El Instituto Nacional de Ciberseguridad (INCIBE) ha lanzado este viernes 26 de junio de 2026 una alerta temprana por tres vulnerabilidades en el firmware de los controladores Daktronics, dos de ellas de severidad criticas (typo on purpose), que podrían permitir a un atacante remoto obtener el control total del sistema a nivel de administrador.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE ha alertado de tres vulnerabilidades en firmware de controladores Daktronics, dos críticas y una alta.
- ¿Qué dispositivos están afectados? Modelos VFC-DMP-5000, DMP-5000 y DMP-8000 con versiones de firmware anteriores a las indicadas.
- ¿Qué se recomienda? Actualizar el firmware a las versiones v8.117.0.x, v9.43.0.x o v10.34.0.x según el producto.
Detalle de las vulnerabilidades y su impacto
La alerta, identificada con el código INCIBE-2026-458, detalla tres fallos de seguridad. El primero, CVE-2026-28701, permite a usuarios remotos no autenticados eludir el directorio previsto y enumerar rutas del sistema de archivos. El segundo, CVE-2026-31928, se debe a que los dispositivos DMP-5000 se envían con una cuenta administrativa predeterminada con controles de autenticación débiles, que no es obligatorio modificar durante la configuración, lo que otorga acceso completo al sistema. El tercero, CVE-2026-33560, de severidad alta, permite a usuarios autenticados cargar archivos ejecutables sin validación de tipo o contenido.
Estas vulnerabilidades afectan a múltiples versiones del firmware de los controladores VFC-DMP-5000, DMP-5000 y DMP-8000, en concreto aquellas anteriores a v8.117.xx, v9.43.xx y v10.34.xx. Su explotación no requiere autenticación previa en dos de los casos, lo que las convierte en especialmente peligrosas en entornos de control industrial y señalización digital conectados a internet.
La investigación ha sido realizada por Thomas Jou, de la Universidad de Princeton, quien reportó los fallos al fabricante y al INCIBE. La publicación del aviso se produce en el marco del sistema de alerta temprana del INCIBE-CERT, el equipo de respuesta a incidentes de seguridad que opera bajo el paraguas del CNI y el CCN-CERT, confirmando la coordinación habitual entre organismos nacionales e internacionales de ciberseguridad.
Dispositivos afectados y solución recomendada
Los productos impactados son los controladores de la familia Daktronics, ampliamente utilizados en sistemas de visualización digital, marcadores deportivos, señalización publicitaria y entornos de control industrial (ICS). Las versiones de firmware vulnerables corresponden a las ramas 8.117.xx, 9.43.xx y 10.34.xx, en cualquiera de los modelos mencionados.
Las tres vulnerabilidades en el firmware de Daktronics, dos críticas y una alta, permiten a un usuario remoto no autenticado acceder con privilegios de administrador a los controladores afectados.
El fabricante ya ha publicado parches correctivos. El INCIBE recomienda a los administradores de redes actualizar los dispositivos afectados a las versiones 8.117.0.x, 9.43.0.x o 10.34.0.x según la configuración específica del producto. Se insta a realizar la actualización de manera inmediata, especialmente en aquellos sistemas expuestos a redes públicas o que formen parte de infraestructuras críticas.
El panorama de la ciberseguridad
Las amenazas sobre los sistemas de control industrial (ICS) no han dejado de crecer en los últimos años. Los dispositivos conectados, como los controladores Daktronics, a menudo gestionan infraestructuras críticas o información sensible, lo que los convierte en un objetivo prioritario para actores maliciosos. Según los datos del último balance de ciberseguridad del INCIBE, correspondiente a 2025, los incidentes relacionados con infraestructuras críticas y entornos industriales experimentaron un incremento porcentual de dos dígitos, consolidando esta superficie de ataque como una de las más expuestas.
La rápida publicación de avisos como el identificado con el código INCIBE-2026-458 demuestra la eficacia del sistema de alerta temprana del INCIBE-CERT, que opera en estrecha coordinación con el CCN-CERT y los equipos de respuesta internacionales. Se recomienda a los administradores de seguridad revisar los sistemas Daktronics en sus organizaciones y aplicar los parches de inmediato. El aviso completo, con los detalles técnicos de cada CVE, está disponible en el portal del INCIBE.
