Un grave fallo de seguridad ha expuesto múltiples plataformas de comercio electrónico Magento en todo el mundo, ya que actores maliciosos lograron explotar una severa vulnerabilidad de autenticación para obtener control total del sistema. La campaña de ataques, identificada en enero de 2026, representa una de las olas más significativas de compromisos coordinados de servidores web en los últimos meses, afectando a cientos de tiendas en línea en diferentes regiones

Los atacantes secuestraron más de 200 sitios web aprovechando esta vulnerabilidad en Magento para obtener acceso a nivel de root, lo que les permitió tomar el control absoluto de los sistemas comprometidos.

Una brecha de seguridad crítica ha expuesto múltiples plataformas de comercio electrónico Magento en todo el mundo, ya que actores maliciosos lograron explotar con éxito una grave falla de autenticación para obtener el control total del sistema.

La campaña de ataque, identificada en enero de 2026, representa una de las olas más significativas de compromisos coordinados de servidores web en los últimos meses, afectando a cientos de tiendas en línea en diferentes regiones e industrias.

La vulnerabilidad en el centro de este ataque es CVE-2025-54236, también conocida como SessionReaper, que permite el acceso no autorizado al reutilizar tokens de sesión que no fueron invalidados correctamente por la aplicación Magento.

Estos tokens de sesión funcionan como llaves digitales que verifican la identidad de un usuario.

Cuando Magento no destruye estas llaves después de que los usuarios cierran sesión, los atacantes pueden interceptarlas y reutilizarlas para obtener acceso como administradores legítimos, eludiendo todas las protecciones de contraseñas y medidas de seguridad.

Analistas de Oasis Security identificaron múltiples incidentes de intrusión independientes donde diferentes actores de amenazas explotaron CVE-2025-54236 contra entornos Magento en diversas regiones geográficas, demostrando un conocimiento generalizado y la weaponización de esta falla.

El equipo de investigación descubrió que los atacantes habían escaneado sistemas vulnerables a gran escala, identificando más de 1,000 APIs de Magento vulnerables y comprometiendo con éxito 200 sitios web con acceso administrativo a nivel de root.

Mecanismo de infección

El mecanismo de infección revela cómo los atacantes aprovecharon sistemáticamente esta vulnerabilidad para establecer un control completo sobre la infraestructura de las víctimas.

Una vez que los atacantes obtuvieron acceso inicial mediante el secuestro de sesiones, escalaron sus privilegios para obtener acceso root, el nivel más alto de control del sistema en servidores Linux.

Esta táctica de persistencia les permitió desplegar web shells, que son pequeños scripts que otorgan a los atacantes capacidades de ejecución remota de comandos para la manipulación continua del sistema y el robo de datos.

La evidencia muestra que los sistemas comprometidos contenían archivos sensibles que mostraban cuentas de usuario del sistema y credenciales, lo que indica una exploración exhaustiva del sistema y una posible exfiltración de datos.

La investigación descubrió infraestructura de comando y control operando desde Finlandia y Hong Kong, con actores de amenazas separados realizando operaciones de despliegue de web shells dirigidas específicamente a sitios Magento en Canadá y Japón.

Los atacantes mantuvieron registros detallados de los sitios web comprometidos y las rutas de los shells desplegados, demostrando una seguridad operativa organizada y estrategias de focalización sistemáticas.

Las organizaciones que utilizan Magento deben parchear inmediatamente esta vulnerabilidad y auditar los registros de sus servidores en busca de usos sospechosos de tokens de sesión.

La naturaleza generalizada de esta campaña subraya la importancia crítica de las actualizaciones de seguridad oportunas y el monitoreo continuo de las plataformas de comercio electrónico que alojan datos valiosos de clientes e información de pago.

Una brecha de seguridad crítica ha expuesto múltiples plataformas de comercio electrónico Magento en todo el mundo, ya que actores maliciosos lograron explotar con éxito una grave falla de autenticación para obtener el control total del sistema. La campaña de ataque, identificada en enero de 2026, representa una de las olas más significativas de compromisos coordinados de servidores web en los últimos meses, afectando a cientos de tiendas en línea en diferentes regiones [...]