🚨 NeuralTrust reconocido por Gartner
Seguridad Runtime (GAF)
Prompt GuardProtege y modera tus aplicaciones de GenAI
Behavioral Threat DetectionDetecta amenazas de comportamiento en GenAI
Bot DetectionBloquea scrapers y bots sintéticos en tiempo real
Sensitive Data MaskingEnmascara automáticamente datos sensibles y personales
Moderation & Policy EngineAplica políticas personalizadas en sistemas GenAI
AI GatewayUnifica y controla tu infraestructura GenAI
Seguridad de Agentes
Guardian AgentsUna fuerza de agentes de seguridad para controlar las acciones de todos los agentes
Agent Security PostureMonitoreo continuo y control de agentes y herramientas
MCP GatewayControla el acceso de agentes a herramientas y datos
MCP ScannerEscanea y protege el código de tus servidores MCP
Detección de Amenazas
Red TeamingSimula ataques para probar defensas de IA
Alerting & MonitoringRecibe alertas en tiempo real sobre el comportamiento de tu IA
Model Code ScannerDetecta vulnerabilidades en el código del modelo
Tracing & AnalyticsRastrea el comportamiento de la IA en tiempo real
Shadow AIDetecta y bloquea el uso no autorizado de IA
Recursos
Centro de recursos
Guías
Blog
Newsletter
Desarrolladores
Documentación
Empresa
Sobre nosotros
Socios
Careers
Noticias
Contacto
Redes sociales
Obtener demo
Volver
BodySnatcher: vulnerabilidad crítica de ServiceNow (CVE-2025-12420)

BodySnatcher: vulnerabilidad crítica de ServiceNow (CVE-2025-12420)

Alessandro Pignati 21 de enero de 2026

Para entender la gravedad de BodySnatcher, debemos ir más allá de los titulares y examinar los componentes técnicos que hicieron posible el exploit. La vulnerabilidad es un fallo crítico de escalada de privilegios (CVE-2025-12420) que reside en la interacción entre dos aplicaciones clave de ServiceNow: la Virtual Agent API (sn_va_as_service) y los Now Assist AI Agents (sn_aia).

La Virtual Agent API está diseñada para permitir que plataformas externas, como Slack o Microsoft Teams, se comuniquen con el motor conversacional de ServiceNow. Esto se logra mediante un sistema de providers y channels que definen cómo se autentican los mensajes entrantes y cómo se enlaza la identidad del usuario con una cuenta de ServiceNow. El fallo estaba en la configuración insegura de un método específico de autenticación y en la lógica de enlazado de identidad utilizada por la aplicación Now Assist Agents.

Componentes afectados y severidad

La vulnerabilidad se calificó como crítica por su facilidad de explotación y su impacto potencial: ejecución remota de código no autenticada en el contexto de un usuario altamente privilegiado.

ComponenteVersiones afectadasVersiones corregidasTipo de vulnerabilidad
Now Assist AI Agents (sn_aia)5.0.24 – 5.1.17 y 5.2.0 – 5.2.185.1.18 y 5.2.19Escalada de privilegios
Virtual Agent API (sn_va_as_service)<= 3.15.1 y 4.0.0 – 4.0.33.15.2 y 4.0.4Autenticación rota

El fallo técnico central fue que la API se apoyaba en dos controles de seguridad peligrosamente débiles: una credencial compartida y hardcodeada para autenticar la API y una dirección de correo electrónico como único identificador para enlazar la identidad del usuario.

El papel de la Virtual Agent API

La Virtual Agent API actúa como una pasarela. Cuando un bot externo envía un mensaje, la API tiene que hacer dos comprobaciones cruciales:

  1. Autenticación del proveedor: ¿está la plataforma externa (el provider) autorizada para hablar con este endpoint de API?
  2. Enlazado de identidad del usuario: ¿qué usuario específico de ServiceNow está enviando este mensaje?

En la configuración vulnerable, la autenticación del proveedor se apoyaba en un método llamado Message Auth. Este método utiliza una credencial estática, esencialmente un secreto compartido, para autenticar la integración externa. El error crítico fue que ese secreto estaba hardcodeado con la cadena servicenowexternalagent y se distribuía idéntico en todos los entornos de cliente. Esto significaba que cualquier atacante que descubriera esta única cadena no única podía autenticarse como un proveedor externo legítimo.

Una vez autenticada como proveedor, la API pasaba al segundo paso: el enlazado de identidad del usuario. La lógica vulnerable estaba configurada para utilizar una característica llamada Auto-Linking, que asocia automáticamente un usuario externo con una cuenta de ServiceNow basándose en una coincidencia simple. ¿El criterio de coincidencia? La dirección de correo electrónico del usuario.

Esta combinación creó la tormenta perfecta: un atacante podía autenticar la petición a la API usando el secreto hardcodeado conocido públicamente, y después suministrar la dirección de correo de cualquier usuario objetivo, incluido un administrador del sistema, para suplantarlo con éxito. No hacía falta contraseña, ni MFA, ni SSO para completar la suplantación.

Anatomía del exploit: auth rota, secuestro de identidad y ejecución por el agente

El exploit BodySnatcher es un ejemplo de libro de una cadena de vulnerabilidades, donde tres fallos de seguridad distintos se encadenaron para crear una escalada de privilegios remota, crítica y no autenticada. Entender esta cadena es vital para los desarrolladores y arquitectos de seguridad que diseñan cualquier sistema que integre APIs externas con flujos agénticos internos.

Paso 1: autenticación de API rota (el secreto hardcodeado)

El fallo inicial fue el uso de una credencial hardcodeada y no única para el Message Auth de la Virtual Agent API. Un atacante podía iniciar una conversación con el Virtual Agent enviando una petición al endpoint de la API, incluyendo el identificador del canal y el secreto estático.

Una representación simplificada e hipotética de la petición maliciosa inicial sería así:

Copied!

Al recibir esta petición, el servidor validaría el header Authorization contra el secreto hardcodeado, y la primera puerta de seguridad fallaría abierta. El atacante queda ahora autenticado como un proveedor externo legítimo.

Paso 2: secuestro de identidad (el enlace solo por email)

Una vez autenticado el proveedor, el sistema pasa a identificar al usuario. Aquí ocurrió el segundo fallo: el proveedor vulnerable estaba configurado para utilizar la dirección de correo del usuario, suministrada en el cuerpo de la petición, como única prueba de identidad para el Auto-Linking.

El atacante simplemente sustituye el user_id por el correo de un objetivo de alto valor, como un administrador conocido:

Copied!

La lógica interna de la instancia de ServiceNow enlazaría entonces, con éxito, la sesión con el registro del usuario admin.target@enterprise.com. El atacante ha secuestrado de hecho la identidad del administrador sin necesitar nunca su contraseña, token MFA o credenciales SSO.

Paso 3: ejecución por el agente (la escalada de privilegios)

El paso final, el más destructivo, involucra al agente de IA. Una vez que la sesión está enlazada a la identidad del administrador, el atacante puede enviar un mensaje que dispara un flujo de IA privilegiado. En este caso, el exploit aprovechaba el Record Management AI Agent y un topic interno como AIA-Agent Invoker AutoChat.

El mensaje del atacante, interpretado por el agente, sería una orden para realizar una acción altamente privilegiada, como crear un nuevo usuario con derechos administrativos.

Una secuencia hipotética de comandos enviada al Virtual Agent ahora suplantado:

  1. Atacante: "Necesito crear un nuevo usuario."
  2. Agente: (dispara el Record Management AI Agent)
  3. Acción del agente: "Crea un nuevo registro de usuario con el nombre 'backdoor' y asígnale el rol 'admin'."

Como el agente ejecuta esta acción en el contexto del administrador suplantado, la acción está autorizada y se ejecuta con éxito. El atacante ha creado ahora una cuenta backdoor persistente y con todos los privilegios, completando la toma de control de la plataforma.

Esta secuencia resalta una lección crítica: el agente de IA, diseñado como una útil herramienta de automatización, se convirtió en el arma de escalada de privilegios. Transformó un fallo de autenticación roto en un compromiso remoto, no autenticado y total del sistema. La capacidad del agente para ejecutar acciones a partir de entradas conversacionales, combinada con la identidad secuestrada, creó un gap de seguridad mucho más amplio que el fallo inicial de la API por sí solo.

La amplificación agéntica

La vulnerabilidad BodySnatcher es un punto de inflexión porque ilustra el concepto de Amplificación Agéntica. Es el fenómeno por el que un fallo de seguridad de aplicación aparentemente rutinario, como una autenticación rota, se transforma en un riesgo catastrófico por la presencia de un agente de IA autónomo con privilegios excesivos.

En una aplicación tradicional, un bypass de autenticación podría dar a un atacante acceso al dashboard de un usuario, requiriendo que navegue manualmente y explote más vulnerabilidades para escalar privilegios. En un sistema agéntico, el agente actúa como un motor de ejecución automatizado y potente. Su capacidad para interpretar peticiones en lenguaje natural y mapearlas directamente a llamadas API de alto privilegio acorta drásticamente la ruta de ataque.

El agente de IA en el exploit de BodySnatcher actuó como la herramienta definitiva de escalada de privilegios. No fue el origen de la vulnerabilidad, sino el acelerador que convirtió un simple fallo de identidad en una toma de control total de la plataforma. Esta es la nueva realidad de la seguridad: la intención del agente de ser útil y eficiente es convertida en arma por la entrada del atacante.

Esta dinámica introduce el concepto de Agentic Blast Radius (radio de explosión agéntico).

Modelo de seguridadLongitud de la ruta de ataqueEscalada de privilegiosRadio de explosión
AppSec tradicionalLarga (navegación manual, múltiples pasos)Requiere exploit secundarioLimitado a la aplicación comprometida
Seguridad agénticaCorta (un único comando conversacional)Automatizada por el agenteSe extiende a todos los sistemas empresariales conectados

La lección para los desarrolladores es clara: cada herramienta o función expuesta a un agente de IA debe tratarse como un endpoint de API de alto riesgo y alto privilegio, sin importar lo benigno que parezca el caso de uso previsto del agente.

Vectores de ataque más allá de la plataforma

Para los líderes de seguridad, el incidente BodySnatcher debe servir de toque de atención sobre la interconexión de las plataformas empresariales modernas. ServiceNow, como muchas otras plataformas SaaS críticas, actúa como un sistema nervioso central, integrándose con sistemas de Recursos Humanos (HR), CRM y Operaciones de Seguridad (SecOps).

Un atacante que consiga control administrativo sobre una plataforma como ServiceNow no se detiene ahí. Los riesgos reales se extienden mucho más allá del compromiso inicial:

  • Exfiltración masiva de datos: con acceso de administrador, un atacante puede aprovechar la API de la plataforma para exportar datos sensibles a escala. Esto incluye registros de empleados, datos financieros, propiedad intelectual y PII (información personal identificable) de clientes.

  • Movimiento lateral y riesgo de cadena de suministro: ServiceNow a menudo guarda las llaves de otros sistemas. Un atacante puede usar la instancia comprometida para pivotar hacia plataformas conectadas como Salesforce, Microsoft 365 o incluso infraestructura on-premise, creando de facto un ataque de cadena de suministro desde una fuente interna de confianza.

  • Backdoors persistentes: como muestra la cadena del exploit, el objetivo principal suele ser crear una cuenta administrativa oculta y persistente. Esto permite al atacante mantener el acceso incluso después de parchear la vulnerabilidad inicial, convirtiendo un exploit temporal en una brecha a largo plazo.

El potencial de que una única petición no autenticada a una API pueda derivar en un compromiso empresarial total subraya la necesidad de una estrategia de defensa por capas que aborde tanto los fundamentos de AppSec tradicional como los riesgos únicos que plantean los sistemas agénticos. Aquí es donde se vuelven esenciales las plataformas especializadas centradas en la confianza y la gobernanza de la IA. Tenemos que ir más allá del parcheo reactivo y adoptar una postura proactiva sobre la seguridad de los agentes.

Buena práctica 1: fortalecer los cimientos (fundamentos de AppSec)

El exploit BodySnatcher es un potente recordatorio de que las nuevas tecnologías no anulan la necesidad de los fundamentos de seguridad de toda la vida. La vulnerabilidad no fue un fallo de IA, sino un fallo clásico de seguridad de aplicación amplificado por la IA. Los desarrolladores y los equipos de seguridad deben recomprometerse con estos principios centrales, especialmente al construir o integrar sistemas agénticos.

Aplica identidad fuerte en los límites de la API

El fallo más evidente de la cadena BodySnatcher fue apoyarse en una dirección de correo para enlazar la identidad, saltándose todos los mecanismos de autenticación establecidos. Cualquier endpoint de API que sirva de pasarela hacia acciones privilegiadas, especialmente aquellos consumidos por servicios externos o agentes, debe aplicar los estándares más altos de verificación de identidad.

Esto significa:

  • Autenticación fuerte obligatoria: usa protocolos modernos y robustos como OAuth 2.0 o API keys con políticas estrictas de rotación.
  • Aplicación de MFA y SSO: la autenticación multifactor y el Single Sign-On deben aplicarse en el punto de verificación de la identidad, incluso para sesiones impulsadas por API. Una dirección de correo es un identificador público, no una credencial.
  • Elimina los secretos hardcodeados: el uso de una credencial estática y hardcodeada (servicenowexternalagent) es un antipatrón fundamental de seguridad. Todos los secretos deben almacenarse en vaults seguros, aprovisionarse dinámicamente y rotarse con frecuencia.

Aplica el Principio de Mínimo Privilegio (PoLP)

El último paso del exploit dependía de que el agente de IA tuviese la capacidad de crear un usuario administrativo. Esto viola el Principio de Mínimo Privilegio. El PoLP dicta que cada usuario, proceso o agente debe tener únicamente los permisos mínimos necesarios para realizar su función prevista.

Para los sistemas agénticos, esto significa:

  • Acota estrictamente los permisos del agente: si la tarea de un agente es abrir un ticket, no debería tener la capacidad de crear o modificar cuentas de usuario. Los permisos del agente deben limitarse estrictamente a las tablas y acciones específicas requeridas para su flujo definido.
  • Audita el mapeo agente-herramienta: los desarrolladores deben auditar meticulosamente cada herramienta, API o función expuesta al agente para asegurar que sus capacidades no sean excesivas. El agente debe tratarse como una service account de alto riesgo.

Buena práctica 2: implementar controles de seguridad agéntica

Aunque los fundamentos de AppSec son innegociables, ya no son suficientes. Los riesgos únicos de los sistemas agénticos requieren una capa de seguridad especializada que entienda la naturaleza conversacional y autónoma de la amenaza. Este es el ámbito de la seguridad agéntica.

El reto es que las herramientas de seguridad tradicionales tienen problemas para monitorizar y gobernar el comportamiento dinámico y no determinista de un agente de IA. No pueden detectar fácilmente cuándo un agente, incluso con privilegios limitados, está siendo manipulado para realizar una acción no prevista, una forma de ataque conocida como Agent Prompt Injection o Goal Hijacking.

Los controles clave de seguridad agéntica incluyen:

  • Guardrails de IA: son mecanismos basados en políticas que aplican un comportamiento y unas salidas aceptables, independientemente del prompt del usuario. Actúan como última línea de defensa, evitando que el agente ejecute acciones dañinas incluso si la API subyacente está comprometida o el agente es engañado.
  • Protección en runtime: implica monitorizar las acciones del agente y los datos que fluyen a través de sus herramientas en tiempo real. Busca comportamientos anómalos, como un agente que de repente intenta acceder a un gran volumen de registros sensibles o iniciar una acción administrativa inesperada.
  • AI Red Teaming continuo: a diferencia del pentesting tradicional, el AI Red Teaming es un proceso de testing ofensivo continuo que sondea específicamente la capacidad del agente para ser manipulado y violar sus políticas de seguridad. Estas pruebas proactivas revelan las rutas de impacto catastrófico que emergen cuando los controles tradicionales fallan y hay un agente de IA en medio.

Integrando estos controles especializados, los líderes de seguridad pueden asegurar que sus sistemas agénticos no solo se construyen sobre una base segura, sino que también están protegidos frente a los nuevos y conversacionales vectores de ataque que definen el panorama actual. Una plataforma centrada en la confianza y la gobernanza de la IA, como NeuralTrust, proporciona el framework para esta defensa por capas.

El camino a seguir: confianza y gobernanza continuas

La vulnerabilidad BodySnatcher es una señal clara de que la era de la seguridad simple y aislada ha terminado. A medida que las empresas adoptan la comunicación A2A y flujos autónomos cada vez más complejos, el modelo de seguridad debe evolucionar para igualar esa complejidad. El camino a seguir requiere centrarse en la confianza continua, una gobernanza rigurosa y herramientas especializadas capaces de gestionar los retos únicos del MCP y del ciclo de vida del agente.

Gestión del ciclo de vida del agente

Igual que el código requiere un robusto Software Development Lifecycle (SDLC), los agentes de IA requieren un Agent Development Lifecycle (ADLC) con seguridad integrada en cada etapa. Esto incluye:

  • Proceso de aprobación del agente: establecer un proceso formal de revisión para cada despliegue de un nuevo agente, incluyendo una revisión obligatoria de seguridad de sus permisos y acceso a herramientas.
  • Monitorización continua: los agentes deben monitorizarse no solo por uptime, sino por comportamientos anómalos que sugieran manipulación o compromiso.
  • Desaprovisionamiento: implementar políticas claras para desaprovisionar agentes no utilizados o inactivos, reduciendo la superficie de ataque.

Gobernar el ecosistema de agentes

La complejidad de la comunicación A2A significa que el fallo de un único agente puede provocar un efecto cascada por toda la empresa. La gobernanza debe centrarse en las interacciones entre agentes y los datos que intercambian. Aquí es donde las plataformas de seguridad especializadas se vuelven indispensables.

Plataformas centradas en MCP security y en la protección en runtime proporcionan la visibilidad necesaria para gobernar este ecosistema. Por ejemplo, una plataforma como NeuralTrust proporciona un MCP scanner para analizar la postura de seguridad de la comunicación entre agentes, asegurando que la integridad de los datos y los controles de acceso se mantienen en los flujos autónomos. Esta monitorización continua y profunda es esencial para detectar las sutiles señales de manipulación de agentes que las herramientas tradicionales de seguridad de red pasarán por alto.

Adoptando una plataforma que integre AI Red Teaming con protección en runtime, las organizaciones pueden asegurar que su postura de seguridad se valida continuamente frente a los últimos vectores de ataque agénticos. Este enfoque proactivo es la única forma de construir resiliencia real frente a las amenazas de IA en evolución.

Reflexiones finales

La vulnerabilidad BodySnatcher CVE-2025-12420 es mucho más que un fallo parcheable en el producto de un único vendor. Es una lección fundacional sobre la nueva realidad de seguridad de los sistemas agénticos. Demuestra que las vulnerabilidades más peligrosas son aquellas que combinan fallos clásicos de seguridad de aplicación con las capacidades de ejecución de alto privilegio de un agente de IA.

Para los desarrolladores, el mandato es claro: trata cada herramienta de un agente como una API de alto privilegio. Recomprométete con el Principio de Mínimo Privilegio y aplica una verificación de identidad fuerte y multifactor en cada frontera.

Para los líderes de seguridad, el imperativo es adoptar una defensa por capas. Tienes que asegurar los cimientos con AppSec tradicional, pero también desplegar controles especializados de seguridad de agentes para gestionar los riesgos únicos de la autonomía. La pregunta ya no es si tus agentes serán atacados, sino cuándo.

Construir una empresa autónoma segura requiere un compromiso continuo con la confianza en IA y la gobernanza. Plataformas como NeuralTrust proporcionan los guardrails de IA necesarios, la protección en runtime y las capacidades de AI Red Teaming para cerrar la brecha entre la seguridad tradicional y las exigencias del futuro agéntico. El momento de actuar es ahora, antes de que la próxima vulnerabilidad tipo BodySnatcher exponga a tu organización a un compromiso total de la plataforma.


Posts relacionados

Ver todo
The Meta AI Breach: A Reality Check for Agentic Systems
Alessandro Pignati5 de junio de 2026
The Meta AI Breach: A Reality Check for Agentic Systems
Leer más
The Vatican’s Security Patch for the Age of AI Agents
Alessandro Pignati28 de mayo de 2026
The Vatican’s Security Patch for the Age of AI Agents
Leer más
El secuestro invisible: comprender el blanqueo de autoridad en la IA
Alessandro Pignati27 de mayo de 2026
El secuestro invisible: comprender el blanqueo de autoridad en la IA
Leer más