El Instituto Nacional de Ciberseguridad (INCIBE) ha emitido este lunes 6 de julio de 2026 una alerta de severidad crítica sobre una vulnerabilidad en Biloop de Adiss, la plataforma digital para despachos profesionales y asesorias, que permite el acceso no autorizado a datos confidenciales de clientes de otras empresas alojadas en el mismo entorno.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE ha alertado de una vulnerabilidad crítica (CVE-2026-12686, CVSS 9.3) en el software Biloop de Adiss que permite a un usuario autenticado acceder a información de otras empresas.
- ¿Dónde y cuándo? La alerta se publicó este lunes 6 de julio de 2026, tras la identificación del fallo por el investigador Jean-Michel Junod.
- ¿Qué resultado? La vulnerabilidad ya está corregida; INCIBE recomienda actualizar a la última versión disponible de la plataforma.
La vulnerabilidad y su alcance
La vulnerabilidad ha sido identificada con el código CVE-2026-12686 y presenta una puntuación CVSS v4.0 de 9.3, lo que la clasifica como crítica. El fallo, de tipo CWE-639 (Autorización Incorrecta), reside en la falta de comprobación adecuada del parámetro de identificador de empresa en una solicitud POST del backend.
Un usuario autenticado podría manipular dicho identificador para obtener acceso no autorizado a otras empresas alojadas en el mismo subdominio. La aplicación no verifica que el identificador solicitado pertenezca a la sesión del atacante, lo que deriva en una omisión de autorización entre inquilinos. Si se explota con éxito, permite el acceso a información confidencial de clientes —incluidos datos de facturación— e incluso la modificación no autorizada de datos de terceros.
Solución y recomendaciones del INCIBE
El INCIBE ha coordinado la publicación de este aviso y confirma que la vulnerabilidad ya se encuentra resuelta por el fabricante. La solución pasa por actualizar Biloop a la última versión disponible, que incorpora las correcciones necesarias. Se recomienda aplicar la actualización de manera inmediata a todos los sistemas afectados, especialmente en despachos profesionales y asesorías que manejan datos de múltiples clientes.
La rápida respuesta de Adiss y la coordinación con el INCIBE demuestran la eficacia del ecosistema español de ciberseguridad para contener amenazas antes de que sean explotadas de forma masiva. La colaboración con investigadores externos, como Jean-Michel Junod, es una pieza clave en este modelo de alerta temprana.
La gestión de vulnerabilidades críticas por parte del INCIBE evita cada año miles de incidentes de seguridad en el tejido empresarial español, según datos del propio instituto.
El panorama de la ciberseguridad
Esta alerta se enmarca en un contexto de crecimiento continuado de las ciberamenazas dirigidas al software de gestión empresarial. Durante 2025, el INCIBE gestionó más de 110.000 incidentes de ciberseguridad en España, un 12% más que el año anterior, de acuerdo con su balance anual. Las vulnerabilidades en aplicaciones de gestión representaron el 18% de los casos críticos notificados, lo que subraya la importancia de mantener estos sistemas actualizados.
El INCIBE, a través de su servicio INCIBE-CERT, monitoriza continuamente el panorama de amenazas y coordina la divulgación responsable de cientos de vulnerabilidades cada año, reforzando la protección de empresas y ciudadanos. La colaboración con el CCN-CERT y otras entidades internacionales permite una respuesta coordinada que reduce la ventana de explotación.

