xiand.ai
5 abr 2026 · Actualizado 22:49 UTC
Ciberseguridad

Hackers lanzan ataques automatizados a gran escala para el robo de credenciales mediante la vulnerabilidad React2Shell

Los ciberdelincuentes están explotando la vulnerabilidad React2Shell para comprometer aplicaciones Next.js, mientras que los ataques de phishing que utilizan el flujo de autorización de código de dispositivo OAuth 2.0 han aumentado 37 veces recientemente.

Ryan Torres

2 min de lectura

Hackers lanzan ataques automatizados a gran escala para el robo de credenciales mediante la vulnerabilidad React2Shell
Conceptual image of web application security.

Investigadores de ciberseguridad han emitido una alerta sobre dos campañas de ataques digitales a gran escala dirigidas tanto a empresas como a particulares. Los atacantes están aprovechando la vulnerabilidad React2Shell (CVE-2025-55182) para robar credenciales de forma automatizada en aplicaciones que utilizan el framework Next.js en todo el mundo.

Según el equipo de seguridad Talos de Cisco, al menos 766 hosts en diversos proveedores de servicios en la nube han sido comprometidos hasta el momento. Esta campaña, identificada como UAT-10608, utiliza un framework denominado "NEXUS Listener" para recopilar automáticamente credenciales de bases de datos, claves de AWS, claves privadas SSH, tokens de API y diversos secretos del entorno.

El proceso de ataque comienza con un escaneo automatizado de aplicaciones Next.js. Una vez detectada la vulnerabilidad, los hackers implantan scripts en directorios temporales para extraer, por etapas, datos confidenciales de la aplicación. Esta información se envía a los servidores de control de los atacantes mediante peticiones HTTP a través del puerto 8080, lo que les permite tomar el control total del entorno de ejecución y de la información de los contenedores comprometidos.

Aumento drástico del phishing mediante códigos de dispositivo

Paralelamente, los ataques de phishing dirigidos a los procesos de autenticación están evolucionando rápidamente. Según un informe de Push Security, el número de ataques de phishing que explotan el flujo de autorización de código de dispositivo OAuth 2.0 (Device Authorization Grant flow) se ha disparado 37 veces este año.

Este método de ataque fue diseñado originalmente para simplificar la conexión a la red de dispositivos sin interfaz de entrada, como televisores inteligentes o impresoras. Sin embargo, los atacantes engañan a las víctimas para que introduzcan un código de autorización en una página legítima, logrando así obtener tokens de acceso válidos y secuestrar las cuentas.

Los investigadores de Push Security señalan que, aunque esta técnica existe desde 2020, su uso ha alcanzado niveles sin precedentes debido a la proliferación de kits de herramientas maliciosas. El informe destaca: "A principios de marzo, nuestro equipo de investigación detectó que el número de páginas de phishing mediante códigos de dispositivo aumentó 15 veces este año, con múltiples kits de ataque y campañas operando simultáneamente".

Actualmente, tanto grupos de hackers respaldados por estados como bandas criminales motivadas por el lucro han incorporado esta técnica a su arsenal habitual. Se recomienda a los usuarios corporativos revisar estrictamente las solicitudes de autorización OAuth y reforzar la supervisión de sus entornos en la nube y claves API para hacer frente a estas dos amenazas automatizadas que siguen en aumento.

Etiquetas

Comentarios

Los comentarios se almacenan localmente en tu navegador.