· Noticias
Entrar

Explotan una vulnerabilidad crítica en SimpleHelp para desplegar nuevo malware de robo de datos

Una vulnerabilidad crítica en SimpleHelp, una plataforma de gestión remota (RMM) muy utilizada por proveedores de servicios gestionados (MSP), departamentos de TI y equipos de soporte técnico, está siendo explotada activamente por ciberdelincuentes para instalar un nuevo tipo de malware robador de información. El fallo, identificado como CVE-2026-48558, permite a los atacantes crear cuentas de técnico con altos privilegios sin necesidad de autenticación, siempre que el servidor utilice el protocolo OpenID Connect (OIDC). Según datos recientes, alrededor de mil servidores expuestos en internet presentaban esta configuración vulnerable en el momento de su descubrimiento.

Cómo actúa el ataque y qué datos roba

En un caso analizado por expertos en ciberseguridad, los atacantes aprovecharon esta brecha para acceder a un servidor SimpleHelp expuesto en internet y desplegar dos herramientas maliciosas hasta entonces desconocidas: TaskWeaver y Djinn Stealer. La primera actúa como un cargador de malware, ejecutando scripts en JavaScript ofuscados (como un falso archivo "jquery.js") para comunicarse con un servidor de control y descargar módulos adicionales. La segunda, Djinn Stealer, es un malware multiplataforma diseñado para extraer información sensible de equipos con Windows, macOS y Linux en una sola pasada.

Lo más preocupante es su enfoque en entornos de desarrollo y herramientas de inteligencia artificial. Djinn Stealer busca credenciales de proveedores cloud, claves SSH, tokens de GitHub, configuraciones de Docker, herramientas de infraestructura como código (Terraform, Pulumi) y, especialmente, archivos locales de asistentes de IA como Claude, Gemini o Codex. Estos archivos suelen contener tokens y configuraciones del Model Context Protocol (MCP), que permiten a los asistentes de IA acceder a repositorios, bases de datos o APIs en nombre del desarrollador. Robarlos otorga a los atacantes los mismos permisos que el usuario legítimo, ampliando su alcance más allá del equipo comprometido. Además, el malware recopila datos de navegadores, historiales de comandos, billeteras de criptomonedas y configuraciones de clientes de bases de datos, entre otros.

Una vez recopilada la información, Djinn Stealer la comprime en un archivo TAR, la cifra con AES-256 y la envía al servidor de los atacantes. Los expertos advierten que este tipo de robos puede facilitar ataques posteriores, como la publicación de paquetes maliciosos en repositorios privados o el acceso no autorizado a recursos cloud. En sistemas Linux, el malware incluso intenta leer archivos del directorio /proc para extraer secretos de procesos en ejecución, como claves API o credenciales.

Qué significa para tu negocio

Si tu empresa utiliza SimpleHelp —o cualquier otra herramienta de gestión remota—, esta noticia es un recordatorio urgente de que la ciberseguridad no puede esperar. Actualiza la plataforma a la última versión inmediatamente y revisa los registros en busca de sesiones de técnico no reconocidas. Si detectas actividad sospechosa, rota todas las credenciales y claves API asociadas al sistema, ya que podrían estar comprometidas. Para pymes del sector técnico, inmobiliario o de reformas que dependen de proveedores externos (como MSPs) para gestionar sus equipos, es clave preguntarles si han aplicado los parches y qué medidas han tomado para proteger sus servidores RMM.

Más allá de este caso concreto, la amenaza subraya un riesgo creciente: los ciberdelincuentes están cada vez más interesados en herramientas de desarrollo y entornos cloud, no solo en datos tradicionales. Si tu equipo trabaja con repositorios privados, APIs o asistentes de IA, asegúrate de que las credenciales y tokens se almacenan de forma segura (usando gestores de secretos como HashiCorp Vault) y limita los permisos al mínimo necesario. También es recomendable monitorizar el tráfico de red en busca de conexiones sospechosas a dominios temporales (como los de Cloudflare usados en este ataque). La prevención no es solo cuestión de software: formar a los empleados para que identifiquen intentos de phishing o archivos adjuntos maliciosos sigue siendo una de las defensas más efectivas.

Fuente original: BleepingComputer

Conversación

Sé el primero en comentar.

Habla con LaiaDesk Más noticias

Newsletter

La IA de tu sector, en tu bandeja

Sin humo y sin spam. Te enviamos solo el análisis que de verdad mueve tu negocio. Cancela cuando quieras, en un clic.

Doble confirmación por correo (RGPD). Nunca compartimos tu dirección.