Esta semana dejó claro que el riesgo ya no está solo en ataques visibles, sino en herramientas que usamos todos los días.

Bases de datos que filtran información sin autenticación, frameworks de IA que pueden exponer secretos o alterar resultados y paquetes populares que espían mensajes desde dentro de tus proyectos.

📰 Lo último de la semana

MongoDB expone datos confidenciales por una falla crítica

Imagina tener una base de datos crítica expuesta porque un atacante puede sacar información sin autenticarse. Eso está pasando con una vulnerabilidad severa en MongoDB (CVE-2025-14847) que deja servidores susceptibles de filtrar datos sensibles desde la memoria sin necesidad de credenciales. Investigadores han identificado más de 87 000 instancias de MongoDB potencialmente vulnerables en todo el mundo, muchas de ellas accesibles desde internet, lo que facilita que un atacante remoto lea información en memoria simplemente enviando paquetes manipulados. 

Actualiza ya mismo a una versión parcheada (por ejemplo 8.2.3, 8.0.17, 7.0.28 o posteriores) y restringe la exposición de tus servidores de base de datos. Si no puedes actualizar de inmediato, desactiva la compresión zlib para mitigar el riesgo.

Vulnerabilidad crítica que puede robar secretos y alterar IA

Montas una aplicación de IA y descubres que una falla de tu framework permite que un atacante extraiga claves  o incluso influya en salidas de modelos. Esto es lo que ocurre con una vulnerabilidad crítica en langchain-core (CVE-2025-68664), apodada LangGrinch, que permite inyección de objetos maliciosos durante la serialización y deserialización. La falla afecta a una de las librerías más usadas en entornos de agentes e IA, y puede permitir que un atacante exfiltre secretos del sistema o incluso llegue a ejecutar código no autorizado a través de vías como Jinja2 o prompt injection. 

Como recomendación, actualiza langchain-core a las versiones parcheadas (1.2.5 o superiores) y revisa cómo tus aplicaciones manejan datos de entrada en flujos de serialización/deserialización para asegurarte de que no acepten datos no confiables.

El paquete npm que espía WhatsApp

Integras en tu celular una biblioteca que promete facilitar el uso de WhatsApp en tus proyectos… y de repente esa librería empieza a robar mensajes, contactos, archivos multimedia y credenciales de usuarios sin que nadie lo note. Eso es lo que ha ocurrido con un paquete malicioso identificado como “lotusbail”, publicado en npm haciéndose pasar por una API legítima de WhatsApp y descargado más de 56 000 veces. 

Se ha observado que el malware intercepta comunicaciones y guarda esta información para enviarla a los atacantes, lo que pone en riesgo no solo la seguridad de desarrolladores sino también de los usuarios finales que dependen de estas integraciones. Recuerda revisar cuidadosamente tus proyectos, evita bibliotecas no verificadas, actualiza auditorías de seguridad de npm y elimina cualquier paquete sospechoso de inmediato.