Hackers chinos aprovechan falla crítica que permite tomar control de páginas en segundos

Una falla crítica en tecnologías ampliamente utilizadas para construir sitios web modernos comenzó a ser explotada por grupos de hackers vinculados al Estado chino apenas horas después de hacerse pública. La vulnerabilidad, conocida como React2Shell e identificada como CVE-2025-55182, permite que un atacante ejecute comandos dentro del servidor donde funciona una página, sin necesidad de autenticación ni acceso previo.

La información fue divulgada por Amazon Web Services (AWS), que a través de su red de monitoreo detectó actividad inmediata de actores conocidos como Earth Lamia y Jackpot Panda, habituales responsables de campañas de espionaje digital en distintas regiones. Según el informe, los intentos de ataque comenzaron el mismo día en que se anunció la falla.

React2Shell afecta a proyectos construidos con React y Next.js, dos herramientas que se utilizan para desarrollar una enorme cantidad de sitios y aplicaciones. Lo relevante para cualquier usuario es que, si un sitio está hecho con estas tecnologías y tiene activada la función afectada, un atacante puede enviarle un pedido malicioso y obtener acceso al servidor. En pruebas registradas por AWS, los hackers intentaron leer archivos internos, ejecutar comandos como whoami o id y crear documentos dentro del sistema para confirmar que habían logrado vulnerarlo.

AWS describió varios casos en los que los atacantes probaron repetidamente diferentes comandos hasta obtener una respuesta válida del servidor. En uno de ellos, un solo operador pasó casi una hora ajustando el intento de intrusión, lo que demuestra que no solo se están utilizando herramientas automáticas, sino también ataques manuales y persistentes.

El impacto creció aún más cuando investigadores detectaron la existencia de una extensión de Chrome publicada en GitHub que automatiza la explotación. Según las advertencias, la herramienta escanea los sitios que el usuario visita y, si alguno es vulnerable, ejecuta el ataque sin que la persona lo note. Esto implica que alguien puede comprometer páginas web simplemente navegando, sin intención ni conocimiento técnico.

AWS remarcó que algunos de los códigos de ataque circulando en internet ni siquiera funcionan correctamente, pero aun así los hackers los utilizan en campañas masivas con la lógica de que, aunque la mayoría falle, alguno puede acertar. La empresa explicó que esta combinación de velocidad, volumen y disponibilidad pública de pruebas de intrusión facilita que actores poco experimentados también participen en los ataques.

La compañía aclaró que sus servicios gestionados no están afectados, pero sí advierte a quienes administran servidores por cuenta propia que deben actualizar React y Next.js de inmediato. También recomienda revisar registros de actividad para detectar comportamientos anómalos y no esperar a recibir alertas externas si se sospecha un compromiso.