El INCIBE (Instituto Nacional de Ciberseguridad) ha alertado este lunes 22 de junio de 2026 de una vulnerabilidad de alta severiedad en ArubaSign, la aplicación de escritorio para firma digital y verificación de documentos de Aruba. El fallo, catalogado como CVE-2026-12602, permite la escalada de privilegios por permisos incorrectos durante la instalación y afecta a versiones anteriores a la v4.6.6.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE ha coordinado un aviso de vulnerabilidad alta en ArubaSign que puede facilitar la escalada de privilegios y el control total del sistema.
- ¿Dónde y cuándo? La alerta se publicó el lunes 22 de junio de 2026 a las 09:54 horas, afectando a instalaciones realizadas en sistemas Windows, en la ruta C:\Archivos de programa.
- ¿Qué resultado? No existe solución parche por el momento. Se recomienda a los usuarios monitorizar los canales oficiales de Aruba y aplicar la actualización en cuanto esté disponible.
Instalación con permisos excesivos que abre la puerta a la ejecución de código arbitrario
La vulnerabilidad, con puntuación CVSS v4.0 de 8.8 (clasificada como alta), reside en la asignación incorrecta de permisos durante la instalación por defecto del software. Según detalla el aviso INCIBE-2026-447, el ejecutable principal y los archivos del programa situados en C:\Archivos de programa heredan permisos excesivos para el grupo ‘Todos’. Esta configuración permite a un usuario sin privilegios sustituir los componentes legítimos por un archivo malicioso.
En el peor escenario posible, si el atacante logra que el ArubaSign se ejecute con privilegios elevados —tales como Administrador o SYSTEM—, lograría la escalada de privilegios necesaria para tomar el control total del sistema, comprometiendo tanto la integridad como la confidencialidad de los datos almacenados. La tipificación bajo el CWE-276 (permisos predeterminados incorrectos) subraya la naturaleza estructural del fallo, que no requiere interacción del usuario más allá de la presencia de un usuario local en la máquina afectada.
Sin parche disponible: el INCIBE recomienda vigilancia activa
La vulnerabilidad fue descubierta por el investigador Andrea Intilangelo, de la firma acme, y el INCIBE coordinó su publicación inmediata. El identificador CVE-2026-12602 ya figura en la base de datos internacional y el fabricante Aruba ha sido notificado. Sin embargo, en el momento de la alerta no existe solución reportada: ni actualización de seguridad ni workaround que mitigue el vector de ataque de forma definitiva.
Mientras llega el parche, el organismo dependiente del Ministerio de Asuntos Económicos y Transformación Digital insta a los usuarios a revisar los permisos de la carpeta de instalación y, si se utiliza ArubaSign en entornos de producción, restringir el acceso de usuarios no administradores al directorio C:\Archivos de programa\ArubaSign. Asimismo, se pide no ejecutar la aplicación con privilegios elevados salvo que sea estrictamente necesario y mantener un monitoreo constante de los canales oficiales de Aruba para instalar la actualización en cuanto se publique.
La rápida publicación de esta vulnerabilidad por parte del INCIBE demuestra su capacidad para coordinar alertas tempranas en un contexto donde los incidentes de ciberseguridad en España ya superan los 120.000 gestionados en el último año.
El panorama de la ciberseguridad
Las vulnerabilidades de escalada de privilegios por configuración incorrecta de archivos forman parte de una tendencia al alza detectada por el INCIBE. Solo en 2025, el centro coordinó la publicación de más de 800 vulnerabilidades en productos de software, de las cuales un 30% fueron clasificadas como de alta o crítica gravedad. La detección precoz y la difusión de estas alertas son claves para proteger tanto a las administraciones públicas como al tejido empresarial español, que cada vez depende más de las firmas digitales y los procesos de validación documental.
El INCIBE, adscrito al CCN-CERT y al ecosistema europeo de ciberseguridad, opera como primer escalón de respuesta ante incidentes que, como en este caso, pueden derivar en compromisos totales del sistema. La colaboración con investigadores independientes, como Andrea Intilangelo, y la rápida asignación de identificadores CVE son parte de una estrategia que en los últimos dos años ha permitido reducir el tiempo medio de publicación de avisos un 22%, según datos internos del organismo.
Se espera que Aruba publique el parche en los próximos días siguiendo los protocolos del INCIBE. Hasta entonces, la recomendación para los profesionales de la firma electrónica es clara: revisiones de permisos en los directorios de instalación, ejecución sin privilegios y seguimiento exhaustivo de los avisos oficiales. La ciberseguridad no admite pausas y este caso recuerda que una mala configuración en origen puede ser la puerta de entrada para un ataque con consecuencias graves.
