Exploradores de hackers aprovechan falla crítica en React Native desde hace más de un mes
TL;DR
Desde el 21 de diciembre de 2025, ciberdelincuentes han estado explotando una grave vulnerabilidad en el <strong>Metro Development Server</strong>, esencial para la creación de aplicaciones móviles en <strong>React Native</strong>.
Desde el 21 de diciembre de 2025, ciberdelincuentes han estado explotando una grave vulnerabilidad en el Metro Development Server, componente esencial de la plataforma React Native, que permite la creación de aplicaciones móviles para Android e iOS. Esta vulnerabilidad, conocida como CVE-2025-11953 y apodada Metro4Shell, posee una puntuación de 9.8 en una escala que va hasta 10, indicando su severidad.
El descubrimiento fue realizado por investigadores de la empresa de ciberseguridad VulnCheck, utilizando sistemas trampa que monitorean ataques reales. El interés de los hackers se concentra en un endpoint conocido como \/open-url, que en configuraciones por defecto puede exponer el servidor a Internet.
Entorno de desarrollo vulnerable
El Metro sirve como servidor de desarrollo que "empaqueta" código JavaScript, permitiendo que los desarrolladores prueben sus aplicaciones. Si está expuesto, cualquier usuario puede enviar una solicitud simple al endpoint vulnerable y ejecutar comandos en el sistema, sin necesidad de autenticación.
La vulnerabilidad fue documentada inicialmente por la empresa JFrog en noviembre de 2025, que publicó un análisis técnico. Después de eso, diversas pruebas de concepto emergieron en GitHub, facilitando el ataque incluso para invasores menos experimentados.
Método de ataque
La naturaleza repetitiva de los ataques capturados por VulnCheck reveló un patrón. Ataques ocurrieron en tres fechas distintas, siempre utilizando los mismos archivos maliciosos, configurando una operación cibernética bien estructurada.
El ataque consiste en cinco etapas. Primero, los delincuentes utilizan la herramienta curl para enviar un comando a través del endpoint vulnerable, disfrazado en Base64. Después de la decodificación, el script identifica directorios de trabajo y desactiva protecciones de Microsoft Defender.
Una vez comprometidas las defensas, el script establece una conexión con un servidor controlado por los invasores y descarga un ejecutable malicioso, que es entonces ejecutado con argumentos encriptados.
El malware, escrito en Rust y comprimido con UPX, presenta lógica anti-análisis, dificultando exámenes por investigadores de seguridad y tiene una versión para Linux, ampliando su alcance de ataque.
Desconexión entre percepción y realidad
VulnCheck identificó una desinformación preocupante: mientras la explotación activa de la vulnerabilidad comenzó en diciembre, muchos debates públicos hasta finales de enero todavía la clasificaron como un "riesgo teórico". El informe resalta que las iniciativas de los atacantes no dependen de avisos oficiales o actualizaciones de seguridad.
La Known Exploited Vulnerabilities (KEV), lista mantenida por la Cybersecurity & Infrastructure Security Agency (CISA), frecuentemente se actualiza con retraso. Herramientas de desarrollo como Metro, al ser ampliamente utilizadas, se convierten en objetivos fáciles, dado que a menudo no reciben el mismo nivel de monitoreo que los sistemas de producción.
Importancia de la detección temprana
VulnCheck tuvo éxito en detectar la explotación inicial gracias al uso de exploits y reglas de un sistema de detección de intrusiones, llamado Suricata. Esta visibilidad permitió la configuración temprana de los sistemas para identificar los ataques tan pronto como comenzaron.
La empresa registró la CVE-2025-11953 en su lista de vulnerabilidades explotadas el mismo día en que se observó el primer ataque, mostrando la importancia de la vigilancia continua en entornos de desarrollo.
Para más noticias sobre seguridad y tecnología, sigue a TecMundo en redes sociales y suscríbete a nuestro boletín de noticias.
Contenido seleccionado y editado con asistencia de IA. Fuentes originales referenciadas arriba.
