Qué añadió la CISA y por qué es una primera vez
La CISA añadió CVE-2026-55255, un error de control de acceso en el marco visual Langflow para crear agentes de IA, a su catálogo de vulnerabilidades explotadas conocidas y ordenó a las agencias federales de EE. UU. parchearlo en días. El defecto es una referencia directa a objetos insegura en el endpoint /api/v1/responses, que afecta a toda versión anterior a la 1.9.2: la autorización dependía de un identificador aportado por el usuario que el servidor nunca volvía a comprobar, de modo que un usuario autenticado podía invocar los flujos de otro.
Lo notable de esta entrada no es la mecánica, sino la categoría. El catálogo lleva tiempo registrando sistemas operativos, equipos de red y servidores corporativos bajo ataque activo; Langflow es la primera plataforma de creación de agentes de IA que se incorpora. Es un hito: la capa de herramientas donde las empresas conectan modelos de lenguaje a sus propios sistemas se trata ahora como infraestructura viva y explotada, no como un entorno de pruebas.
Cómo una elusión se convirtió en claves robadas
La firma de seguridad Sysdig rastreó una campaña real que corrió del 22 al 25 de junio, en la que un operador encadenó CVE-2026-55255 con un segundo fallo de Langflow, CVE-2026-33017, para alcanzar flujos ajenos y extraer los secretos guardados en ellos. El botín no eran documentos ni filas de base de datos; eran credenciales - claves de API de proveedores de grandes modelos de lenguaje y claves de Amazon Web Services, sustraídas a través de fronteras de inquilino en instancias compartidas o accesibles desde internet.
En esa parte deberían detenerse los propietarios. Un creador de agentes existe para conectar modelos, datos y servicios de nube, así que por diseño guarda las claves que hacen esa conexión. Cuando la comprobación de acceso falla, el atacante no obtiene una página desfigurada; obtiene las claves que se facturan a tu cuenta, ejecutan tus modelos y abren tu nube. La explotación convirtió una capa de comodidad de bajo código en una caja fuerte de claves con la cerradura rota.
Por qué tu pila de IA de bajo código ya es superficie de ataque
La lección práctica es que los creadores de agentes y de automatización concentran credenciales críticas como pocas herramientas, porque cada conector que ofrecen necesita un secreto para funcionar. Autoalojar no lo neutraliza; basta una instancia accesible desde internet una versión por detrás del parche, y estas herramientas suelen levantarse rápido en un equipo que experimenta, fuera de la revisión habitual. El radio de daño es cada sistema que esas claves guardadas puedan alcanzar.
Para un operador europeo hay además un filo de cumplimiento. Con NIS2 y DORA, si unas claves de proveedor filtradas permiten fraude o una caída en tu inquilino, el incidente y su plazo de notificación son tuyos, no del proveedor. Por eso la acción es poco vistosa y concreta: inventaría cada plataforma de agentes y automatización en uso, sube Langflow a la 1.9.2 o superior, limita quién puede alcanzarla y rota todas las claves de LLM y de nube que la instancia haya guardado. Luego integra estas herramientas en el mismo ritmo de gestión de vulnerabilidades que cualquier otra aplicación expuesta a internet.
Leer a continuación: 430.000 firewalls fueron una línea de ransomware | CitrixBleed vuelve, explotado en menos de un día



