Investigadores de ciberseguridad han advertido sobre los riesgos que presentan los dispositivos IP KVM (Keyboard, Video, Mouse sobre Protocolo de Internet) de bajo costo, los cuales pueden otorgar a los atacantes un control extenso sobre los hosts comprometidos. Las nueve vulnerabilidades, descubiertas por **Eclypsium**, abarcan cuatro productos diferentes de **GL-iNet** Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM y JetKVM. Las más graves permiten a actores no autenticados obtener acceso root o ejecutar código malicioso. "Los temas comunes son contundentes: validación de firma de firmware ausente, sin protección contra fuerza bruta, controles de acceso rotos e interfaces de depuración expuestas", señalaron los investigadores Paul Asadoorian y Reynaldo Vasquez Garcia [en un análisis](https://eclypsium.com/blog/your-kvm-is-the-weak-link-how-30-dollar-devices-can-own-your-entire-network/). ### El Riesgo de Toma de Control Remota Los dispositivos IP KVM permiten el acceso remoto al teclado, salida de video y entrada de mouse de una máquina objetivo a nivel de BIOS/UEFI. La explotación de vulnerabilidades en estos productos puede exponer los sistemas a riesgos de toma de control, socavando los controles de seguridad existentes. A continuación, se detallan las deficiencias identificadas: * **CVE-2026-32290** (puntuación CVSS: 4.2) - Verificación insuficiente de autenticidad del firmware en **GL-iNet** Comet KVM (se planea una corrección) * **CVE-2026-32291** (puntuación CVSS: 7.6) - Vulnerabilidad de acceso root Universal Asynchronous Receiver-Transmitter (UART) en **GL-iNet** Comet KVM (se planea una corrección) * **CVE-2026-32292** (puntuación CVSS: 5.3) - Vulnerabilidad de protección insuficiente contra fuerza bruta en **GL-iNet** Comet KVM (corregido en la versión 1.8.1 BETA) * **CVE-2026-32293** (puntuación CVSS: 3.1) - Aprovisionamiento inicial inseguro a través de conexión a la nube no autenticada en **GL-iNet** Comet KVM (corregido en la versión 1.8.1 BETA) * **CVE-2026-32294** (puntuación CVSS: 6.7) - Vulnerabilidad de verificación de actualización insuficiente en JetKVM (corregido en la versión 0.5.4) * **CVE-2026-32295** (puntuación CVSS: 7.3) - Vulnerabilidad de limitación de tasa insuficiente en JetKVM (corregido en la versión 0.5.4) * **CVE-2026-32296** (puntuación CVSS: 5.4) - Exposición de endpoint de configuración en Sipeed NanoKVM (corregido en la versión NanoKVM 2.3.1 y NanoKVM Pro versión 1.2.4) * **CVE-2026-32297** (puntuación CVSS: 9.8) - Falta de autenticación para una función crítica en Angeet ES3 KVM que conduce a ejecución arbitraria de código (no hay corrección disponible) * **CVE-2026-32298** (puntuación CVSS: 8.8) - Vulnerabilidad de inyección de comandos del sistema operativo en Angeet ES3 KVM que conduce a ejecución arbitraria de comandos (no hay corrección disponible) ### Fallas Fundamentales de Seguridad "Estos no son exploits 0-day exóticos que requieren meses de ingeniería inversa", señalaron los investigadores. "Son controles de seguridad fundamentales que cualquier dispositivo en red debería implementar. Validación de entrada. Autenticación. Verificación criptográfica. Limitación de tasa. Estamos ante la misma clase de fallas que plagaron los primeros dispositivos IoT hace una década, pero ahora en una clase de dispositivo que proporciona el equivalente al acceso físico a todo a lo que se conecta." Un adversario puede utilizar estas fallas para inyectar pulsaciones de teclas, arrancar desde medios extraíbles para eludir el cifrado de disco o las protecciones de arranque seguro, eludir las pantallas de bloqueo y acceder a los sistemas, y, lo que es más importante, permanecer indetectado por el software de seguridad instalado a nivel del sistema operativo. ### Advertencias Previas y Explotación Norcoreana Esta no es la primera vez que se divulgan vulnerabilidades en dispositivos IP KVM. En julio de 2025, el proveedor ruso de ciberseguridad **Positive Technologies** [señaló cinco fallas](https://global.ptsecurity.com/en/about/news/vulnerabilities-in-aten-international-switches-patched-with-the-assistance-of-pt-experts/) en switches de **ATEN International** (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713 y CVE-2025-3714) que podrían conducir a denegación de servicio o ejecución remota de código. Además, switches IP KVM como PiKVM o TinyPilot [han sido utilizados](https://thehackernews.com/2025/07/us-arrests-key-facilitator-in-north.html) por trabajadores de TI norcoreanos residentes en países como China para conectarse remotamente a laptops corporativas alojadas en granjas de laptops. ### Estrategias de Mitigación Para mitigar estos riesgos, se recomienda: * Implementar autenticación multifactor (MFA) donde sea compatible. * Aislar los dispositivos KVM en una VLAN de administración dedicada. * Restringir el acceso a Internet. * Utilizar herramientas como Shodan para verificar la exposición externa. * Monitorear el tráfico de red inesperado hacia/desde los dispositivos. * Mantener el firmware actualizado. **Eclypsium** enfatiza la gravedad de un dispositivo KVM comprometido. "Un KVM comprometido no es como un dispositivo IoT comprometido en su red. Es un canal directo y silencioso a cada máquina que controla", declararon. "Un atacante que compromete el KVM puede ocultar herramientas y backdoors en el propio dispositivo, reinfectando consistentemente los sistemas host incluso después de la remediación." "Dado que algunas actualizaciones de firmware carecen de verificación de firma en la mayoría de estos dispositivos, un atacante de la cadena de suministro podría manipular el firmware en el momento de la distribución y hacerlo persistir indefinidamente."