De buffer overflows a supply chain: los CVEs que redefinieron la ciberseguridad
Esta serie analiza las vulnerabilidades y clases de vulnerabilidades que marcaron un antes y después en la ciberseguridad. No solo el CVE: el contexto, la explotación, el impacto real y las lecciones que dejaron.
Analistas de seguridad, pentesters, desarrolladores y cualquier profesional que necesite entender por qué ciertas vulnerabilidades importan más que otras.
El desbordamiento de buffer ha sido la vulnerabilidad más explotada durante tres décadas. Del Morris Worm en 1988 a los CVEs de 2025, este artículo explica cómo funciona un buffer overflow, por qué sigue siendo relevante y qué mitigaciones lo combaten.
La inyección SQL lleva más de 25 años en el Top 10 de OWASP y sigue causando brechas masivas. De la brecha de Heartland (130 millones de tarjetas) a MOVEit (CVE-2023-34362), este artículo explica los tipos de SQLi, cómo se explotan y cómo prevenirlos definitivamente.
XSS lleva más de 25 años entre nosotros y sigue en el top 10 de OWASP. Inyectar JavaScript en páginas web que ven otros usuarios permite robar sesiones, credenciales, minar criptomonedas y modificar contenido. Análisis de los tres tipos (Reflected, Stored, DOM-based), incidentes reales como el gusano Samy, TweetDeck y British Airways, y defensas modernas incluyendo CSP, HttpOnly y DOMPurify.
Las race conditions explotan ventanas temporales de microsegundos para subvertir la seguridad de sistemas operativos y aplicaciones. Desde TOCTOU hasta Dirty COW y Dirty Pipe, este artículo analiza cómo el timing se convierte en un arma ofensiva, por qué estas vulnerabilidades son tan difíciles de detectar y qué mecanismos de protección existen.
Análisis técnico de Use-After-Free (UAF): cómo funciona la gestión de heap, por qué los navegadores son el objetivo principal, CVEs reales explotados in the wild y las mitigaciones que intentan frenar la clase de vulnerabilidad que reemplazó al buffer overflow como reina de los exploits.
Análisis técnico de integer overflow: cómo la aritmética binaria con wraparound se convierte en vulnerabilidad, la diferencia entre overflow, underflow y truncation, CVEs históricos desde SSH CRC-32 hasta el Boeing 787, y por qué C/C++ son especialmente vulnerables.
Las vulnerabilidades de format string permiten a un atacante leer y escribir memoria arbitraria a través de funciones como printf. Descubiertas en el año 2000, devastaron servidores Unix durante años. Análisis técnico completo con ejemplos en C.
Las vulnerabilidades de type confusion permiten a un atacante tratar un objeto en memoria como si fuera de otro tipo, corrompiendo datos y logrando ejecución de código. Son la clase de bug dominante en exploits de navegadores modernos, especialmente en motores JavaScript como V8, SpiderMonkey y JavaScriptCore.
La deserialización insegura convierte datos aparentemente inocuos en ejecución remota de código. De las gadget chains de Java a pickle en Python, esta clase de vulnerabilidad ha causado brechas masivas como Equifax (147 millones de registros) y sigue siendo una de las más peligrosas en aplicaciones empresariales.
Un SSRF convierte al servidor en un proxy involuntario del atacante. La brecha de Capital One en 2019 demostró que, combinado con servicios de metadatos cloud, un solo SSRF puede exponer 106 millones de registros. Análisis técnico del ataque, variantes, y cómo prevenirlo.
Análisis técnico de los tres vectores de ataque que utilizó el Morris Worm en 1988: la puerta trasera de sendmail en modo debug, el buffer overflow de fingerd con gets(), y el cracking de contraseñas débiles en /etc/passwd. Los primeros exploits reales de red que demostraron la fragilidad de Unix.
Análisis técnico de CVE-2003-0352, el buffer overflow en la interfaz DCOM RPC de Windows que permitió al gusano Blaster infectar cientos de miles de máquinas en agosto de 2003. Cómo funcionaba el heap overflow en RPCSS, el mensaje a Bill Gates, el temporizador de 60 segundos, y Welchia, el gusano que intentó parchear Internet.
Análisis técnico de CVE-2003-0533, el stack buffer overflow en LSASS (Local Security Authority Subsystem Service) de Windows que explotó el gusano Sasser en 2004. Creado por un estudiante alemán de 17 años, Sasser no necesitaba interacción del usuario, causaba reinicios en cadena y llegó a paralizar aerolíneas, hospitales y agencias de noticias.
Análisis técnico de CVE-2008-4250, el stack buffer overflow en la canonicalización de rutas de NetAPI32.dll que obligó a Microsoft a publicar un parche fuera de ciclo. Conficker explotó esta vulnerabilidad para infectar entre 9 y 15 millones de máquinas, combinando RPC exploit, DGA con 50.000 dominios diarios, P2P cifrado con RSA-4096 y firmas digitales.
Análisis técnico de los cuatro zero-days que Stuxnet utilizó simultáneamente: CVE-2010-2568 (LNK icon loading), CVE-2010-2729 (Print Spooler RCE), CVE-2010-3338 (Task Scheduler EoP) y CVE-2010-3888 (win32k.sys EoP). Más los certificados robados de Realtek y JMicron. Un arsenal sin precedentes cuyo valor en el mercado superaría los 4 millones de dólares.
Análisis técnico de CVE-2017-0144 (EternalBlue): cómo un error de conversión DWORD a WORD en SMBv1 permitió a la NSA controlar millones de máquinas Windows, cómo Shadow Brokers lo filtró, y cómo WannaCry y NotPetya causaron más de 10.000 millones de dólares en daños. La vulnerabilidad que cambió la ciberseguridad para siempre.
Análisis técnico de Heartbleed (CVE-2014-0160): cómo un missing bounds check en la extensión heartbeat de OpenSSL permitía leer 64 KB de memoria del servidor por petición, filtrando claves privadas, tokens de sesión y contraseñas. El bug que expuso la fragilidad de la infraestructura criptográfica de Internet y la crisis de financiación del software libre.
Análisis técnico de Shellshock (CVE-2014-6271): cómo un bug en el parsing de funciones en variables de entorno de GNU Bash, presente desde 1989, permitía ejecución remota de código a través de CGI, DHCP, SSH y OpenSMTPD. El año 2014 fue brutal para la seguridad de Internet.
Análisis técnico de Meltdown (CVE-2017-5754), Spectre v1 (CVE-2017-5753) y Spectre v2 (CVE-2017-5715): cómo la ejecución especulativa y la predicción de saltos en CPUs modernas permiten ataques de canal lateral que filtran datos a través de security boundaries. Por qué los bugs de hardware son fundamentalmente diferentes de los bugs de software.
Análisis técnico de BlueKeep (CVE-2019-0708): la vulnerabilidad wormable en Remote Desktop Protocol que revivió el fantasma de EternalBlue. Use-after-free en termdd.sys, el canal MS_T120, por qué el worm masivo nunca llegó, y las lecciones sobre cómo ASLR y kernel hardening cambiaron las reglas del juego.
CVE-2019-11510 permitía leer archivos arbitrarios en Pulse Secure VPN sin autenticación. Parcheada en abril de 2019, miles de appliances seguían expuestos cuando la pandemia forzó el teletrabajo masivo. REvil y APTs chinos la convirtieron en el vector de acceso inicial número uno entre 2020 y 2021.
CVE-2020-1472 (Zerologon) permitía a cualquier atacante con acceso de red a un Domain Controller tomar control completo del dominio en menos de 3 segundos. Un fallo criptográfico en AES-CFB8 con IV de ceros convirtió la autenticación Netlogon en un trámite trivial. CVSS 10.0, explotada por APTs iraníes, chinos y grupos de ransomware.
PrintNightmare (CVE-2021-34527 y CVE-2021-1675) convirtió el servicio Windows Print Spooler en un vector de ejecución de código como SYSTEM. Una divulgación accidental, parches incompletos y la ubicuidad del Print Spooler (activo incluso en Domain Controllers) crearon un caos que grupos como Magniber, Vice Society y Conti supieron aprovechar.
CVE-2021-44228 (Log4Shell) en Apache Log4j 2 permitía ejecución remota de código mediante una cadena de texto en un mensaje de log. CVSS 10.0, presente en millones de aplicaciones Java como dependencia transitiva. Este artículo analiza la vulnerabilidad en profundidad: JNDI, LDAP class loading, bypasses de ofuscación, parches incompletos y por qué el SBOM se convirtió en necesidad.
CVE-2023-34362 en MOVEit Transfer permitía a un atacante no autenticado ejecutar SQL injection en la interfaz web, obtener tokens de administrador y desplegar webshells. Cl0p explotó este zero-day durante el Memorial Day de 2023, comprometiendo más de 2.700 organizaciones y afectando a más de 90 millones de personas. El ataque redefinió el modelo de extorsión sin cifrado.
Análisis técnico de CVE-2024-3094, el backdoor insertado en XZ Utils que secuestró RSA_public_decrypt en OpenSSH mediante ifunc resolvers. Cómo los scripts de build modificados en tarballs (no en git) ocultaron una clave Ed448 en archivos de test, y cómo 500ms de latencia salvaron Internet.
Análisis técnico de ProxyLogon (CVE-2021-26855 + CVE-2021-27065) y ProxyShell (CVE-2021-34473 + CVE-2021-34523 + CVE-2021-31207), las cadenas de vulnerabilidades que convirtieron 250.000 servidores Exchange en puertas abiertas. Cómo la confusión del CAS backend y el cookie X-BEResource permitieron SSRF pre-auth y escritura arbitraria de archivos.
Análisis técnico de CVE-2023-23397, la vulnerabilidad zero-click en Microsoft Outlook que permitía robar hashes NTLMv2 mediante una invitación de calendario con UNC path. Explotada por APT28 (GRU ruso) contra gobiernos europeos, sectores militar, energía y transporte desde abril 2022.
Análisis técnico de CVE-2023-4966 (Citrix Bleed), la vulnerabilidad de buffer over-read en Citrix NetScaler ADC/Gateway que filtraba tokens de sesión desde memoria, permitiendo session hijack sin credenciales. Explotada por LockBit y Medusa contra Boeing, ICBC y Allen & Overy.
Análisis técnico de las vulnerabilidades encadenadas en Ivanti Connect Secure: CVE-2024-21887 (command injection) + CVE-2023-46805 (auth bypass), más CVE-2024-21893 (SSRF) y CVE-2024-22024. Cómo UNC5221 (APT chino) explotó la cadena desde diciembre 2023, por qué CISA ordenó desconectar todos los appliances, y por qué el integrity checker fue inútil.
Qué es un exploit, cómo se construye paso a paso, qué primitivas necesita un atacante para lograr ejecución de código arbitrario, y cómo los exploit kits industrializaron el proceso. Desde el trigger del bug hasta la post-explotación.
El mercado global de zero-days mueve cientos de millones de dólares. Gobiernos, brokers y criminales compiten por vulnerabilidades desconocidas. Precios, actores, dilemas éticos y regulación de un mercado que opera en los límites de la legalidad.
El patch gap es la ventana de oportunidad entre la publicación de un parche y su aplicación efectiva en las organizaciones. Esa ventana se está cerrando: los atacantes weaponizan vulnerabilidades en horas, mientras las empresas tardan semanas en parchear.
El Common Vulnerability Scoring System es el estándar global para puntuar la severidad de vulnerabilidades. Pero su uso como herramienta de priorización es problemático. Cómo funciona CVSS, cómo se lee un vector string, qué cambió en v4.0 y qué alternativas existen.
El catálogo KEV de CISA es la lista más práctica de vulnerabilidades que requieren acción inmediata. Con más de 1.200 CVEs confirmados como explotados activamente, KEV transforma la priorización de 'todo es crítico' a 'esto está siendo atacado ahora mismo'.
EPSS (Exploit Prediction Scoring System) utiliza machine learning para predecir la probabilidad de explotación de cada CVE en los próximos 30 días. Solo el 5% de las vulnerabilidades publicadas se explotan: EPSS te dice cuáles serán.
CVSS no es suficiente para priorizar vulnerabilidades. VPR de Tenable, SSVC de CISA y otros frameworks incorporan inteligencia de amenazas, madurez de exploits y contexto de misión para responder la pregunta que realmente importa: ¿qué parcheo primero?
La historia del debate entre full disclosure y responsible disclosure define cómo la industria gestiona las vulnerabilidades. Desde Bugtraq hasta la política de 90 días de Google Project Zero, el dilema entre transparencia y seguridad sigue abierto.
Desde los 1.000 dólares de Netscape en 1995 hasta los 81 millones anuales de HackerOne, los bug bounties han creado una economía global de investigación de seguridad. Historia, plataformas, pagos récord y el futuro con IA.
De EternalBlue a Log4Shell, las vulnerabilidades más costosas de la historia han causado daños estimados en decenas de miles de millones de dólares. Un ranking con cifras, lecciones aprendidas y las CVEs que cambiaron la industria.