
Se trata de NGINX Rift, una vulnerabilidad crítica que ha permanecido latente en el código de uno de los servidores web más utilizados del planeta desde hace casi dos décadas. El hallazgo, detallado en un informe oficial publicado el pasado 13 de mayo de 2026, pone en jaque no solo a servidores web convencionales, sino a infraestructuras de nube, redes de distribución de contenido (CDN) y sistemas de almacenamiento NAS en todo el mundo.
Como afirmó en su momento Kevin Mitnick, referente histórico de la ciberseguridad: «La seguridad no es un producto, es un proceso; y el proceso más difícil es auditar aquello que siempre hemos dado por sentado». NGINX Rift es la prueba fehaciente de esta premisa: un error de desbordamiento de búfer que ha convivido con nosotros desde el nacimiento de la web moderna y que hoy alcanza una puntuación de 9.2 en la escala CVSS v4, situándolo en la categoría de riesgo extremo debido a su potencial para la ejecución remota de código.
-El fallo en ngx_http_rewrite_module
El núcleo del problema se localiza en el módulo ngx_http_rewrite_module, una pieza fundamental para la gestión de URLs y redireccionamientos. La vulnerabilidad, catalogada como CVE-2026-42945, es del tipo heap buffer overflow (desbordamiento de búfer en el montón). Se desencadena bajo una configuración técnica muy específica pero común: cuando una directiva rewrite es seguida por otra directiva rewrite, if o set, y utiliza capturas de expresiones regulares compatibles con Perl (PCRE) sin nombre (como los clásicos $1 o $2) en combinación con una cadena de reemplazo que incluya un signo de interrogación (?).
Lo que hace a esta vulnerabilidad especialmente peligrosa es que no requiere autenticación. Un atacante externo puede enviar solicitudes HTTP maliciosas diseñadas para saturar la memoria asignada al proceso de trabajo de NGINX. Esto puede derivar en dos escenarios críticos: una denegación de servicio (DoS) mediante el reinicio constante de los procesos, o, en el peor de los casos, la inyección y ejecución de código arbitrario en el servidor, otorgando al atacante el control total sobre la máquina afectada.
-De las APIs globales a la domótica doméstica
La relevancia de NGINX Rift no reside solo en su antigüedad, sino en la ubicuidad del software afectado. NGINX es el motor silencioso que impulsa gran parte de la web actual; se estima que millones de sitios confían en él para equilibrar cargas de tráfico y servir contenido de forma eficiente. Al afectar tanto a la versión comercial NGINX Plus como a la comunidad NGINX Open Source, el abanico de víctimas potenciales es inmenso.
Hablamos de una falla que impacta en la columna vertebral de internet. Desde grandes corporaciones que gestionan APIs críticas hasta usuarios domésticos con servidores NAS o sistemas de domótica basados en Linux, todos han estado expuestos a este «agujero» durante 18 años. Junto a este fallo principal, NGINX también ha corregido otras tres vulnerabilidades (CVE-2026-42946, CVE-2026-40701 y CVE-2026-42934) que, aunque de menor rango, permitían ataques de menor escala, completando un cuadro de inseguridad que obligó a una respuesta coordinada por parte de F5 y los investigadores de Depthfirst.
-Guía de mitigación y versiones parcheadas
La buena noticia es que la solución ya está disponible. Tras el aviso público inicial en abril, se han liberado parches para la gran mayoría de las ramas activas. Es imperativo que los administradores de sistemas actualicen sus instancias a las versiones protegidas de inmediato. A continuación, detallamos el estado de las correcciones según el ecosistema afectado:
- NGINX Open Source: Versiones 1.30.1 y 1.31.0 en adelante (las ramas antiguas 0.6.27 a 0.9.7 no recibirán parches y deben ser migradas).
- NGINX Plus: Actualizar a R32 P6 o R36 P4 para estar a salvo.
- Ecosistema F5 y App Protect: Versiones de WAF para NGINX posteriores a la 5.12.1 y versiones de Gateway Fabric desde la 2.5.1.
- Kubernetes e Ingress: NGINX Ingress Controller requiere la actualización a las ramas 3.7.2, 4.0.1 o 5.4.1 según corresponda.
Si por razones operativas no es posible realizar una actualización inmediata, la recomendación de los expertos es realizar un cambio táctico en los archivos de configuración: reemplazar todas las capturas de expresiones regulares sin nombre por capturas con nombre. Este cambio de sintaxis neutraliza la ruta lógica que utiliza el exploit para desbordar el búfer, sirviendo como un escudo temporal mientras se planifica la migración a las versiones de software seguras.