Google parchó un bug en Android Debug Bridge (ADB) en el set de actualizaciones de seguridad de mayo. Si tienes un Pixel, ya deberías tener el parche instalado, y la mayoría de los fabricantes más grandes deberían estar cerca. El mayor riesgo, sin embargo, recae sobre los vendors que históricamente son los menos rápidos —cuando lo hacen— en liberar actualizaciones de seguridad.
ADB, la sigla de Android Debug Bridge, es la herramienta principal para instalar apps durante el desarrollo y depurarlas en ejecución. También permite side-loading de aplicaciones desde un PC. La mayoría de los usuarios comunes nunca la habilitan, pero los desarrolladores típicamente sí, y algunos power users también, al hacer jailbreak o ajustar parámetros que no están expuestos en la UI de Android. El debug se puede hacer vía USB localmente o de manera opcional sobre la red. Para proteger el dispositivo, el usuario debe desbloquear Android y autorizar cada nuevo agente de depuración.
Según cobertura de Risky.Biz, un bug introducido en 2020 y presente en cada release de Android desde entonces permitía saltarse por completo la autorización si la depuración por red estaba habilitada y al menos una conexión se había hecho al servicio ADB en el pasado. La falla ocurre porque ADB compara el certificado de la conexión entrante con la lista de certificados guardados. Si el tipo de certificado no coincide (por ejemplo, presentar un certificado Ed25519 cuando lo esperado era RSA), ADB manejaba mal el código de error y permitía la conexión.
En la mayoría de los lenguajes de programación, false se considera cero y true cualquier valor distinto de cero. La API de certificados retorna 1 para un match válido, 0 para un match inválido y -1 para un mismatch de tipo. -1 no es cero, así que tratado como booleano, se vuelve true. Para explotar el bug, ADB debe estar habilitado en modo inalámbrico y debe haber al menos un dispositivo confiable en la configuración de ADB. Para el usuario promedio es improbable, pero para desarrolladores, el momento de actualizar es ahora.
Mythos encontró un bug en Curl
Daniel Stenberg, de Curl, publicó sobre interacciones recientes con el modelo Mythos buscando vulnerabilidades, o más bien una sola, en Curl. Curl y su librería compañera libcurl corren en una base estimada de 20 mil millones de instancias, así que cualquier problema de seguridad podría ser crítico.
Tras alguna confusión inicial respecto al acceso al modelo, las cinco vulnerabilidades reportadas se consolidaron finalmente en una sola nueva. Clasificada como "no particularmente peligrosa", recibirá un CVE y será corregida en un próximo parche.
El post de Daniel contiene información adicional y comentarios sobre la experiencia con Mythos. La poca cosecha del modelo puede ser más reflejo de la madurez del codebase de Curl que otra cosa: el código de Curl es un excelente ejemplo del impacto de auditar de forma continua, con todo tipo de herramientas.
XBow encontró un bug en Exim
XBow detectó una vulnerabilidad en Exim usando herramientas de IA. Exim es un message transport agent (MTA, o servidor de correo) open source, en la misma familia que Postfix y Sendmail. Clasificada como CVE-2026-45185, tiene un score CVE de 9.8 sobre 10, permitiendo ejecución de código arbitrario sin autenticación.
El bug es del tipo use after free: tras asignar memoria, usarla y liberarla, Exim olvida que la memoria fue liberada y sigue escribiendo en ella. En este caso, memoria asociada a una conexión TLS se libera al cerrar la conexión, pero el handler de datos de correo entrante puede seguir escribiendo en el buffer destruido, lo que corrompe el sistema de gestión de memoria de Exim y, en última instancia, permite correr código arbitrario.
Las vulnerabilidades de ejecución de código arbitrario son tan graves como suenan: la capacidad de correr cualquier comando del sistema como si estuvieses logueado. Combinada con la reciente colección de vulnerabilidades de escalada local como CopyFail (más sobre eso enseguida), una RCE sin autenticación es un atajo a control root completo.
El indexador de Internet Shodan muestra actualmente 2,5 millones de instalaciones de Exim a nivel global. Si tienes Exim corriendo en cualquier parte, ojalá ya hayas actualizado, y si no, hazlo de inmediato.
CopyFail 3.0 (alias "Fragnesia")
Llegó la tercera entrega que nadie pidió: bautizada como "CopyFail 3.0" y "Fragnesia", otra vulnerabilidad extremadamente similar a las usadas en CopyFail y DirtyFrag fue descubierta y los parches ya empezaron a aplicarse en el kernel Linux. Igual que las anteriores, esta reside en el manejo de IPSec ESP y permite modificar el page cache en memoria usado para acelerar la I/O de disco.
Por suerte, como usa los mismos módulos del kernel que las vulnerabilidades previas, cualquier sistema con las mitigaciones de DirtyFrag aplicadas (esencialmente, IPSec deshabilitado) no debería verse afectado. En cambio, cualquier sistema parchado para DirtyFrag pero con los módulos IPSec disponibles necesitará otro parche.
Patch Tuesday de Microsoft
Llegó otro Patch Tuesday. Brian Krebs publicó el resumen, destacando tres parches de escalada de privilegios a admin o system y un bug de ejecución remota en el cliente DHCP de Microsoft.
Si eres usuario Microsoft o gestionas IT en un entorno Windows, ya conoces el dilema: actualizar de inmediato por las implicancias de seguridad, o esperar a ver si esta tanda vuelve a romper funcionalidad básica.
Más zero-day de Windows
No sería un Patch Tuesday sin drama adicional: el autor detrás de las zero-day de Windows publicadas los últimos dos meses sumó otras dos esta vez, aparentemente aún disconforme con la respuesta del equipo de seguridad de Microsoft.
YellowKey consiste en nada más que archivos con nombres específicos en un pendrive USB. Al bootear en modo recovery, los archivos disparan una imagen de recovery de Windows 11 que lanza una shell con BitLocker deshabilitado. No está claro si esta funcionalidad es un backdoor deliberado o algún tipo de funcionalidad de debug que quedó por error en los builds, pero es extremadamente extraña.
GreenPlasma es una vulnerabilidad de escalada de privilegios que permite elevarse a system, lo que da acceso a la base de credenciales del sistema, entre otros resultados indeseables. Problemas similares fueron parchados en este Patch Tuesday, pero este específicamente no.
Criminales usan herramientas para cometer crímenes
Google está tratando de inflar lo que asegura es el primer uso de IA para escribir un exploit visto en estado salvaje. Resulta extremadamente improbable dado el último año largo de desarrollo en el frente de la IA.
Tratar la noticia como aburrida nunca es divertido, pero no sorprende que los criminales vayan a usar las herramientas disponibles para seguir siendo criminales. Esto parece menos una revelación y más la continuación de una tendencia obvia: los grupos sin capacidad de desarrollar herramientas propias siempre las compraron, las robaron o usaron exploits commoditizados, fácilmente desde el "Low Orbit Ion Cannon" de Anonymous en 2005 que permitía sumar participación de usuarios menos técnicos.
El código de ataque no tiene que preocuparse por la deuda técnica o la reproducibilidad del código generado por IA, y resulta evidente que los atacantes van a minimizar su esfuerzo siempre que puedan.
Malware y proxies residenciales
Bitsight Research publicó un paper sobre las relaciones entre infecciones de malware y redes de proxies residenciales.
Las redes de proxies funcionan como una VPN, tomando tráfico de un origen y tunelizándolo para que aparezca proviniendo de otro. Compuestas típicamente por usuarios domésticos involucrados sin saberlo, las redes de proxies residenciales se revenden frecuentemente como servicios VPN comerciales baratos. Estas redes también permiten a los atacantes operar dentro de otro país, ofuscando la ubicación real del ataque o saltándose alertas de "login imposible". Y se usan ampliamente en fraude de clicks publicitarios, donde aparecen como un ejército de usuarios domésticos genuinamente interesados en hacer clic en avisos.
Bitsight rastreó más de 53 millones de IPs actuando como dispositivos de proxy residencial en un período de dos meses, repartidas entre varios brokers de redes de proxy que revenden el acceso, con más de 8 millones de nodos disponibles a diario y vínculos fuertes entre infecciones de malware e instalación de herramientas de acceso remoto.
La FCC extiende el plazo para routers extranjeros
La FCC anunció que extiende el plazo inicial para routers de origen extranjero. La FCC había declarado previamente que casi todo el hardware nuevo de routers de consumo quedaría fuera de la certificación FCC y, además, no podría recibir actualizaciones de software a partir de inicios de 2027.
Probablemente al notar el conflicto entre el objetivo declarado de aumentar la seguridad y simultáneamente prohibir los parches de seguridad, el plazo se extendió: los routers y drones de consumo podrán recibir actualizaciones de software hasta 2029.
SMS spammers detenidos en Toronto
Uno podría asumir que la mayoría del spam por SMS viene de teléfonos comprometidos o puentes SMS conectados a internet, pero TechCrunch reporta sobre la detención de tres hombres en Toronto por operar una antena celular móvil dedicada a spam SMS.
Los spammers manejaban la antena falsa en la parte trasera de un auto mientras circulaban por la ciudad. Una vez que un teléfono se conectaba a la torre falsa, la torre bombardeaba al equipo con SMS con anzuelos de phishing para robo de credenciales y datos bancarios.
Operar una antena celular falsa es extremadamente ilegal en casi todos los países, en buena parte porque interfiere activamente con los servicios de emergencia como E911. La policía estima que el trío envió más de un millón de SMS desde noviembre de 2025.
Malware en robots perro Unitree
Un paper en IEEE Spectrum de noviembre de 2025 cubre el descubrimiento de una vulnerabilidad potencialmente wormable en la plataforma de robótica Unitree, usada en robots caninos y humanoides. Los robots Unitree a veces se despliegan como dispositivos de seguridad o incluso militares.
Esta semana, Benn Jordan publicó un video en YouTube explorando algunas de las vulnerabilidades en sus propios robots, referenciando el GitHub de los investigadores originales.
Se han encontrado múltiples vulnerabilidades en la plataforma que permiten sobrepasar los mecanismos de seguridad de los robots, correr código arbitrario, escanear redes WiFi y Bluetooth, y los mecanismos que los robots usan para comunicarse con varios servidores, algunos en países extranjeros.
CVE de la semana: tabla resumen
| ID | Producto | Severidad | Estado |
|---|---|---|---|
| Sin CVE público | ADB en Android | Bypass de autorización remota | Parchado en mayo 2026 |
| CVE-2026-45185 | Exim MTA | 9.8 sobre 10 (RCE sin auth) | Parche disponible |
| CopyFail 3.0 / Fragnesia | Kernel Linux IPSec | Modificación de page cache | Parche en curso |
| YellowKey | Windows 11 Recovery | Bypass BitLocker vía USB | Sin parche oficial |
| GreenPlasma | Windows | Escalada a SYSTEM | Sin parche oficial |
