Las cámaras profesionales de videovigilancia TP-Link VIGI C y TP-Link VIGI InSight han recibido un parche de seguridad crítico tras descubrirse la vulnerabilidad CVE-2026-0629, que permitía a un atacante tomar el control completo del dispositivo. El fallo, localizado en el panel web de administración local, ha sido valorado con 8,7 sobre 10 en la escala CVSS, lo que sitúa este problema entre las amenazas de alta gravedad para infraestructuras de videovigilancia e IoT.
Vulnerabilidad CVE-2026-0629 en cámaras TP-Link VIGI: qué la hace tan peligrosa
La vulnerabilidad fue identificada por Arko Dhar, cofundador y director técnico de la empresa de ciberseguridad IoT Redinent Innovations. El origen del problema residía en la función de restablecimiento de contraseña integrada en el interfaz web local de las cámaras TP-Link VIGI.
Según la información publicada por el fabricante, la implementación permitía evadir el proceso de autenticación y forzar el reseteo de la contraseña del administrador sin ningún tipo de verificación robusta por parte del dispositivo. En la práctica, un atacante en la misma red solo debía enviar una petición especialmente construida para alterar el estado del cliente, obteniendo así acceso administrativo total.
Con ese nivel de privilegios, el actor malicioso podía controlar el vídeo en tiempo real, revisar y eliminar grabaciones históricas, modificar parámetros de red y alterar integraciones con otros sistemas de seguridad física o lógica, abriendo la puerta a ataques más complejos dentro de la red corporativa.
Cómo se produce el bypass de autenticación en el panel web
El fallo ejemplifica un patrón clásico en la seguridad de aplicaciones web e IoT: la validación insuficiente del lado del servidor. En muchos mecanismos de recuperación de contraseña inseguros, las comprobaciones críticas se realizan en el navegador (lado cliente) en lugar de controlarse en la lógica interna del dispositivo.
En el caso de CVE-2026-0629, la cámara no verificaba de forma adecuada que la solicitud de restablecimiento de credenciales procediera de un usuario autenticado o de un flujo legítimo. Como consecuencia, era posible iniciar un reset del usuario administrador sin conocer la contraseña actual y sin ningún segundo factor de confirmación.
Este tipo de fallos es especialmente frecuente en dispositivos IoT, donde la presión por sacar rápidamente productos al mercado y priorizar la funcionalidad termina relegando a un segundo plano el diseño seguro de la autenticación y el control de acceso. Cuando estos equipos se exponen directamente a Internet, la superficie de ataque se multiplica y los errores de diseño pasan de ser un problema local a una amenaza global.
Impacto global: exposición en Internet y riesgos para las organizaciones
El investigador advirtió que la vulnerabilidad era explotable no solo desde la red local, sino también de forma remota siempre que el panel web de las cámaras TP-Link VIGI estuviera publicado en Internet. Durante el análisis inicial, realizado en octubre de 2025, un escaneo de Internet identificó más de 2.500 cámaras accesibles potencialmente vulnerables, basándose únicamente en una única referencia de modelo. Todo indica que la cifra real de dispositivos afectados es sensiblemente mayor.
Las cámaras TP-Link VIGI se utilizan de forma intensiva en entornos empresariales de más de 36 países de Europa, Asia-Pacífico y el continente americano. Para cualquier organización, la explotación de esta vulnerabilidad no solo implica la pérdida de confidencialidad de las imágenes, sino también el riesgo de que la cámara se convierta en un punto de entrada a la red interna, facilitando el movimiento lateral, el robo de datos o el despliegue de malware.
TP-Link, dispositivos IoT y un problema de seguridad estructural
El catálogo Known Exploited Vulnerabilities (KEV) de la agencia estadounidense CISA recoge varias vulnerabilidades explotadas activamente en equipos de red TP-Link en los últimos años, principalmente en routers y repetidores Wi‑Fi utilizados en entornos domésticos y corporativos. Estas brechas han sido aprovechadas en campañas de botnets e incluso en operaciones de ciberespionaje.
El hecho de que una vulnerabilidad crítica afecte ahora a cámaras de videovigilancia profesionales refuerza la idea de que la seguridad en IoT sigue siendo un desafío sistémico. Cámaras, puntos de acceso, controladores de edificios inteligentes y otros dispositivos conectados suelen ser objetivos atractivos para la conformación de botnets, ataques DDoS y operaciones de vigilancia encubierta.
Medidas recomendadas para proteger cámaras TP-Link VIGI y la videovigilancia IP
1. Actualizar inmediatamente el firmware. Es imprescindible instalar las últimas versiones de firmware que corrigen CVE-2026-0629. El parcheo regular de cámaras IP y otros dispositivos IoT debería integrarse en los procesos estándar de gestión de vulnerabilidades.
2. Restringir el acceso remoto al panel web. No se recomienda exponer directamente el interfaz HTTP/HTTPS de las cámaras TP-Link VIGI a Internet. Es preferible utilizar VPN corporativas, portales de acceso seguros o gateways dedicados, complementados por reglas restrictivas en el firewall.
3. Segmentar la red de videovigilancia. Las cámaras deben ubicarse en un VLAN o segmento aislado, limitando al máximo la comunicación con sistemas críticos de negocio. La segmentación reduce el impacto de una eventual intrusión, impidiendo que un atacante use una cámara IP como trampolín hacia servidores sensibles.
4. Fortalecer credenciales y autenticación. Es fundamental sustituir credenciales por defecto y evitar contraseñas débiles. Se recomienda usar contraseñas únicas y complejas para las cuentas de administración y activar autenticación multifactor (MFA) allí donde el producto lo permita.
5. Realizar auditorías y escaneos periódicos. Las organizaciones deberían escanear, tanto desde el exterior como desde la red interna, en busca de paneles web expuestos, versiones de firmware obsoletas y vulnerabilidades conocidas. Catálogos como CISA KEV y bases de datos de CVE ayudan a priorizar qué fallos deben corregirse con mayor urgencia.
Las cámaras de videovigilancia han dejado de ser simples sensores pasivos para convertirse en activos críticos de la infraestructura digital. Tratar estos dispositivos IoT con el mismo rigor que servidores y estaciones de trabajo —inventario actualizado, parches al día, segmentación y monitorización continua— es clave para reducir el riesgo de fugas de información, sabotaje y espionaje sobre los procesos de negocio. Invertir hoy en una estrategia sólida de seguridad en IoT y videovigilancia es una de las formas más efectivas de proteger la continuidad operativa y la reputación de cualquier organización.
