Los ciberdelincuentes podrían comprometer la integridad criptográfica de entornos en la nube completos mediante la explotación de fallas en la verificación de firmas y canales laterales de temporización.
La infraestructura criptográfica que soporta innumerables operaciones en la nube está bajo revisión de emergencia. Hoy, 6 de marzo de 2026, se reporta la publicación de un boletín de seguridad crítico que aborda tres vulnerabilidades de alto impacto descubiertas en AWS-LC, la biblioteca criptográfica de propósito general y código abierto de Amazon.
El aviso de seguridad, emitido originalmente el 2 de marzo, advierte que estos fallos estructurales permiten a atacantes no autenticados eludir las cadenas de verificación de certificados y explotar filtraciones de tiempo. De no aplicarse los parches correspondientes, estas fallas podrían corromper por completo la integridad del cifrado en todos los entornos que dependan de esta librería.
La Omisión de Firmas: El Peligro en PKCS7
El problema central para la verificación de identidades reside en la forma en que la biblioteca procesa la función específica PKCS7_verify().
- CVE-2026-3336: Se produce una validación incorrecta de los certificados que genera un desvío directo cuando el sistema procesa objetos PKCS7 que contienen múltiples firmantes, ya que comete el error de verificar únicamente al firmante final y no la cadena completa. Este fallo fue descubierto y reportado por el equipo de investigación AISLE en colaboración directa con AWS.
- CVE-2026-3338: Siguiendo la misma línea, esta vulnerabilidad permite a los actores de amenazas saltarse la verificación de la firma por completo si manipulan los objetos PKCS7 para que contengan atributos autenticados (Authenticated Attributes).
Para estos dos fallos críticos relacionados con la omisión en PKCS7 no existen soluciones alternativas ni mitigaciones temporales conocidas. Las organizaciones están completamente obligadas a aplicar las actualizaciones de software de Amazon para asegurar sus sistemas.
El Ataque de Canal Lateral (CVE-2026-3337)
Además de los problemas con el protocolo de firmas, la biblioteca AWS-LC sufre de una tercera vulnerabilidad catalogada como CVE-2026-3337. Se trata de una vulnerabilidad de canal lateral de tiempo (timing side-channel) que ocurre durante el proceso de verificación de etiquetas AES-CCM.
Al medir de forma extremadamente precisa el tiempo que le toma al sistema procesar los datos durante las operaciones de desencriptación, los atacantes no autenticados pueden analizar las discrepancias de milisegundos para deducir de forma remota si una etiqueta de autenticación es válida o no. Esta sofisticada técnica de observación debilita la confiabilidad del algoritmo de cifrado y expone las operaciones criptográficas confidenciales.
Versiones Afectadas y Rutas de Mitigación
Amazon recomienda encarecidamente a todos sus clientes que actualicen sus implementaciones a las versiones principales más recientes de AWS-LC de forma inmediata.
Las ramas y versiones vulnerables que ya cuentan con parches liberados son:
- AWS-LC: versiones 1.21.0 hasta inferiores a la 1.69.0.
- AWS-LC-FIPS: versiones 3.0.0 hasta inferiores a la 3.2.0.
- aws-lc-sys: versiones 0.14.0 hasta inferiores a la 0.38.0.
- aws-lc-sys-fips: versiones 0.13.0 hasta inferiores a la 0.13.12.
Aunque no hay salvación alternativa para las fallas de PKCS7, sí existe un parche temporal para la falla de temporización de AES-CCM (CVE-2026-3337) aplicable a configuraciones muy concretas. Los clientes que utilicen AES-CCM con los parámetros (M=4, L=2), (M=8, L=2) o (M=16, L=2) pueden mitigar el problema de forma manual enrutando las validaciones de AES-CCM directamente a través de la API EVP AEAD. Esto requiere invocar implementaciones directas del código fuente como EVP_aead_aes_128_ccm_bluetooth o EVP_aead_aes_128_ccm_bluetooth_8.
