Una dependencia que casi nadie ve

El 1 de julio de 2026, la firma de seguridad runZero divulgó siete vulnerabilidades en FatFs, una pequeña biblioteca que permite a un dispositivo leer y escribir los formatos FAT y exFAT usados en unidades USB y tarjetas SD. Es una de esas piezas de código que está en todas partes y que casi nadie ve. Viaja en el firmware de cámaras de seguridad, drones, controladores industriales, monederos cripto por hardware, quioscos públicos, cajeros automáticos y máquinas de voto con puerto USB.

Tres de los fallos tienen gravedad alta. CVE-2026-6682 es un desbordamiento de enteros al montar un volumen FAT32; CVE-2026-6687 desborda un búfer a través de la etiqueta de un volumen exFAT; CVE-2026-6688 desborda el código envoltorio que muchos productos añaden alrededor de FatFs. En hardware real, los peores de estos se convierten en corrupción de memoria y ejecución de código. La biblioteca llega a estos productos a través de kits de uso común, Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr, MicroPython, ArduPilot, RT-Thread, Mbed, Samsung TizenRT y el actualizador SWUpdate, que es justo por lo que tantos fabricantes aún no sabrán que están dentro del radio de acción.

El acceso físico es el objetivo, no la excusa

Algunos lo descartarán diciendo que hace falta acceso físico. Para las categorías de dispositivos afectadas, eso es la vulnerabilidad, no una mitigación. Una cámara de seguridad, un quiosco público, un cajero, una máquina de voto: toda la promesa de diseño es que un miembro del público pueda tocarlo, o conectarle algo, sin comprometerlo. Estos fallos rompen esa promesa. Un atacante con una unidad USB, una tarjeta SD o un archivo de actualización manipulados puede corromper la memoria y ejecutar código.

Dos de los fallos, el desbordamiento de FAT32 y una división por cero en exFAT, también son alcanzables mediante actualizaciones de firmware por aire. Eso amplía la exposición de quien está de pie frente a la máquina a cualquiera que pueda influir en el canal de actualización, y significa que una actualización fallida puede inutilizar hardware sobre el terreno. runZero ha publicado imágenes de disco de prueba de concepto, un banco de pruebas y un exploit funcional basado en QEMU, así que el material que necesitaría un atacante ya está al descubierto.

Cuando la solución no tiene dueño

El núcleo incómodo de esta historia es el mantenimiento. FatFs lo mantiene un único desarrollador, y runZero dice que intentó repetidamente contactar con ese responsable e implicó al centro de coordinación JPCERT/CC de Japón, sin respuesta. Solo uno de los siete fallos, un bloqueo por denegación de servicio, está corregido oficialmente en la versión R0.16. Los seis problemas de corrupción de memoria no tienen parche oficial, ni lista de correo de seguridad, ni mecanismo alguno para que los muchos productos que incorporan FatFs sepan que están afectados.

Así es como se ve en realidad el riesgo moderno de la cadena de suministro para los activos físicos. No una brecha de titular, sino un componente portante con un único punto de fallo humano, tan profundamente incrustado que las empresas que lo distribuyen no pueden enumerar su propia exposición. El método de descubrimiento subraya cómo se ha desplazado el equilibrio: runZero los encontró en marzo de 2026 con un fuzzer asistido por IA disponible sin más, un trabajo que una auditoría manual años antes había pasado por alto. Las herramientas para encontrar estos fallos son ahora baratas y están al alcance de todos, lo que significa que los atacantes también las tienen.

Lo que un propietario debe exigir

No puedes salir de esto a base de parches desde fuera, así que conviértelo en una cuestión de compras y de gestión de proveedores. Para cualquier flota de dispositivos conectados o embebidos, cámaras, controladores, quioscos, monederos, haz a cada proveedor una pregunta directa: ¿usa tu firmware FatFs, qué versión, y cuál es tu plan para los seis CVE sin parche? Un proveedor que no pueda responder rápido te está diciendo algo sobre su propia visibilidad de su código.

Internamente, trata los puertos físicos y los canales de actualización como superficie de ataque activa. Limita quién puede conectar medios en dispositivos expuestos, y confirma que las actualizaciones de firmware estén firmadas y validadas antes de aplicarse. La propia guía de runZero para los equipos de ingeniería, audita tu versión incorporada, audita tus envoltorios, audita tu tratamiento de nombres y tamaños de archivo, es la lista que hay que entregar a cualquier proveedor que fabrique hardware para ti.