vulnerabilidad
18 artículos con esta etiqueta
Filtración masiva de MOVEit (2023) — cómo un zero-day de inyección SQL alcanzó a más de 2.700 organizaciones, y cómo defenderse
La entrada fue un zero-day de inyección SQL (CVE-2023-34362) en MOVEit Transfer, expuesto a internet. Se plantó un web shell (LEMURLOOT) y se robaron datos en masa de la base de datos de respaldo, golpeando a más de 2.700 organizaciones y ~93,3M de personas. La mayoría de las víctimas fueron arrastradas indirectamente porque un proveedor usaba MOVEit. En tu entorno: parcheo rápido de KEV, minimizar la exposición, mínimo privilegio y segmentación web↔BD, inventario de proveedores y minimización de datos.
Qué es CORS: cómo funciona y qué expone una mala configuración
CORS es cómo el navegador controla si el JS de otro origen puede leer las respuestas de tu API. Una mala configuración —reflejar cualquier Origin, o Access-Control-Allow-Origin:* con credenciales— deja que un tercero lea datos con sesión iniciada. La defensa real: una lista de permitidos, no reflejar el Origin a ciegas, denegar por defecto.
Qué es la fijación de sesión: hacer que una víctima inicie sesión con un ID que el atacante ya conoce
La fijación de sesión hace que una víctima use un ID de sesión conocido por el atacante, y luego la suplanta después de que inicie sesión con él. La defensa real: regenerar el ID de sesión al iniciar sesión (y al cambiar de privilegios). No aceptes IDs desde la URL y refuerza las cookies con HttpOnly/Secure/SameSite.
Qué es IDOR: ver los datos de otra persona con solo cambiar un ID
IDOR permite a un usuario cambiar ?id=124 por 125 y leer la factura o los datos personales de otra persona: control de acceso roto. La defensa real: en el servidor, comprobar en cada acceso si el usuario con sesión iniciada tiene permitido ese objeto. Los IDs difíciles de adivinar no son un arreglo.
Qué es el clickjacking: trampas invisibles que te hacen pulsar botones ocultos
El clickjacking superpone de forma invisible tu sitio real sobre la página del atacante para que el usuario realice una acción no deseada (una transferencia, un cambio de configuración, un consentimiento). La defensa real es negarse a ser enmarcado: CSP frame-ancestors más X-Frame-Options.
Qué es la redirección abierta (open redirect): tu URL de confianza usada como trampolín hacia otro sitio
Una redirección abierta permite que un parámetro tipo ?next= reenvíe a los usuarios a cualquier sitio externo, tomando prestada la confianza de tu dominio para el phishing. La defensa real: nunca aceptar URLs externas como destino de redirección; solo rutas relativas y una lista de permitidos.
Qué es el path traversal (recorrido de rutas): leer archivos que el servidor nunca debería servir, mediante ../
El path traversal mezcla ../ en una entrada de nombre de archivo para escapar del directorio base y leer o escribir .env, configuración o claves. La defensa real: nunca usar la entrada del usuario como ruta de archivo en bruto, y normalizar y luego confinar dentro de un directorio base permitido.
Qué es CSRF (Cross-Site Request Forgery): hacer que un usuario con sesión iniciada actúe sin querer
CSRF hace que el navegador de un usuario con sesión iniciada envíe una acción no deseada, abusando de la costumbre del navegador de adjuntar cookies automáticamente. La defensa real son los tokens CSRF más las cookies SameSite. Nunca uses GET para cambios de estado.
Qué es la inyección SQL (SQLi): cuando la entrada reescribe los comandos de tu base de datos
La SQLi ocurre cuando la entrada se lee como 'parte del comando' en lugar de como dato, cambiando el significado de una consulta: directo a leer/alterar/borrar. La defensa real es dejar de concatenar SQL en cadenas y pasar los valores mediante marcadores de posición (sentencias preparadas).
Qué es el XSS (Cross-Site Scripting): código ejecutándose en el navegador de otra persona
El XSS hace que una cadena proporcionada por el atacante se ejecute 'como script' en el navegador de otro usuario: directo al robo de sesión y la suplantación. La defensa real es el escape en la salida. No desactives el autoescape de tu framework.
Qué es un CVE: el 'dorsal' compartido de las vulnerabilidades
Un CVE es un identificador compartido a nivel global para una vulnerabilidad (p. ej. CVE-2025-12345). CVE = el nombre, CVSS = la gravedad, KEV = si se explota. Es el ancla del monitoreo. Síguelo con máquinas, no a mano.
Qué es la RCE (ejecución remota de código): por qué es la peor clase de fallo
La RCE permite a un atacante ejecutar código arbitrario en tu servidor: directo a la toma de control, la peor clase. El radio de impacto lo determinan los privilegios del proceso en ejecución. Las defensas centrales son el parcheo rápido, la monitorización de CVE y los privilegios mínimos.
Qué es CVSS: la puntuación de gravedad y cómo se calcula en realidad
CVSS valora la gravedad de 0.0 a 10.0. La puntuación se calcula a partir de métricas definidas (vector de ataque, complejidad, privilegios, interacción del usuario, alcance, impacto en CIA) mediante una fórmula pública, no a ojo. Conoce la rúbrica y podrás leer qué significa un 10.0. Aun así, prioriza con KEV (si se explota) y con si lo usas.
Qué es la SSRF (Server-Side Request Forgery, falsificación de solicitudes del lado del servidor)
La SSRF abusa de URLs de entrada externa para hacer que un servidor golpee recursos internos (IPs internas, metadatos de la nube). Si recuperas URLs, necesitas una lista de destinos permitidos, bloqueo de objetivos internos y cerrar las brechas de redirección/reenlace de DNS. Fue el punto de entrada de la brecha de Capital One.
Filtración de Equifax (2017) — cómo un fallo de Apache Struts sin parchear expuso a 147M de personas
La causa fue un CVE conocido y ya parcheado (CVSS 10.0) dejado sin aplicar en un sistema público. Un certificado de monitorización caducado ocultó la exfiltración durante 76 días. En tu entorno: inventario de activos, un SLA de parcheo, monitorización automática y detección saludable.
Heartbleed (CVE-2014-0160) — cuando se filtró memoria desde los cimientos del tráfico cifrado
La sobrelectura de memoria de OpenSSL podía filtrar claves privadas y sesiones. La causa: el servidor confiaba en una longitud declarada y leía memoria adyacente. La lección: actúa como si todo se hubiera filtrado —reemite certificados, rota todos los secretos— más el peso del software fundacional y la seguridad de memoria.
Log4Shell (CVE-2021-44228) — la noche en que el mundo temió un fallo que ni siquiera podía confirmar tener
El fallo de CVSS 10.0 de Log4j. El verdadero miedo era la dependencia transitiva: estar afectado a través de una librería que no sabías que usabas. Un camino pasivo de registro de logs se convirtió en vector de ataque. SBOM, monitorización automática, parcheo rápido y seguir los CVE de seguimiento son las lecciones.
La puerta trasera de XZ Utils (CVE-2024-3094) — cuando la confianza misma era el objetivo
Un mantenedor de confianza plantó una puerta trasera en xz: un ataque a la cadena de suministro. El «esto va lento» de un ingeniero lo detectó justo antes de la estable. El objetivo no era el código, sino las personas y la confianza. Minimiza dependencias, fija versiones, compila de forma reproducible, persigue anomalías y apoya a los mantenedores.