Advertencia sobre Proxyware en Smart TVs y vulnerabilidades críticas
Publicado el
Informe sobre Proxyware en Smart TVs
Un reciente análisis de Spur Intelligence ha evidenciado que más de un tercio de las aplicaciones de televisores inteligentes de LG y Samsung incluyen proxyware. Este software permite redirigir el tráfico de terceros a través de la conexión a Internet del propietario del televisor, y lo hace con el consentimiento del usuario. La investigación abarcó 6,038 aplicaciones en LG webOS y Samsung Tizen, encontrando que 2,058 contenían software de proxy residencial. En LG webOS, el 42.5% de las aplicaciones estaban afectadas, mientras que en Samsung Tizen, la cifra alcanzó el 26.9%, resultando en un promedio del 34.1% en ambas plataformas.
Según Spur, los televisores inteligentes son casi ideales como hosts de proxy. Están conectados a la misma red doméstica que otros dispositivos, pero no se perciben como computadoras, lo que provoca que los usuarios rara vez los auditen. Esto crea un entorno propicio para el uso indebido, ya que los televisores pueden permanecer conectados y en línea durante años sin que los propietarios lo noten. El CTO de Spur, Alastair Parr, destacó que aunque las aplicaciones cumplen técnicamente con la obtención de consentimiento, no hay verificación de que el usuario esté autorizado para dar dicho consentimiento.
Vulnerabilidades críticas en curl
En otro ámbito, AISLE ha detectado seis vulnerabilidades en curl, una herramienta esencial en la transferencia de datos. La más notable es CVE-2026-8932, que permite la reutilización de una conexión previamente creada incluso cuando se han modificado opciones de configuración de mTLS que deberían prohibir dicha reutilización. Este fallo representa la vulnerabilidad más antigua de curl reportada hasta la fecha, presente desde la versión 7.7, lanzada el 22 de marzo de 2001. Las vulnerabilidades han sido corregidas en la versión 8.21.0.
Fallo crítico en Hoppscotch
Además, un grave defecto de seguridad ha sido descubierto en versiones autohospedadas de Hoppscotch (CVE-2026-50160, puntuación CVSS: 10.0), una plataforma de API de código abierto. Según Offgrid Security, el agente de seguridad autónomo Kiro fue el encargado de identificar el error. Este fallo permite a un atacante no autenticado inyectar claves de configuración en la base de datos a través de un endpoint específico, lo que podría llevar a una compromiso total del servidor. La explotación de esta vulnerabilidad no requiere credenciales y permite la persistencia del acceso, incluso tras un restablecimiento de contraseña. Se ha corregido en la versión 2026.5.0 del backend de Hoppscotch.
Conclusión
El panorama de la ciberseguridad sigue siendo preocupante, con la proliferación de proxyware en dispositivos domésticos y vulnerabilidades críticas en herramientas ampliamente utilizadas. La falta de conciencia de los usuarios y la insuficiente verificación de consentimientos son aspectos que deben ser abordados urgentemente para mitigar estos riesgos.