Arqueología de internet: el hallazgo de Linux antiguo con miles de errores

La arqueología de internet ha dejado de ser una metáfora reservada para historiadores de la tecnología que rastrean páginas de GeoCities o servidores de Gopher olvidados. Hoy, en pleno 2026, se ha convertido en una disciplina crítica de la ciberseguridad. Lo que los investigadores de Vedere Labs, el brazo de investigación de Forescout, han desenterrado no son simples reliquias digitales, sino un estrato geológico de software antiguo que sostiene la infraestructura moderna. Bajo la superficie de nuestras ciudades inteligentes y fábricas automatizadas, late un corazón de silicio que parece haberse detenido en la primera década del siglo XXI.

El reciente informe publicado el 20 de abril de 2026 ha revelado una realidad escalofriante: aproximadamente 10 millones de dispositivos de conversión de serial a IP operan actualmente en un estado de vulnerabilidad masiva. Estos equipos, conocidos como “device servers”, actúan como traductores universales, permitiendo que maquinaria industrial diseñada hace 30 años se comunique con redes Ethernet modernas. Sin embargo, al abrir el capó de estos dispositivos, los investigadores no encontraron código moderno, sino una cápsula del tiempo digital repleta de kernels de Linux obsoletos y librerías que deberían haber sido retiradas hace tres lustros.

BRIDGE:BREAK: El hallazgo cumbre de la arqueología de internet moderna

La investigación, bautizada como BRIDGE:BREAK, se centró en analizar la seguridad de modelos extremadamente populares de fabricantes como Lantronix y Silex. Los resultados son una lección de humildad para cualquier arquitecto de sistemas que crea que la red actual es invulnerable. Se identificaron 22 nuevas vulnerabilidades críticas (0-days) que permiten desde el bypass de autenticación hasta la ejecución remota de código (RCE) con privilegios de root.

Uno de los hallazgos más alarmantes de esta arqueología de internet técnica es la vulnerabilidad CVE-2025-70082. En ciertos modelos de Lantronix (series EDS3000PS y EDS5000PS), un atacante puede cambiar la contraseña del dispositivo a través de su interfaz web sin necesidad de conocer la contraseña anterior. Este fallo de diseño elemental, más propio de la web amateur de los años 90 que de un componente de infraestructura crítica de 2026, permite la toma total del control del dispositivo en cuestión de segundos. Una vez que el atacante “posee” el convertidor, el puente entre el mundo digital y el físico queda a su merced.

El fantasma en la máquina: Kernels de hace 20 años

Para entender la magnitud del problema, debemos descender a las profundidades del stack de software. La arqueología de internet nos muestra que estos dispositivos son, en esencia, zombis tecnológicos. Según el estudio de Forescout:

• Una imagen de firmware promedio en estos dispositivos contiene 212 vulnerabilidades conocidas en sus componentes de código abierto.
• Ciertos kernels de Linux detectados en uso activo albergan hasta 2,255 bugs distintos.
• Muchos de estos sistemas ejecutan versiones de Linux de la rama 2.6 o incluso 2.4, que no han recibido parches de seguridad oficiales en más de una década.
• Se detectó el uso extensivo de librerías como uClibc y BusyBox en versiones antiguas que carecen de protecciones modernas como ASLR (Address Space Layout Randomization) o DEP (Data Execution Prevention).

Esta carencia de protecciones básicas convierte a estos dispositivos en un patio de recreo para los atacantes. Sin ASLR, un exploit de desbordamiento de búfer (buffer overflow) se vuelve determinista y extremadamente sencillo de ejecutar, permitiendo a los actores de amenazas ganar persistencia dentro de redes que, en teoría, deberían estar protegidas por firewalls de última generación.

¿Por qué el “plumbing” del internet está congelado en el tiempo?

Resulta paradójico que mientras la web superficial evoluciona con inteligencia artificial generativa y arquitecturas serverless, el “plumbing” o la tubería básica del internet industrial permanezca estancada. La razón no es la negligencia pura, sino una mezcla de inercia operativa y economía de escala. Muchos de estos convertidores de serial a IP se instalan bajo la premisa de “instalar y olvidar”. Una vez que un convertidor conecta un brazo robótico o un sensor de presión de agua a la red, nadie quiere tocarlo por miedo a romper un proceso crítico.

Además, el ciclo de vida del hardware industrial (OT) se mide en décadas, no en años. El software que corre dentro de estos equipos suele ser un BSP (Board Support Package) proporcionado por el fabricante del chip original. Si el fabricante del chip dejó de actualizar ese paquete en 2012, el ensamblador del dispositivo final sigue utilizando esa base de código “antigua” simplemente porque funciona y es barata de implementar. Esta es la esencia de la arqueología de internet: capas sobre capas de tecnología donde las más profundas son las más frágiles.

Riesgos tangibles: De la pantalla al mundo real

El peligro de estas vulnerabilidades no es puramente teórico. Los investigadores demostraron escenarios donde, tras comprometer un convertidor mediante BRIDGE:BREAK, podían manipular los datos que viajaban por el enlace serial. Imaginemos una planta química donde un sensor envía lecturas de temperatura por un puerto RS-485. Un atacante podría interceptar esos paquetes IP, modificar el valor de la temperatura para que siempre parezca “normal” en la consola del operador, mientras en la realidad el tanque está entrando en una fase de sobrepresión crítica.

Este tipo de manipulación de datos, conocida como “Data Tampering”, es el mismo vector de ataque que se utilizó en incidentes históricos como Stuxnet o los ataques a la red eléctrica de Ucrania. La diferencia hoy es que la superficie de ataque es masiva: hay casi 20,000 de estos dispositivos expuestos directamente a internet, detectables con herramientas simples de escaneo como Shodan o Censys, y millones más dentro de redes locales esperando a ser utilizados para el movimiento lateral.

La anatomía de un dispositivo vulnerable

El análisis de Forescout profundizó en la complejidad interna de estos convertidores. Algunos modelos tienen apenas una docena de componentes de software, pero otros poseen hasta 248 módulos distintos. Cada módulo es una puerta potencial. Al realizar esta arqueología de internet, se descubrió que los fabricantes a menudo incluyen servicios innecesarios que aumentan la superficie de ataque:

1. Servidores Telnet y FTP activos: Protocolos que transmiten credenciales en texto plano, facilitando el espionaje de red.
2. Interfaces web heredadas: Basadas en versiones antiguas de mini_httpd o servidores web embebidos plagados de fallos de inyección de comandos.
3. Credenciales por defecto: El uso de nombres de usuario y contraseñas de fábrica (como admin/admin) sigue siendo la norma, no la excepción.
4. Falta de verificación de firmware: Muchos dispositivos permiten cargar actualizaciones de software sin ninguna firma criptográfica, lo que permite a un atacante instalar un firmware “malicioso” persistente.

El estudio subraya que el 29% de los bugs encontrados son de severidad alta, con puntuaciones CVSS de 9.8 sobre 10. Estos no son errores menores; son llaves maestras para el reino de la infraestructura crítica.

Desafíos de la remediación: El dilema del parche

Si la solución fuera simplemente “actualizar el software”, el problema se habría resuelto hace años. Sin embargo, en el ámbito de la arqueología de internet, actualizar es una tarea hercúlea. Muchos de estos dispositivos tienen limitaciones de hardware (poca RAM, almacenamiento flash minúsculo) que impiden ejecutar versiones modernas de Linux. Un kernel 6.x simplemente no cabe en un chip diseñado para el 2.6.

Además, existe el problema de la cadena de suministro de software. Si el desarrollador original de una librería de red desapareció hace cinco años, no hay nadie para escribir el parche. Esto obliga a las organizaciones a adoptar medidas de mitigación compensatorias. La segmentación de red ya no es opcional; es una cuestión de supervivencia. Aislar estos convertidores en VLANs protegidas, donde solo puedan comunicarse con sistemas específicos y bajo protocolos estrictamente monitoreados, es la única defensa real mientras se planifica su reemplazo físico.

Conclusión: Hacia una nueva higiene digital

La revelación de Vedere Labs este abril de 2026 marca un punto de inflexión. No podemos seguir ignorando las bases de nuestra infraestructura digital. La arqueología de internet nos ha mostrado que el pasado está muy presente y que es peligrosamente inestable. El mito del “air-gap” o aislamiento físico ha muerto; casi todo lo que tiene un puerto serial hoy está, de una forma u otra, conectado a la gran red global.

Para las empresas y gobiernos, el mensaje es claro: es hora de realizar un inventario profundo y honesto. Los dispositivos que traducen el pulso de nuestras fábricas y ciudades deben ser tratados con el mismo rigor de seguridad que un servidor de bases de datos bancarias. Mientras sigamos permitiendo que “fantasmas” de software de hace dos décadas operen nuestras máquinas más críticas, el riesgo de un colapso sistémico no será una cuestión de “si ocurrirá”, sino de “cuándo”. La arqueología nos enseña de dónde venimos, pero en ciberseguridad, ignorar las lecciones del pasado es condenarse a un futuro de vulnerabilidad constante.