Acceso a nivel de hardware: hackers ya pueden tomar el control de ordenadores eludiendo toda protección
Incluso con la energía apagada, la seguridad ya no está garantizada.
Dispositivos IP-KVM económicos, que permiten gestionar ordenadores de forma remota a nivel de "hardware", han resultado ser una amenaza seria para las redes corporativas. El equipo de Eclypsium descubrió nueve vulnerabilidades en cuatro fabricantes. El problema va más allá de errores aislados: estos dispositivos ofrecen al atacante un control prácticamente total sobre las máquinas conectadas.
El IP-KVM da acceso directo al teclado, vídeo y ratón, sin pasar por el sistema operativo ni por las herramientas de seguridad. Si se compromete, el dispositivo equivale a la presencia física junto al ordenador: se puede gestionar la BIOS, arrancar el sistema desde medios externos, eludir el cifrado de discos y desactivar mecanismos de protección. Además, muchos modelos usan emulación de USB, lo que permite introducir comandos como si los tecleara una persona.
El interés por esta categoría de dispositivos no es casual. Previamente el FBI discutió los riesgos de los KVM con blogueros tecnológicos, y Microsoft documentó casos en los que empleados norcoreanos usaron soluciones similares para acceder de forma remota a portátiles corporativos. El número de dispositivos accesibles desde internet también crece rápidamente: de 404 a mediados de 2025 a 1611 a principios de 2026.
Eclypsium examinó los dispositivos JetKVM, Sipeed NanoKVM, GL-iNet Comet RM-1 y Angeet ES3. En todos los casos se hallaron problemas básicos de seguridad: falta de verificación de autenticidad del firmware, protección débil o inexistente contra ataques de fuerza bruta a contraseñas, errores de control de acceso e interfaces de depuración abiertas.
Los hallazgos más graves están relacionados con el Angeet ES3. El dispositivo permite cargar archivos sin autorización y luego ejecutar comandos a nivel del sistema operativo. Esa combinación concede ejecución remota de código con máximos privilegios. Aún no se ha publicado una corrección.
El GL-iNet Comet RM-1 resultó vulnerable en varios frentes. La comprobación de actualizaciones se realiza mediante un hash MD5 dentro del propio archivo, lo que permite sustituir el firmware. También se detectó acceso a root vía UART sin autenticación y ausencia de protección contra ataques de fuerza bruta a contraseñas. Parte de los problemas se han corregido en una versión de prueba del firmware, pero los principales permanecen sin solución.
En el NanoKVM se encontró un punto de configuración Wi‑Fi abierto sin control de acceso. A través de él un atacante puede redirigir el dispositivo a su propia red, interceptar el tráfico o provocar una denegación de servicio. El fabricante cerró la vulnerabilidad en actualizaciones.
JetKVM, pese a su popularidad y desarrollo activo, también resultó vulnerable. La comprobación de actualizaciones no empleaba firma criptográfica, y el mecanismo de autenticación permitía probar contraseñas sin límite. Ambas fallas ya se corrigieron.
La conclusión general de los especialistas es un patrón recurrente: los dispositivos con acceso crítico están peor protegidos que los dispositivos IoT comunes. Si se comprometen, los atacantes pueden gestionar los sistemas sin ser detectados, introducir código malicioso y conservar el acceso incluso tras reinstalar el sistema operativo.
Las empresas recomiendan aislar los KVM en redes separadas, no exponer las interfaces en internet, usar contraseñas complejas y mantener el firmware actualizado. Sin estas medidas, estos dispositivos se convierten en un punto de entrada por el que se puede tomar control de toda la infraestructura.