No hay dudas de que la Inteligencia Artificial es algo que está cada vez más presente en nuestro día a día y nos ofrece un amplio abanico de opciones. Podemos tener muchas funciones novedosas también a nivel de redes y ciberseguridad. En este artículo, nos hacemos eco de cómo la IA ha detectado un fallo de seguridad de 13 años, una vulnerabilidad de ejecución remota de código, en apenas 10 minutos. Así lo indican los investigadores de seguridad de Horizon3, en una publicación con fecha de 7 de abril.
Esto, que podría ser algo positivo, ya que es un uso más que podemos darle a la Inteligencia Artificial, podría suponer un problema. También te hablaremos del riesgo que supone la IA para la seguridad de los usuarios, en caso de que se utilice para el mal. Es una herramienta potente, que puede se un arma de doble filo.
La IA encuentra un fallo antiguo
Si empezamos con la vulnerabilidad que ha detectado, se trata de un fallo presente en Apache ActiveMQ Classic durante 13 años. Ha permanecido todo este tiempo sin detectar, hasta que el modelo de IA Claude de Anthropic la ha detectado. Además, lo ha hecho en apenas 10 minutos, por lo que podemos ver claramente la rapidez con la que pueden detectar fallos.
Esta vulnerabilidad ha sido registrada como CVE-2026-34197. Es un problema que consiste en una validación de entrada incorrecta e inyección de código en el puente JMX-HTTP Jolokia de Apache ActiveMQ Classic, expuesta a través de la consola web en /api/jolokia/ en el puerto 8161. Desde INCIBE, el Instituto Nacional de Ciberseguridad, se han hecho eco de este fallo y lo han calificado de gravedad alta.
En caso de explotación, un atacante autenticado podría llamar a la operación de administración addNetworkConnector(String) en el MBean del broker y proporcionar una URI de transporte de máquina virtual manipulada que contiene el parámetro brokerConfig=xbean:https://. Cuando se procesa, la capa de transporte de la máquina virtual de ActiveMQ crea un broker integrado sobre la marcha mediante la llamada a `BrokerFactory.createBroker()` utilizando la URL proporcionada por el atacante.
Hay que tener en cuenta que la vulnerabilidad CVE-2026-34197 requiere credenciales válidas en la mayoría de las implementaciones. Sin embargo, las credenciales predeterminadas (como admin, admin), son muy utilizadas en entornos empresariales. Además, los investigadores de seguridad indican que las organizaciones que utilizan ActiveMQ versiones 6.0.0 a 6.1.1 están expuestas a una ruta de ejecución remota de código sin autenticación.
Por qué puede ser un problema
Pero, ¿por qué puede ser esto un problema? El hecho de que la Inteligencia Artificial ayude a detectar vulnerabilidades, puede ser algo positivo. Sin embargo, también se podría utilizar para encontrar y explotar esos fallos. Un atacante podría aprovecharse de la IA para buscar vulnerabilidades sin corregir y actuar.
Esto podría permitir que robe datos personales, contraseñas o tomen el control de los dispositivos. Lo que antes podía suponer un trabajo arduo, de mucho tiempo y dificultad, ahora la IA puede acelerar todo el proceso y dar facilidades a los atacantes para que encuentren este tipo de problemas.
En definitiva, la IA ha permitido detectar una vulnerabilidad que afectaba a Apache ActiveMQ Classic, y que ha estado presente durante 13 años. Esto tiene también su parte negativa, y es que nos recuerda que la Inteligencia Artificial puede ser utilizada por los atacantes también para el mal.
Preguntas frecuentes
¿Qué es Apache ActiveMQ y quién lo utiliza?
Apache ActiveMQ es un broker de mensajes de código abierto ampliamente utilizado en entornos empresariales para la comunicación entre aplicaciones. Lo usan empresas que necesitan sistemas de mensajería confiables, integración de servicios y arquitecturas orientadas a eventos.
¿Qué versiones de Apache ActiveMQ están afectadas por el CVE-2026-34197?
La vulnerabilidad afecta principalmente a Apache ActiveMQ Classic. Según los investigadores de Horizon3, las organizaciones que utilizan versiones 6.0.0 a 6.1.1 están expuestas a una ruta de ejecución remota de código sin necesidad de autenticación.
¿Cómo puedo saber si mi servidor está afectado?
Debes verificar si utilizas Apache ActiveMQ Classic y comprobar la versión instalada. Si está en el rango 6.0.0-6.1.1, tu servidor es vulnerable. También debes revisar si la consola web está expuesta en el puerto 8161 y si utilizas credenciales predeterminadas (admin/admin).
