Netcrook Logo
👤 KERNELWATCHER
🗓️ 19 Jan 2026  

Fantasma en la Máquina: La falla “BodySnatcher” permite a hackers convertirse en cualquier usuario en ServiceNow

Solo una dirección de correo electrónico es todo lo que los ciberdelincuentes necesitan para tomar el control de plataformas ServiceNow on-premise, gracias a una vulnerabilidad crítica recién revelada.

Imagina despertar y descubrir que alguien más tiene acceso total a los datos más sensibles de ServiceNow de tu empresa - sin haber robado una contraseña, vulnerado el MFA, ni superado tus defensas de SSO. Esa es la escalofriante realidad detrás de “BodySnatcher”, una devastadora vulnerabilidad (CVE-2025-12420) que esta semana ha sacudido al mundo tecnológico empresarial.

Datos Rápidos

  • “BodySnatcher” permite la suplantación total de cualquier usuario de ServiceNow - incluso con privilegios de administrador - usando solo su dirección de correo electrónico.
  • Los atacantes pueden eludir la autenticación multifactor (MFA) y las protecciones de inicio de sesión único (SSO).
  • Solo las implementaciones on-premise de ServiceNow se ven afectadas; los clientes en la nube están a salvo.
  • La vulnerabilidad se origina en un secreto de cliente estático universal y en la vinculación automática laxa de cuentas de correo electrónico.
  • El parche ya está disponible; los administradores deben actualizar Now Assist AI Agents y Virtual Agent API a las versiones corregidas de inmediato.

Anatomía de un Robo de Identidad Digital

El exploit “BodySnatcher” es una clase magistral en el abuso de configuraciones pasadas por alto. En esencia, el ataque aprovecha dos fallos fatales: los proveedores de AI Agent de ServiceNow se distribuían con un secreto de cliente codificado y globalmente idéntico, y el proceso de vinculación automática del sistema solo requería una dirección de correo electrónico para asociar una solicitud externa con una cuenta de usuario - sin MFA, sin verificaciones adicionales.

Así es como se desarrolla el ataque: Un atacante, conociendo únicamente el correo electrónico de la víctima, envía una solicitud a un endpoint vulnerable de la API de ServiceNow usando el token secreto compartido. La función de vinculación automática de la plataforma empareja complacientemente esto con el usuario real, otorgando al atacante su identidad digital. En cuestión de segundos, el intruso puede activar flujos de trabajo privilegiados de IA, crear nuevas cuentas de administrador, restablecer contraseñas y, esencialmente, tomar el control total de la instancia de ServiceNow - sin necesidad de credenciales legítimas.

Los ataques de prueba de concepto demostraron que, con nada más que los payloads correctos y el momento oportuno, los hackers podían infiltrarse sin ser detectados y establecer acceso persistente. Todo lo que se necesita es una conexión de red y una dirección de correo electrónico - sin necesidad de phishing, fuerza bruta o interceptar nada.

Desde entonces, ServiceNow ha eliminado el AI Agent de Gestión de Registros vulnerable de las configuraciones predeterminadas y ha publicado parches críticos. Pero las organizaciones con instalaciones on-premise deben actuar rápido: actualizar a las versiones más recientes, exigir MFA para toda vinculación de agentes, auditar agentes de IA inactivos y blindar las configuraciones personalizadas con flujos de aprobación rigurosos. Se insta a los equipos de seguridad a tratar cualquier sistema sin parchear como comprometido hasta que se demuestre lo contrario.

Conclusión: El Precio de la Comodidad

El fiasco de “BodySnatcher” es un recordatorio contundente de que la comodidad y la automatización - especialmente en sistemas impulsados por IA - pueden abrir nuevas puertas a los atacantes. A medida que las plataformas empresariales se vuelven más complejas, también lo hacen sus superficies de ataque. La pregunta no es si los hackers buscarán atajos; es si los detectaremos antes de que entren sin obstáculos.

WIKICROOK

  • Suplantación: La suplantación ocurre cuando alguien finge ser otra persona o entidad en línea, a menudo para engañar a las víctimas y robar información sensible.
  • Multi: Multi se refiere al uso combinado de diferentes tecnologías o sistemas - como satélites LEO y GEO - para mejorar la fiabilidad, cobertura y seguridad.
  • Inicio Único: El inicio de sesión único (SSO) permite a los usuarios acceder a múltiples servicios con una sola autenticación, simplificando el acceso pero aumentando el riesgo si las credenciales se ven comprometidas.
  • Secreto de Cliente: Un secreto de cliente es un valor confidencial que utilizan las aplicaciones para demostrar su identidad ante los proveedores de identidad, garantizando una autenticación y acceso seguros.
  • Endpoint de API: Un endpoint de API es una dirección web específica donde los sistemas de software intercambian datos, actuando como una ventanilla digital segura para solicitudes y respuestas.
BodySnatcher ServiceNow Cybersecurity
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news