Los investigadores de ciberseguridad han advertido sobre los riesgos que plantean los dispositivos IP KVM (teclado, vídeo, ratón sobre protocolo de Internet) de bajo coste, que pueden otorgar a los atacantes un amplio control sobre los hosts comprometidos.

Las nueve vulnerabilidades, descubiertas por eclipsioabarcan cuatro productos diferentes: GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM y JetKVM. Los más graves permiten que actores no autenticados obtengan acceso de root o ejecuten código malicioso.

«Los temas comunes son condenatorios: falta de validación de firma de firmware, falta de protección de fuerza bruta, controles de acceso rotos e interfaces de depuración expuestas», investigadores Paul Asadoorian y Reynaldo Vasquez García. dicho en un análisis.

Dado que los dispositivos IP KVM permiten el acceso remoto al teclado, la salida de video y la entrada del mouse de la máquina de destino a nivel BIOS/UEFI, la explotación exitosa de las vulnerabilidades en estos productos puede exponer los sistemas a posibles riesgos de adquisición, socavando los controles de seguridad implementados. La lista de deficiencias es la siguiente:

• CVE-2026-32290 (Puntuación CVSS: 4,2) – Una verificación insuficiente de la autenticidad del firmware en GL-iNet Comet KVM (se está planificando una solución)
• CVE-2026-32291 (Puntuación CVSS: 7,6) – Una vulnerabilidad de acceso raíz al receptor-transmisor asíncrono universal (UART) en GL-iNet Comet KVM (se está planificando una solución)
• CVE-2026-32292 (Puntuación CVSS: 5,3) – Una vulnerabilidad de protección de fuerza bruta insuficiente en GL-iNet Comet KVM (corregido en la versión 1.8.1 BETA)
• CVE-2026-32293 (Puntuación CVSS: 3.1) – Un aprovisionamiento inicial inseguro a través de una vulnerabilidad de conexión a la nube no autenticada en GL-iNet Comet KVM (corregido en la versión 1.8.1 BETA)
• CVE-2026-32294 (Puntuación CVSS: 6.7) – Una vulnerabilidad de verificación de actualización insuficiente en JetKVM (corregido en la versión 0.5.4)
• CVE-2026-32295 (Puntuación CVSS: 7.3) – Una vulnerabilidad de limitación de velocidad insuficiente en JetKVM (corregido en la versión 0.5.4)
• CVE-2026-32296 (Puntuación CVSS: 5.4) – Una vulnerabilidad de exposición del punto final de configuración en Sipeed NanoKVM (corregido en NanoKVM versión 2.3.1 y NanoKVM Pro versión 1.2.4)
• CVE-2026-32297 (Puntuación CVSS: 9,8) – Autenticación faltante para una vulnerabilidad de función crítica en Angeet ES3 KVM que conduce a la ejecución de código arbitrario (no hay solución disponible)
• CVE-2026-32298 (Puntuación CVSS: 8,8) – Una vulnerabilidad de inyección de comandos del sistema operativo en Angeet ES3 KVM que conduce a la ejecución de comandos arbitrarios (no hay solución disponible)

«Estos no son días cero exóticos que requieren meses de ingeniería inversa», señalaron los investigadores. «Estos son controles de seguridad fundamentales que cualquier dispositivo en red debe implementar. Validación de entrada. Autenticación. Verificación criptográfica. Limitación de velocidad. Estamos viendo la misma clase de fallas que afectaron a los primeros dispositivos IoT hace una década, pero ahora en una clase de dispositivo que proporciona el equivalente de acceso físico a todo lo que se conecta».

Un adversario puede utilizar estos problemas como arma para inyectar pulsaciones de teclas, arrancar desde medios extraíbles para evitar el cifrado del disco o las protecciones de arranque seguro, eludir las pantallas de bloqueo y los sistemas de acceso y, lo que es más importante, permanecer sin ser detectado por el software de seguridad instalado en el nivel del sistema operativo.

Esta no es la primera vez que se revelan vulnerabilidades en dispositivos IP KVM. En julio de 2025, el proveedor ruso de ciberseguridad Positive Technologies señaló cinco defectos en conmutadores ATEN International (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713 y CVE-2025-3714) que podrían allanar el camino para la denegación de servicio o la ejecución remota de código.

Es más, los trabajadores de TI norcoreanos que residen en países como China han utilizado conmutadores KVM IP como PiKVM o TinyPilot para conectarse de forma remota a computadoras portátiles proporcionadas por la empresa alojadas en granjas de computadoras portátiles.

Como mitigaciones, se recomienda aplicar la autenticación multifactor (MFA) cuando sea compatible, aislar los dispositivos KVM en una VLAN de administración dedicada, restringir el acceso a Internet, usar herramientas como Shodan para verificar la exposición externa, monitorear el tráfico de red inesperado hacia/desde los dispositivos y mantener el firmware actualizado.

«Un KVM comprometido no es como un dispositivo IoT comprometido ubicado en su red. Es un canal directo y silencioso hacia cada máquina que controla», dijo Eclypsium. «Un atacante que compromete el KVM puede ocultar herramientas y puertas traseras en el propio dispositivo, reinfectando constantemente los sistemas host incluso después de la reparación».

«Dado que algunas actualizaciones de firmware carecen de verificación de firma en la mayoría de estos dispositivos, un atacante de la cadena de suministro podría alterar el firmware en el momento de la distribución y hacer que persista indefinidamente».

SAP tiene liberado actualizaciones de seguridad para abordar dos fallas de seguridad críticas que podrían explotarse para lograr la ejecución de código arbitrario en los sistemas afectados.

Las vulnerabilidades en cuestión se enumeran a continuación:

• CVE-2019-17571 (Puntuación CVSS: 9,8) – Una vulnerabilidad de inyección de código en la aplicación SAP Quotation Management Insurance (FS-QUO)
• CVE-2026-27685 (Puntuación CVSS: 9,1): una vulnerabilidad de deserialización insegura en la administración de SAP NetWeaver Enterprise Portal

«La aplicación utiliza un artefacto obsoleto de Apache Log4j 1.2.17 que es vulnerable a CVE-2019-17571», la empresa de seguridad SAP Onapsis dicho. «Permite que un atacante sin privilegios ejecute código arbitrario de forma remota en el servidor, lo que provoca un alto impacto en la confidencialidad, integridad y disponibilidad de la aplicación».

CVE-2026-27685, por otro lado, se debe a una validación faltante o insuficiente durante la deserialización del contenido cargado, lo que podría permitir a un atacante cargar contenido malicioso o que no es de confianza.

«Sólo el hecho de que un atacante requiera altos privilegios para un exploit exitoso evita que la vulnerabilidad sea etiquetada con una puntuación CVSS de 10», añadió Onapsis.

La divulgación se produce cuando Microsoft envió parches para 84 vulnerabilidades en todos los productos, incluidas docenas de fallas de escalada de privilegios y ejecución remota de código.

El martes, Adobe también anunció parches para 80 vulnerabilidadescuatro de los cuales son fallas críticas que afectan a Adobe Commerce y Magento Open Source y que podrían resultar en una escalada de privilegios y la elusión de funciones de seguridad. Por otra parte, solucionó cinco vulnerabilidades críticas en Adobe Illustrator que podrían allanar el camino para la ejecución de código arbitrario.

Por otra parte, Hewlett Packard Enterprise solucionó cinco deficiencias en Aruba Networking AOS-CX. La más grave de las fallas es CVE-2026-23813 (puntuación CVSS: 9,8), una omisión de autenticación que afecta a la interfaz de administración.

«Se ha identificado una vulnerabilidad en la interfaz de administración basada en web de los conmutadores AOS-CX que podría permitir que un actor remoto no autenticado eluda los controles de autenticación existentes», HPE dicho. «En algunos casos, esto podría permitir restablecer la contraseña de administrador».

«La explotación de esta vulnerabilidad de Aruba potencialmente brinda a los atacantes un control total de los dispositivos de red AOS-CX y la capacidad de comprometer un sistema completo sin ser detectado», dijo Ross Filipek, CISO de Corsica Technologies, en un comunicado.

«Un compromiso exitoso podría provocar la interrupción de las comunicaciones de red o la erosión de la integridad de los servicios comerciales clave. Esta falla es un recordatorio de que las vulnerabilidades en los dispositivos de red se están volviendo más comunes en el mundo hiperconectado de hoy. Cuando los atacantes obtienen acceso privilegiado a estos dispositivos, pone a las organizaciones en un riesgo significativo».

Parches de software de otros proveedores

Otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:

• TEJIDO
• Servicios web de Amazon
• AMD
• Brazo
• Atlassiano
• Bosco
• Broadcom (incluido VMware)
• Canon
• cisco
• bóveda común
• Sistemas Dassault
• Dell
• Devoluciones
• drupal
• Elástico
• F5
• Fortinet
• Fortra
• Software Foxit
• GitLab
• Google Androide y Píxel
• Google Chrome
• Nube de Google
• Reloj Google Pixel
• Sistema operativo Google Wear
• Grafana
• Energía Hitachi
• mielwell
• caballos de fuerza
• HP empresarial (incluyendo Aruba Networking y Redes de enebro)
• IBM
• Intel
• Ivanti
• Jenkins
• lenovo
• Distribuciones de Linux AlmaLinux, Linux alpino, amazonlinux, Arco Linux, Debian, Gentoo, Oráculo Linux, magia, sombrero rojo, Linux rocoso, SUSEy ubuntu
• MediaTek
• Mitsubishi Electrico
• moxa
• Mozilla Firefox, Firefox ESR y Thunderbird
• n8n
• Nvidia
• Redes de Palo Alto
• QNAP
• Qualcomm
• Ricoh
• Samsung
• Electricidad Schneider
• Servicio ahora
• siemens
• Vientos solares
• Splunk
• Sinología
• TP-Link
• Tendencia Micro
• GuardiaGuardia
• Digital occidental
• Zoomy
• Zyxel

Washington ha redescubierto las consecuencias. Simplemente no de manera consistente.

El 6 de marzo orden ejecutiva se basa en una idea simple y correcta: el fraude cibernético persiste porque es rentable, escalable y con demasiada frecuencia tolerado. Entonces la respuesta del gobierno es aumentar el costo. Más coordinación. Más perturbaciones. Más procesamientos. Más presión diplomática sobre los estados que acogen estas operaciones.

Bien.

Pero hace semanas, un memorando de la OMB anuló memorandos federales anteriores sobre la cadena de suministro de software emitidos durante la administración Biden. En la práctica, eso se alejó del modelo anterior centrado en la certificación e hizo que herramientas como el Formulario de certificación de desarrollo de software seguro y las solicitudes SBOM fueran opciones opcionales en lugar de expectativas duraderas.

Dicho claramente, nos estamos volviendo más duros con las personas que explotan los sistemas digitales y al mismo tiempo nos estamos volviendo más suaves con las condiciones que hacen que esos sistemas sean tan fáciles de explotar.

La orden ejecutiva acierta en algo importante. El fraude cibernético no es una colección de molestias aleatorias en línea. Es una forma industrializada de depredación: ransomware, phishing, suplantación de identidad, sextorsión y fraude financiero que se ejecuta como modelos de negocios repetibles, a menudo transnacionales y a veces protegidos por estados permisivos. La orden responde con una postura federal más centralizada basada en la disrupción, la coordinación, el intercambio de inteligencia, el procesamiento, la resiliencia y la presión internacional.

Eso es direccionalmente correcto. Los ecosistemas criminales no retroceden porque publiquemos mejores orientaciones. Se retiran cuando aumenta el costo de hacer negocios.

Pero luego llegamos al software.

La crítica al antiguo régimen federal de garantía no es del todo errónea. El cumplimiento puede convertirse en teatro. Las burocracias son muy buenas para convertir objetivos de seguridad legítimos en rituales de recopilación de formularios y gestión de casillas de verificación. Se justificaba cierto escepticismo. La OMB lo dice explícitamente, argumentando que el modelo anterior se volvió oneroso y priorizaba el cumplimiento sobre la inversión genuina en seguridad.

Aún así, el fracaso del mal cumplimiento no es prueba de que la rendición de cuentas en sí fuera el problema.

Ahí es donde se rompe la lógica. La administración está claramente dispuesta a creer que los actores criminales responden a la disuasión. Está dispuesto a utilizar procesamientos, sanciones, restricciones de visas y presión coordinada en sentido descendente. Pero aguas arriba, donde la tecnología insegura da forma al terreno que explotan esos delincuentes, la teoría cambia repentinamente. Allí se nos dice que confiemos en la discreción. Juicio local. Decisiones flexibles y basadas en riesgos.

A veces eso es sabiduría. A menudo es simplemente una forma más elegante de decir que nadie quiere un requisito estricto.

Por eso también mi posición no ha cambiado. en un publicación que escribí en 2024sostuve que la industria no necesitaba expectativas más suaves ni otra ronda de estímulo cortés. Se necesitaban acciones más concretas y consecuencias lo suficientemente fuertes como para cambiar los incentivos. El problema nunca fue que exigiéramos demasiada responsabilidad. El problema era que el software inseguro seguía siendo demasiado barato para distribuirse.

Ésa es la cuestión más profunda. El cibercrimen a gran escala no prospera sólo porque existan delincuentes. Prospera porque el medio ambiente los recompensa. Los sistemas de identidad débiles, el software frágil, las cadenas de dependencia en expansión, la mala visibilidad y la rendición de cuentas difusa hacen que la depredación sea más barata. Las personas que conllevan riesgos evitables rara vez absorben el costo total del mismo. Todos los demás lo hacen.

Así que estas dos medidas políticas, tomadas en conjunto, revelan algo incómodo. El gobierno parece creer en las consecuencias para los ciberdelincuentes, pero no del todo en las consecuencias para una producción insegura. Quiere disuasión para el estafador, pero discreción para el proveedor.

Una estrategia cibernética coherente lograría ambas cosas. Interrumpiría agresivamente las redes criminales y también crearía una presión significativa para una producción y adquisición seguras desde el diseño. Reconocería que castigar a los atacantes es importante, pero también lo es cambiar el terreno que sigue haciendo que el ataque sea rentable.

La administración tiene razón en una cosa: el cibercrimen no disminuirá hasta que aumenten los costos de la depredación.

La pregunta sin respuesta es por qué esa lógica debería detenerse en el borde del centro de estafa.

Brian Fox es el cofundador y director de tecnología de Sonatype.