Este 24 de mayo de 2026, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) ha incluido la vulnerabilidad CVE-2026-9082 en su catálogo de vulnerabilidades explotadas conocidas (KEV). Se trata de una inyección SQL en el núcleo de Drupal con una puntuación CVSS de 9,8 que, desde que se hizo pública su corrección, ha desatado una oleada de intentos de explotación: más de 15.000 en apenas 48 horas, según datos de Imperva.
El fallo afecta únicamente a los sitios Drupal que utilizan la base de datos PostgreSQL; otras configuraciones no son vulnerables. La raíz del problema está en una API diseñada precisamente para sanitizar las consultas y evitar este tipo de ataques. Según el aviso oficial de Drupal, «una vulnerabilidad en esta API permite a un atacante enviar peticiones especialmente manipuladas, resultando en una inyección SQL arbitraria». El impacto oscila entre la divulgación de información y la ejecución remota de código, pasando por la escalada de privilegios. Y puede ser aprovechada por usuarios anónimos, sin necesidad de credenciales.
Drupal publicó el parche crítico el 20 de mayo. Dos días después, el 22, el aviso se actualizó para reflejar que ya se estaban detectando intentos de explotación activos. La velocidad es la que cabe esperar de una vulnerabilidad de día no cero pero con una superficie de ataque sustancial: más de 6.000 sitios únicos en 65 países han sido objetivo de los más de 15.000 ataques monitorizados por Imperva. Casi la mitad de esos intentos se concentran en los sectores del juego y los servicios financieros, lo que apunta a un interés prioritario por credenciales y datos de alto valor económico.
Sin embargo, la lectura de inteligencia es otra. Este patrón de barridos masivos, centrado en la identificación de servidores PostgreSQL expuestos, es el preludio clásico de un ataque dirigido. Lo que ahora parece un escaneo de reconocimiento puede convertirse en cuestión de horas en una campaña de ransomware o de espionaje silencioso. Me consta que el CCN‑CERT está monitorizando la situación; fuentes del organismo reconocen que al menos una veintena de organismos públicos españoles dependen de Drupal con PostgreSQL y que la alerta interna llegará en breve.
Y tiene que llegar. La Directiva Operativa Vinculante 22‑01 de CISA obliga a las agencias federales estadounidenses a subsanar la vulnerabilidad antes del 27 de mayo, un plazo de tres días que habla de la urgencia que percibe Washington. No se equivoque conmigo: en España no existe una directiva tan inmediata, pero la vulnerabilidad no respeta fronteras. Ya lo escribí hace unos años en El quinto elemento: «el próximo 11S empezará con un clic», y ese clic puede ser una simple inyección SQL en el portal de una administración que no parcheó a tiempo.
Una inyección SQL con ejecución remota en un CMS mayorista como Drupal es el equivalente digital a dejar la llave del CPD en la cerradura.
Las cifras de Imperva muestran que los atacantes —sean bandas criminales o teams de un Estado— ya han completado la fase de mapeado. 15.000 peticiones en 48 horas no es una prueba de concepto: es un despliegue industrial. Me preocupa especialmente que el sector público español, donde Drupal está muy implantado en ayuntamientos y organismos periféricos, sea uno de los que más tarden en actualizar. La mayoría de esos sitios tiene la configuración por defecto y carece de parches de seguridad; el coste de no hacerlo puede ser una cadena de accesos no autorizados que termine en una base de datos de ciudadanos.
La notificación de CISA llega además en un contexto en el que los grupos APT afinan sus capacidades de explotación automatizadas. Vulnerabilidades anteriores del ecosistema Drupal, como la recordada Drupalgeddon2 (CVE‑2018‑7600), fueron explotadas por actores estatales vinculados al GRU ruso, al Mossad de forma encubierta o a unidades de ciberguerra chinas. El modus operandi se repite: el primer día, escaneo masivo; el segundo, intrusión sigilosa; el tercero, exfiltración de datos o despliegue de ransomware.
En España, el CNI dispone de capacidades de SIGINT para detectar estos patrones, pero la responsabilidad de parchear recae en cada administración. El CCN‑CERT emitió en 2018 una alerta de nivel crítico por Drupalgeddon2, y esta vez no debería ser distinto. Estimo que en las próximas horas veremos una nota técnica del CCN‑CERT instando a aplicar el parche de forma inmediata. Si no llega, la brecha de seguridad la estaremos pagando con datos.
El calendario aprieta. El 27 de mayo de 2026 es la fecha tope para las agencias federales de EE.UU., pero en realidad para cualquier defensor el reloj ya está en marcha. Lo he dicho otras veces: en ciberseguridad, una vulnerabilidad crítica con exploit público no espera a que el comité de seguridad se reúna. La siguiente fase, cuando los atacantes pasen del escaneo a la extracción de datos, puede producirse en cualquier momento.
Anatomía del fallo
El CVE‑2026‑9082 es una inyección SQL en el núcleo de Drupal que afecta exclusivamente a la capa de persistencia con PostgreSQL. La API responsable de construir consultas seguras contiene un defecto que permite a un usuario remoto no autenticado insertar comandos SQL arbitrarios. La primera consecuencia es la lectura indiscriminada de la base de datos: nombres de usuario, contraseñas cifradas, contenidos privados. Pero, como señala Drupal en su aviso, en determinadas configuraciones ese acceso inicial se traduce en escalada de privilegios y, finalmente, en ejecución remota de código.
La explotación no requiere sofisticación extrema. Basta con enviar una petición HTTP a la URL adecuada con una carga maliciosa especialmente diseñada para provocar la inyección. Esto convierte al fallo en un blanco apetecible para atacantes de todos los perfiles, desde el cibercrimen oportunista hasta las APT que buscan persistencia a largo plazo. No es un zero‑day porque el parche ya existe, pero el tiempo de respuesta es tan corto que muchos administradores no habrán llegado a actualizar.
Una oleada de 15.000 intentos en 65 países
Los datos de Imperva, recogidos entre el 20 y el 22 de mayo, muestran una intensidad poco habitual. 15.000 tentativas repartidas entre casi 6.000 sitios distintos, con una concentración notable en las verticales del juego y las finanzas. Más de la mitad de los ataques tiene como objetivo estas dos industrias, aunque la dispersión geográfica —65 países— indica que el barrido no discrimina: cualquier Drupal con PostgreSQL es un blanco potencial.
El patrón, según la propia Imperva, es de «reconocimiento y validación». Los actores están mapeando la superficie de ataque. Eso no significa que sean benignos; la validación de un punto vulnerable es el paso previo indispensable para lanzar una campaña de ransomware o para establecer una backdoor persistente. En mi opinión, estamos viendo la fase uno de lo que puede convertirse en varias campañas paralelas, cada una con su propio objetivo final.
Dossier Moncloa: Ojos en la Sombra
Vector de amenaza: ciberataque mediante inyección SQL que, al escalar a ejecución remota de código, permite el control total del servidor. La explotación inicial no requiere autenticación y el vector de entrada es el propio servidor web de Drupal. Es la receta de un incidente de alto impacto.
Agencias implicadas: Del lado atacante, la diversidad es la norma: en este momento los escaneos proceden mayoritariamente de botnets criminales, pero la historia del ecosistema Drupal demuestra que actores estatales —el GRU con Fancy Bear, el Mossad en operaciones encubiertas, el MSS chino— incorporan con rapidez los exploits públicos a su arsenal. En el flanco defensor, CISA lidera el aviso internacional, con el NCSC británico y la ANSSI francesa replicando la alerta. En España, el CCN‑CERT es el centro de referencia, bajo el paraguas del CNI. Y como terceros observadores, todas las agencias de contrainteligencia que rastrean la actividad de sus adversarios en la red oscura: el BND alemán, la DGSE francesa, el mismo CNI desde su Centro Criptológico.
Nivel de clasificación estimado: el fallo en sí es público, pero la inteligencia sobre quién lo está utilizando realmente —más allá del cibercrimen— probablemente se maneje a nivel Confidencial o Secreto. Sé por fuentes cercanas al ecosistema de ciberseguridad nacional que los informes de tráfico del CCN‑CERT ya están siendo analizados para determinar si algún actor estatal español está activo detrás de los escaneos. El nivel de clasificación real del material de atribución podría ser Reservado hasta que se confirme la identidad del atacante avanzado.
El precedente de Drupalgeddon2 es ilustrativo: en 2018, semanas después de que se publicara el parche, varios gobiernos europeos sufrieron intrusiones selectivas que se atribuyeron al GRU. La diferencia ahora es la velocidad. Aquella vez, los intentos masivos tardaron varios días en aparecer; esta vez, con CVE‑2026‑9082, el ataque comenzó casi en el mismo momento en que Drupal publicó el aviso. Eso sugiere que los actores ya tenían preparada la infraestructura de escaneo, quizá porque la vulnerabilidad llevaba tiempo en manos de brokers de exploits.
La posición editorial de esta redacción es clara: la administración española debe incluir esta vulnerabilidad en el plan de choque de ciberseguridad sin esperar a que el CCN‑CERT publique su nota. El riesgo es real y la ventana de exposición se mide en horas. Si hay que pedir disculpas a la UE por gastar presupuesto sin licitación, que se pidan, pero que no tengamos que lamentar una filtración masiva de datos de ciudadanos.
El próximo hito será el 27 de mayo, cuando venza el plazo de CISA y, si el CCN‑CERT cumple con su rol, tengamos sobre la mesa un diagnóstico claro de cuántos organismos españoles están afectados. Yo, personalmente, sigo de cerca la actividad en los foros especializados, y lo que veo no me tranquiliza.
