← Alertas
Vulnerabilidad Alto Activa

CISA confirma explotación activa de vulnerabilidades en Android y el kernel de Linux

La agencia de ciberseguridad de Estados Unidos confirma explotación activa de vulnerabilidades en el kernel de Linux y Android. Cualquier organización con servidores Linux o dispositivos Android sin parches recientes está expuesta en este momento.

2026-06-03 · BleepingComputer

Contexto

La CISA —la agencia de ciberseguridad e infraestructura de Estados Unidos, equivalente a un regulador técnico de seguridad— confirmó que atacantes están explotando activamente vulnerabilidades en el kernel de Linux y el sistema operativo Android. Las fallas fueron añadidas al catálogo KEV —Known Exploited Vulnerabilities—, lo que significa explotación confirmada en el mundo real, no solo teórica.

Linux es el sistema operativo más común en servidores web, nube e infraestructura empresarial. Android es el sistema operativo del 70% de los teléfonos en México.

Impacto potencial

Para personas

Usuarios con teléfonos Android sin actualizaciones recientes están en el perfil de riesgo. La explotación activa significa que hay atacantes buscando dispositivos vulnerables ahora mismo.

Para organizaciones

Servidores Linux sin parches de seguridad recientes y dispositivos Android que acceden a redes corporativas son vectores de entrada activos. El impacto potencial incluye acceso no autorizado a sistemas internos y exfiltración de datos.

Recomendaciones

Para personas

Actualizar Android desde Ajustes → Sistema → Actualización del sistema. Si tu dispositivo ya no recibe actualizaciones de seguridad, considerar su reemplazo o limitar el acceso a cuentas de trabajo desde él.

Para organizaciones

Revisar el estado de parches en servidores Linux —especialmente los accesibles desde internet— y en dispositivos Android bajo gestión corporativa. Los sistemas sin actualizaciones de seguridad de los últimos 90 días requieren atención inmediata o aislamiento temporal.


La CISA no agrega vulnerabilidades a su catálogo KEV por precaución: lo hace cuando hay evidencia de explotación real. Cuando aparece una alerta de esta fuente, el tiempo entre “advertencia” y “incidente propio” se acorta significativamente. La lección permanente: el catálogo KEV es el termómetro más confiable de lo que atacantes están usando hoy. Revisarlo regularmente debería ser parte de cualquier proceso de gestión de parches.

Leer fuente original →