas redes corporativas: los controladores de dominio de Windows Server. El problema preocupa por un motivo sencillo: permite lanzar el ataque por red sin autenticación y sin interacción del usuario, justo el tipo de fallo que convierte un incidente aislado en una crisis de Active Directory.

El defecto reside en un desbordamiento de búfer en pila dentro del componente Netlogon, un servicio clave en la relación de confianza entre equipos y dominio. En la práctica, un atacante puede enviar tráfico especialmente manipulado y desencadenar ejecución remota de código en el servidor que actúe como controlador de dominio. La puntuación estimada, CVSS 3.1 9.8, encaja con ese escenario: impacto máximo y barreras de entrada muy bajas.

La afectación incluye versiones con soporte de Windows Server, incluida Windows Server 2025. En entornos empresariales, la explotación en un controlador de dominio abre la puerta a una toma de control mucho más amplia del entorno, con movimiento lateral acelerado si la red no está bien segmentada. Por eso los administradores suelen tratar cualquier señal en un DC como una emergencia, aunque los detalles públicos sobre indicadores concretos y el alcance de la campaña sigan siendo limitados.

Microsoft distribuyó las correcciones en el Patch Tuesday de mayo, con fecha 12 de mayo de 2026. La recomendación operativa pasa por parchear cuanto antes y, sobre todo, evitar un bosque a medias: conviene actualizar todos los controladores de dominio en la misma ventana de mantenimiento para no dejar rutas alternativas.

Mientras se despliegan los parches, toca reducir superficie de ataque. Limitar el tráfico Netlogon a orígenes estrictamente necesarios, revisar segmentación y vigilar anomalías ayuda a ganar tiempo. Entre las señales que se han descrito figuran caídas o reinicios del servicio Netlogon, patrones extraños de tráfico desde equipos que no deberían hablar con ese servicio, picos de fallos de autenticación y errores de confianza de dominio tras actividad sospechosa.

Si aparece cualquier indicio, conviene aislar y analizar el controlador de dominio afectado y activar procedimientos de respuesta orientados a posible compromiso de Active Directory. Para infraestructuras antiguas con dificultades para parchear a tiempo, existen micropatches como medida temporal, especialmente en Windows Server 2008 R2, 2012 y 2012 R2, aunque el mensaje de fondo no cambia: cuanto más se retrase la actualización, más fácil se lo pone a un atacante.

Más información

• BleepingComputer – Critical Windows Netlogon RCE flaw now exploited in attacks : https://www.bleepingcomputer.com/news/microsoft/critical-windows-netlogon-remote-code-execution-flaw-now-exploited-in-attacks/
• Tom’s Hardware – Windows Server vulnerability can grant system privileges with just a malformed packet — domain controllers are being exploited in the wild : https://www.tomshardware.com/tech-industry/cyber-security/windows-server-vulnerability-can-grant-system-privileges-with-just-a-malformed-packet-domain-controllers-are-being-exploited-in-the-wild
• Help Net Security – Windows Netlogon RCE exploited, domain controllers at risk (CVE-2026-41089) : https://www.helpnetsecurity.com/2026/06/01/windows-netlogon-rce-exploited-cve-2026-41089/

La entrada Atacantes explotan un fallo crítico en Windows Netlogon y ponen en jaque a los controladores de dominio se publicó primero en Una Al Día.

Un atacante comprometió más de 30 paquetes npm asociados a Red Hat en el espacio de nombres @redhat-cloud-services y los modificó para distribuir Miasma, una variante de Shai-Hulud orientada al robo de credenciales. La campaña, detectada a partir de publicaciones manipuladas en el registro, se concentra en equipos de desarrollo y en runners de CI/CD, justo donde suelen vivir los secretos con más valor.

El truco está en un detalle incómodo del ecosistema: los scripts de instalación. Los paquetes alterados añadieron un preinstall que ejecuta un payload ofuscado durante npm install o npm ci, antes incluso de que el software llegue a arrancar. Esto cambia el modelo mental de muchos equipos: no hace falta ‘usar’ la dependencia en producción para quedar expuesto, basta con resolver e instalar una versión afectada.

Los análisis apuntan a 32 paquetes y 96 versiones señaladas como maliciosas, aunque la lista exacta varía por componente. Una vez activo, Miasma busca y exfiltra credenciales típicas del día a día de un desarrollador y de una pipeline: tokens de GitHub, credenciales cloud, tokens de CI, claves SSH, tokens de publicación de npm y PyPI, credenciales de Docker, claves GPG y ficheros .env. El objetivo no se limita al robo puntual. Si el entorno comprometido tiene permisos para publicar, el atacante puede intentar expandirse a otros proyectos reutilizando esa capacidad.

La vía de publicación también deja lecciones. La campaña se apoya en GitHub Actions y en el permiso id-token: write para obtener un token OIDC de corta duración, luego canjeado en el endpoint de publicación confiable de npm. Este enfoque reduce la necesidad de almacenar un token estático de npm en secretos, pero también abre una puerta si alguien cuela un workflow malicioso en el repositorio. En este caso, hay indicios de compromiso de una cuenta de GitHub de un empleado y de commits que introdujeron workflows y scripts para automatizar la publicación de versiones troyanizadas.

Red Hat retiró los paquetes afectados del registro y sostiene que el alcance se limitó a tooling interno, sin evidencias de impacto en clientes, socios ni sistemas de producción de la compañía, mientras la investigación sigue abierta. No consta una asignación de CVE para el incidente, que se está siguiendo mediante avisos y análisis de plataformas de seguridad.

Para equipos que dependan de @redhat-cloud-services, el consejo es tratar cualquier instalación desde el 1 de junio de 2026 como potencial incidente. Conviene buscar dependencias en package-lock.json, pnpm-lock.yaml y yarn.lock, fijar versiones conocidas como seguras y regenerar lockfiles para evitar resolver versiones afectadas. Si una workstation o un runner instaló una de esas versiones, la prioridad pasa por contención del host y rotación urgente de secretos, empezando por tokens de npm y GitHub, claves SSH y, después, credenciales cloud y tokens de CI/CD.

También toca revisar organizaciones y repositorios en GitHub en busca de workflows inesperados, especialmente los que pidan id-token: write, además de auditar logs de CI y del registro npm por publicaciones no autorizadas. Y, a medio plazo, endurecer pipelines: limitar permisos en GitHub Actions, acotar el uso de OIDC a ramas y workflows concretos, exigir protecciones de rama y combinar verificación de procedencia con controles de comportamiento y políticas prudentes al adoptar versiones nuevas.

Más información

• BleepingComputer – Red Hat npm packages compromised to steal developer credentials : https://www.bleepingcomputer.com/news/security/red-hat-npm-packages-compromised-to-steal-developer-credentials/
• Ars Technica – Dozens of Red Hat packages backdoored through its offical NPM channel : https://arstechnica.com/security/2026/06/dozens-of-red-hat-packages-backdoored-through-its-offical-npm-channel/
• Snyk – Miasma supply chain attack: malicious code found in @redhat-cloud-services npm packages : https://snyk.io/blog/miasma-supply-chain-attack-malicious-code-redhat-cloud-services-npm-packages/

La entrada Un ataque a paquetes npm de Red Hat distribuye el malware Miasma se publicó primero en Una Al Día.