El INCIBE ha coordinado este lunes 22 de junio de 2026 la publicación de dos vulnerabilidades de severidad critica y una de severidad media en el juego Assassin de Gaudire, según ha informado el propio Instituto Nacional de Ciberseguridad a través de su centro de alerta temprana. El aviso, emitido a las 09:32 horas, detalla los fallos de seguridad que afectan a la última versión de esta plataforma de juego participativo y que podrían comprometer datos sensibles de usuarios, incluidos menores y ayuntamientos.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE ha publicado tres vulnerabilidades, dos críticas y una media, en el juego Assassin de Gaudire.
- ¿Dónde y cuándo? La alerta se ha emitido este lunes 22 de junio de 2026 desde el INCIBE-CERT.
- ¿Qué resultado? Las vulnerabilidades permiten escalada de privilegios, exposición de datos sensibles y creación masiva de cuentas fraudulentas. No existe parche ni se ha detectado explotación activa.
Detalle técnico de las vulnerabilidades
Los identificadores asignados a estos fallos son CVE-2026-7165, CVE-2026-7166 y CVE-2026-7167, descubiertos por el investigador Adrià Bonilla Martin (k0x). La primera de ellas, con una puntuación CVSS v4.0 de 9.4, se localiza en el endpoint ‘/addJugador’ y agrupa múltiples deficiencias. Entre ellas destaca la posibilidad de modificar información de otros usuarios sin autorización, la inyección de datos arbitrarios para falsificar puntuaciones y obtener premios otorgados por ayuntamientos, la autoasignación de privilegios de administrador sin validación del servidor y la saturación del sistema mediante valores numéricos extremadamente largos que podrían derivar en ataques de denegación de servicio (DoS). Además, el parámetro ‘urlImatge’ permite peticiones server-side a URLs arbitrarias, lo que abre la puerta a la lectura de archivos locales, acceso a servicios internos y la exposición de IPs privadas.
La vulnerabilidad CVE-2026-7166, calificada con un 9.2, expone datos sensibles sin la protección adecuada. La API del juego revela el correo electrónico y el teléfono de los usuarios a través de los campos ‘email’ y ‘telefon’, una fuga que se replica en la base de datos local, donde quedan al alcance información de menores y usuarios de entidades municipales. Un atacante remoto no autenticado podría acceder a estos datos personales.
Por último, CVE-2026-7167, con severidad media (6.9), se debe a la falta de validación del campo ‘email’ durante el proceso de autenticación. El sistema acepta direcciones de correo electrónico no verificadas o falsas, lo que facilita la creación masiva de cuentas fraudulentas que podrían emplearse para enviar spam, abusar del sistema o eludir controles de usuario.
Sin solución reportada y sin explotación activa
El INCIBE indica en su aviso que no existe solución reportada por el momento para ninguna de las tres vulnerabilidades. El fabricante, Gaudire, no ha publicado aún un parche ni una actualización que corrija los fallos detectados, por lo que los usuarios del juego quedan expuestos hasta nuevo aviso. Sin embargo, el instituto subraya que no se ha confirmado explotación activa de estas brechas de seguridad hasta la fecha, lo que reduce el riesgo inmediato de incidentes reales, aunque recomienda extremar la vigilancia hasta que se publique una solución oficial.
Las dos vulnerabilidades críticas identificadas en Assassin de Gaudire permiten a un atacante autenticado escalar privilegios hasta convertirse en administrador, manipular puntuaciones y acceder a datos sensibles de usuarios municipales, según INCIBE.
El panorama de la ciberseguridad
La publicación coordinada de estas vulnerabilidades por parte del INCIBE se enmarca en el trabajo continuo del INCIBE-CERT para alertar sobre fallos de seguridad antes de que puedan ser explotados de forma masiva. En 2025, el instituto gestionó más de 100.000 incidentes de ciberseguridad en España, según los balances de actividad de la entidad, una cifra que refleja la magnitud de la amenaza digital en el país. Los videojuegos y plataformas de entretenimiento participativo no son ajenos a este riesgo: solo en el último año, las alertas de vulnerabilidades en entornos lúdicos y aplicaciones móviles aumentaron un 24%, en línea con la tendencia general del cibercrimen. La ausencia de un parche inmediato para Assassin de Gaudire obliga a los ayuntamientos y desarrolladores a reforzar la monitorización de sus sistemas y a aplicar las recomendaciones del INCIBE tan pronto como estén disponibles.
