← Volver al blog
Resumen de seguridad4 min read2026-04-29

Resumen de seguridad, 29 de abril de 2026: robo de secretos en LiteLLM, escalada PhantomRPC en Windows y brecha de proveedor en Vimeo

El patrón de hoy es feo y constante: middleware de confianza, plomería del sistema operativo de confianza y proveedores de confianza están siendo usados como puntos de ruptura de alto apalancamiento.


En una línea: Esta mañana importan tres historias: explotación activa de LiteLLM dirigida directamente a credenciales de proveedores de modelos, una ruta de escalada de privilegios sin parche en Windows llamada PhantomRPC y Vimeo confirmando que una brecha de un tercero expuso datos de clientes.


1. LiteLLM pasó de la divulgación al robo de secretos en unas 36 horas

Los atacantes están explotando CVE-2026-42208, una inyección SQL preauth en la verificación de claves API del proxy de LiteLLM. Sysdig observó consultas dirigidas a tablas con credenciales de proveedores, claves API, secretos de entorno y datos de configuración. Eso importa porque LiteLLM se coloca delante de varios proveedores de modelos; una instancia expuesta puede convertirse en pivote hacia OpenAI, Anthropic, Bedrock y cualquier otro servicio que gestione el proxy.


2. PhantomRPC demuestra que los límites de privilegios en Windows siguen confiando demasiado

La investigación PhantomRPC de Kaspersky describe una debilidad arquitectónica en Windows RPC: el runtime no valida que un servidor RPC sea legítimo antes de que los clientes privilegiados hablen con él. Un servicio comprometido puede levantar un endpoint falso, esperar una llamada RPC privilegiada e impersonar al llamante hasta SYSTEM. Microsoft habría clasificado el problema como moderado y no planea una corrección inmediata, así que los defensores necesitan controles compensatorios en lugar de esperar magia de Patch Tuesday.


3. Vimeo confirmó el radio real de la brecha en Anodot

Vimeo dijo que atacantes accedieron a bases de datos con direcciones de correo, datos técnicos y metadatos de vídeo tras comprometer la plataforma analítica Anodot. La empresa afirma que el contenido de vídeo, las credenciales válidas y los datos de tarjetas no quedaron expuestos, pero sigue siendo un problema clásico de confianza en proveedores: las integraciones analíticas suelen estar lo bastante cerca de producción como para convertir una caída del proveedor en un incidente real. ShinyHunters se atribuye la intrusión y amenaza con filtrar los datos si no recibe pago antes del 30 de abril.

Qué hacer hoy

Priorice primero la infraestructura de IA expuesta, luego cierre las suposiciones débiles de privilegios en Windows y por último vuelva a auditar el acceso de proveedores que todos olvidaron pero que en la práctica ya es producción. El fallo común aquí no es una sola clase de bug. Es confianza mal colocada en el tejido conectivo.

Fuentes

  • BleepingComputer sobre la explotación activa de LiteLLM (CVE-2026-42208).
  • SecurityWeek sobre la investigación PhantomRPC de Kaspersky.
  • SecurityWeek y la divulgación de Vimeo sobre la brecha vinculada a Anodot.