Parche por la mañana, ataque al mediodía: bienvenidos a un mundo sin tiempo para las actualizaciones.

En el popular servidor web se encontró una vulnerabilidad que primero detectó una red neuronal y después personas convirtieron en un ataque real. La historia mostró algo sencillo: los sistemas automáticos ya saben encontrar errores e incluso provocar fallos, pero convertir un fallo en un ataque funcional sigue requiriendo intervención humana.

La vulnerabilidad CVE-2026-27654 está en el servidor web nginx y afecta no a todas las instalaciones, sino solo a aquellas donde está habilitado el módulo WebDAV y se usa una configuración concreta con la directiva alias y los comandos COPY o MOVE. Hay pocos sistemas así, pero el riesgo para ellos es serio.

La red neuronal Claude de Anthropic fue la primera en señalar el error. Se trata de un desbordamiento de búfer en memoria al procesar la solicitud COPY. El fallo se produce por un cálculo incorrecto de la longitud de la ruta cuando la cabecera Destination es más corta que el prefijo del directorio. Como resultado, el servidor se cae. En esta etapa la vulnerabilidad ya parecía confirmada.

Sin embargo, la caída del servidor aún no es un ataque. Para lograr algo más grave fue necesario investigar manualmente. Durante el análisis se descubrió que el error permite salir del directorio WebDAV, que debería aislar los archivos. En el mejor de los casos, el atacante obtiene acceso a cualquier archivo disponible para el proceso del servidor, incluyendo lectura y escritura.

A continuación empezó el trabajo práctico. Primero intentaron lograr la escritura de un archivo arbitrario. Se obtuvo una variante funcional, pero con condiciones extremadamente poco realistas: el servidor debía aceptar rutas muy largas y la estructura de directorios tenía que ser artificialmente profunda. Ese escenario es raro en infraestructuras reales.

Entonces cambiaron de enfoque. En lugar de escribir un archivo, probaron a leer archivos ya existentes. La idea resultó más sencilla: si se controla tanto el origen como el destino de la operación COPY, se puede copiar, por ejemplo, un archivo del sistema como /etc/passwd a un directorio accesible. La red neuronal en un caso afirmó que esa opción era imposible y en otro aportó un ejemplo funcional de inmediato. Tras comprobarlo se vio que el ataque funciona en la mayoría de los casos, aunque a veces sigue provocando la caída del servidor.

Luego encontraron una forma de simplificar aún más la explotación. Antes se pensaba que el ataque requería rutas largas. Pero resultó que, con cierta configuración, nginx deja de unificar las barras dobles en la ruta. El sistema operativo sigue tratándolas como una ruta normal. Así se puede construir una ruta muy larga para el servidor que en el sistema de archivos sea corta. Esa variante elimina los requisitos complejos sobre la estructura de directorios y vuelve el ataque mucho más práctico.

En el proceso quedó clara la frontera entre el papel humano y el de la red neuronal. Claude propuso de inmediato la variante más potente —la escritura de archivos— pero no valoró cuán realistas eran las condiciones. Las personas, en cambio, simplificaron la tarea, descartaron lo innecesario y encontraron un escenario más aplicable. La red neuronal verificaba ideas con rapidez y ayudaba en los detalles, pero la elección de la dirección seguía siendo humana.

La corrección entró en la versión 1.29.7 y la información sobre el problema se publicó en marzo de 2026. Es notable que, tan pronto como la corrección estuvo disponible públicamente, un sistema automático de análisis de cambios detectó el parche y ensambló por sí mismo un ejemplo que provocaba el fallo. Eso ocurrió el mismo día.

De hecho, la ventana entre la publicación de la corrección y la aparición de un ataque listo se redujo a cero. Antes los administradores tenían tiempo para actualizar; ahora esa reserva ha desaparecido. Y si las redes neuronales aceleran la búsqueda de vulnerabilidades para los desarrolladores, también aceleran su explotación para todos los demás.