Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1603
)
-
▼
febrero
(Total:
811
)
-
Demis Hassabis (Google DeepMind) cree que la AGI l...
-
Otra tienda filtra que GTA 6 costará 100 euros: si...
-
El Galaxy S26 Ultra se queda atrás en sensores de ...
-
Sam Altman lo tiene claro: "El 'AI washing' es rea...
-
Herramienta de IA OpenClaw borra el buzón del dire...
-
Cuando nadie responde por tu GPU: RX 7900 XT MBA c...
-
Múltiples vulnerabilidades en CPSD CryptoPro Secur...
-
Explotan vulnerabilidad en servidor Apache ActiveM...
-
DJI demanda a la FCC por prohibir la importación d...
-
Nvidia aún no ha vendido ni un H200 a China casi t...
-
ONLYOFFICE Docs 9.3: nueva versión de la suite ofi...
-
MSI renueva su línea de placas base económicas par...
-
Le pide 4 dólares a un agente de IA por contagiar ...
-
Qué servicios de Windows deberías deshabilitar y c...
-
El uso de IPTV piratas se dispara en Europa, y los...
-
Vulnerabilidades críticas en SolarWinds Serv-U per...
-
Desarrollador ingenioso crea emulador de CPU x86 s...
-
Este modelo de IA español está comprimido, es grat...
-
Ataques OAuth en Entra ID pueden usar ChatGPT para...
-
Paquetes NuGet maliciosos roban credenciales de de...
-
CISA confirma explotación activa de vulnerabilidad...
-
Microsoft advierte de ataques a desarrolladores co...
-
Un manitas construye un visor de realidad virtual ...
-
Intel apuesta por la inferencia de IA con sus CPU ...
-
Fortinet avisa de la explotación activa de la vuln...
-
La IA impulsó la economía estadounidense en "práct...
-
El 65% de las organizaciones financieras son blanc...
-
Actores de amenazas usan herramientas de IA para a...
-
Pillan a dos estudiantes de 15 y 13 años fabricand...
-
Reddit multado con 14,47 millones de libras por fa...
-
Singularity Computers Penta Node: controla hasta 5...
-
EE. UU. sanciona red de intermediarios que robaron...
-
GitHub Copilot explotado para tomar control total ...
-
PayPal confirma una exposición de datos de seis me...
-
SanDisk presenta su nueva generación de SSD portát...
-
¿Tienes un móvil roto y no sabes qué hacer con él?...
-
29 minutos es el tiempo que necesita un atacante p...
-
Cómo eliminar anuncios en Windows con Winaero Tweaker
-
Así es la Honor Magic Pad 4, la tablet más delgada...
-
Así funcionarán las pantallas táctiles en los MacB...
-
Microsoft dejará de dar soporte a Windows Server 2...
-
EE.UU. invierte más de 30.000 millones de dólares ...
-
Qué es el puerto SFP+ de un router: la conexión pr...
-
Los propietarios de Lenovo y Asus con Ryzen Z1 Ext...
-
Fuga de datos de Conduent: el mayor ciberataque en...
-
La gravedad contra tu CPU: la orientación del disi...
-
El chip AI100 de Qualcomm de 2019 logra un gran de...
-
Habilidades maliciosas de OpenClaw engañan a usuar...
-
Nueva vulnerabilidad de deserialización en trabaja...
-
El gobierno de EE.UU. advirtió a los CEOs de Nvidi...
-
Ingenieros de la NASA reprogramaron el chip Snapdr...
-
La nueva herramienta de IA de Anthropic escribe có...
-
NVIDIA viene fuerte: sella alianzas con Lenovo y D...
-
Múltiples vulnerabilidades en VMware Aria permiten...
-
PC de 99 kg integrado en un radiador victoriano de...
-
Un ladrón aficionado roba tres GPUs por 11.000$ de...
-
Samsung integra Perplexity en sus móviles mediante...
-
Grupo cibercriminal ruso Diesel Vortex roba más de...
-
Dispositivo óptico transmite datos a 25 Gbps media...
-
Cuando "Vibe Coding" se convierte en una pesadilla...
-
Desarrollador ambicioso presenta un juego tipo Qua...
-
ATABoy conecta discos IDE antiguos al siglo XXI co...
-
Usan imágenes esteganográficas para eludir escaneo...
-
Qué es Citrini Research y por qué ha causado el ca...
-
CISA alerta de explotación activa de dos vulnerabi...
-
Actores norcoreanos usan falsos trabajadores de TI...
-
El último modelo de IA chino de DeepSeek se ha ent...
-
GrayCharlie inyecta JavaScript malicioso en sitios...
-
El mapa de España que muestra las antenas que tien...
-
Nuevo RAT personalizado MIMICRAT descubierto en so...
-
Presunto robo de 21 millones de registros de Odido...
-
ASML aumenta la potencia de sus sistemas de litogr...
-
China muestra el rival del Apple MacBook Air: el M...
-
Adiós al cable submarino que cambió Internet
-
Samsung activa la era PCIe 6.0: prepara la producc...
-
El MIT crea una impresora 3D capaz de fabricar un ...
-
Anthropic acusa a DeepSeek y otras IA chinas de co...
-
WhatsApp lanza función opcional de contraseña para...
-
Qué tiene dentro una SIM, la tecnología que no ha ...
-
Panasonic deja de fabricar televisores, el fin de ...
-
Usan DeepSeek y Claude para atacar dispositivos Fo...
-
OpenClaw lanza la versión 2026.2.23 con actualizac...
-
Vía libre para los procesadores NVIDIA N1, un dolo...
-
Ring no quiere problemas con sus timbres y ofrece ...
-
La marca Xbox morirá lentamente, dice el creador d...
-
Todos los datos de altos cargos del INCIBE Español...
-
Detenidos los cuatro miembros principales del grup...
-
Microsoft planea añadir agentes IA integrados en W...
-
Visto en China: máquinas robots recolectores de fr...
-
Mil millones de registros de datos personales expu...
-
Tesla deja sin pagar un pedido de 4.000 pasteles y...
-
Código *#9900# para móviles Samsung Galaxy te da a...
-
¿Qué es 'ghost tapping', la estafa silenciosa, que...
-
Visto en China: autobuses con semáforos en tiempo ...
-
Sam Altman, CEO de OpenAI: "Los humanos consumen t...
-
Nuevo marco de phishing Starkiller clona páginas d...
-
Google decide cambiar las descripciones generales ...
-
Los relojes de Huawei ya permiten los pagos sin co...
-
Amazon da un paso atrás con la IA, y retira su fla...
-
Anthropic lanza Claude Code Security para analizar...
-
-
▼
febrero
(Total:
811
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
Un ingeniero de Microsoft revela que MS-DOS podía generar gráficos desde hace casi 30 años, pero la compañía optó por una interfaz mediocr... -
Fortinet alerta sobre la explotación activa de la vulnerabilidad 0-Day FG-IR-26-060 , que afecta a FortiCloud SSO y permite a atacantes obt...
CVE-2026-22906: Vulnerabilidad Crítica en Almacenamiento de Credenciales
CVE-2026-22906 es una vulnerabilidad crítica (CVSS 9.8) que afecta productos con almacenamiento inseguro de credenciales usando cifrado AES en modo ECB con clave hardcodeada, permitiendo a atacantes remotos sin autenticación recuperar contraseñas y usuarios en texto claro.
Fuentes:
https://unaaldia.hispasec.com/2026/02/cve-2026-22906-vulnerabilidad-critica-en-almacenamiento-de-credenciales.html
CVE-2026-22906 es una vulnerabilidad de alta criticidad (CVSS 9.8/10) que afecta a ciertos productos que almacenan credenciales de usuario utilizando cifrado AES en modo ECB con una clave embebida (hardcoded key). El uso de este método de cifrado inseguro permite a un atacante remoto, sin autenticación previa, recuperar contraseñas y nombres de usuario en texto claro si obtiene acceso al archivo de configuración afectado.
¿Cómo afecta esta vulnerabilidad?
Esta falla afecta principalmente a la confidencialidad, integridad y disponibilidad de sistemas y datos:
- Confidencialidad: un atacante puede recuperar credenciales almacenadas en texto plano, comprometiendo cuentas de administrador o usuarios.
- Integridad: con credenciales válidas, un atacante podría modificar configuraciones o datos sensibles.
- Disponibilidad: acceso no autorizado podría permitir interrupciones del servicio o daños en sistemas operativos.
¿Cómo se da la explotación?
La explotación típica de CVE-2026-22906 ocurre cuando:
- El atacante obtiene el archivo de configuración que contiene las credenciales cifradas con una clave hardcoded.
- Gracias al uso de AES-ECB con clave embebida, puede descifrar fácilmente los valores almacenados.
- Esto le permite acceder a cuentas del sistema sin autenticación y, en combinación con vulnerabilidades de bypass de autenticación, tomar control total del sistema o servicio afectado.
Este proceso no requiere interacción del usuario y puede realizarse de forma remota si el archivo es accesible o puede ser descargado por el atacante.
Mitigación
Para mitigar esta vulnerabilidad se recomienda:
Eliminar claves embebidas y actualizar el cifrado
- Pasar de AES-ECB a modos de cifrado más seguros (por ejemplo, AES-GCM o AES-CBC con IVs únicos).
- Implementar un sistema de gestión de claves seguro en lugar de claves fijas en el código.
Reforzar controles de acceso a archivos de configuración
- Limitar permisos solo a usuarios y procesos autorizados.
- Evitar que archivos sensibles sean accesibles remotamente.
Auditorías de seguridad periódicas
- Revisar mecanismos de almacenamiento de credenciales y configuraciones.
- Aplicar parches oficiales de los proveedores cuando estén disponibles.
Más información
Aquí tienes las fuentes utilizadas para redactar este post:
- INCIBE-CERT — CVE-2026-22906 descripción y análisis
https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2026-22906 - NVD (National Vulnerability Database) — Registro de CVE-2026-22906
https://nvd.nist.gov/vuln/detail/cve-2026-22906 - CVE AKAOMA — Detalles de seguridad y puntuación
https://cve.akaoma.com/cve-2026-22906 - CVE Find — Datos técnicos y métricas CVSS
https://www.cvefind.com/en/cve/CVE-2026-22906.html - Feedly resumen y recomendaciones de mitigación
https://feedly.com/cve/CVE-2026-22906
Fuentes:
https://unaaldia.hispasec.com/2026/02/cve-2026-22906-vulnerabilidad-critica-en-almacenamiento-de-credenciales.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.