Código heredado, amenaza latente: las viejas versiones de Apache Struts alimentan una crisis de seguridad silenciosa

Imagina una bomba de tiempo silenciosa incrustada en el corazón del código de tu sitio web favorito - una que ha sido ignorada durante años, pero que aún así es descargada por cientos de miles de personas. Esa es la realidad que los investigadores de ciberseguridad han descubierto en el salvaje mundo de Apache Struts, el popular framework para aplicaciones web que ahora se encuentra en el centro de un desastre digital en ciernes.

Investigadores de Sonatype dieron la voz de alarma recientemente: versiones obsoletas y altamente vulnerables de Apache Struts 2 están siendo descargadas a un ritmo asombroso, a pesar de la antigüedad del software y sus fallos de seguridad conocidos. Su investigación reveló que, en solo una semana, se registraron más de 387,000 descargas de versiones plagadas de un error particularmente grave - uno que ha estado al acecho durante años y que ahora ha sido identificado como CVE-2025-68493.

Lo más inquietante es la naturaleza de este fallo. Se encuentra profundamente en el componente XWork, el motor que impulsa la gestión de datos en Struts. La vulnerabilidad proviene de un análisis inseguro de XML - básicamente, la forma en que el software lee e interpreta las instrucciones XML. Con una puntuación de gravedad de 8.8, el fallo permite a un atacante enviar una entrada especialmente diseñada que puede atrapar al sistema en un bucle infinito, consumiendo memoria y CPU hasta que el servidor se bloquee. Es un infarto digital, y no se requieren habilidades de hacking avanzadas para desencadenarlo.

Sin embargo, el descubrimiento más impactante no son los detalles técnicos, sino la magnitud y persistencia del riesgo. Casi todas las descargas recientes (98%) fueron de versiones “fuera de soporte”, como Struts 2.3, que no ha recibido un parche oficial en más de seis años. Estas versiones están, en la práctica, abandonadas, sin rescate a la vista por parte de sus creadores. Mientras tanto, la versión segura y reforzada (Struts 6.1.1) se adopta a paso de tortuga, representando apenas el 1.8% de las descargas semanales.

¿Por qué tantos siguen aferrándose a estos fósiles digitales? Según los investigadores, estas versiones vulnerables están “profundamente incrustadas” en innumerables sistemas corporativos. Actualizarlas implica desenredar complejas redes de código heredado - una tarea desalentadora, costosa y, a veces, arriesgada para las empresas. Pero cada día que estas versiones persisten, sirven como invitaciones abiertas para los atacantes, con escáneres impulsados por IA que ahora encuentran y explotan fallos más rápido de lo que las empresas pueden parchearlos.

¿La lección? El código viejo nunca muere realmente - solo espera a que alguien lo convierta en un arma. Para los millones de sistemas que aún funcionan con versiones obsoletas de Apache Struts, la ventana para solucionar esto se está cerrando rápidamente. La próxima gran brecha de seguridad podría estar, literalmente, a una descarga de distancia.

WIKICROOK

• Apache Struts: Apache Struts es un framework de código abierto que agiliza la creación de aplicaciones web en Java utilizando el patrón de diseño Modelo-Vista-Controlador (MVC).
• End: El cifrado de extremo a extremo es un método de seguridad en el que solo el remitente y el destinatario pueden leer los mensajes, manteniendo los datos privados frente a proveedores de servicios y hackers.
• Análisis XML: El análisis XML interpreta archivos XML para acceder a los datos. Un manejo inadecuado puede generar riesgos de seguridad, por lo que un análisis seguro es vital en ciberseguridad.
• CVE: CVE, o Vulnerabilidades y Exposiciones Comunes, es un sistema para identificar y rastrear de manera única fallos de ciberseguridad conocidos públicamente en software y hardware.
• Bucle infinito: Un bucle infinito es un error de programación donde las instrucciones se repiten sin fin, a menudo bloqueando sistemas o permitiendo ataques de denegación de servicio en ciberseguridad.