Vulnerabilidad en extensiones de Cursor permite la filtración de llaves API privadas
Se ha descubierto una vulnerabilidad de alta gravedad en Cursor, la herramienta de desarrollo impulsada por inteligencia artificial, la cual permite que las extensiones instaladas accedan a credenciales sensibles almacenadas en el entorno local de los usuarios.
Este fallo expone claves API, tokens de sesión y otros datos de autenticación sin que sea necesaria ninguna interacción adicional por parte del desarrollador, lo que convierte a cualquier extensión maliciosa en una vía directa para comprometer información crítica.
De acuerdo con investigaciones de expertos, la falla se origina en la manera en la que Cursor almacena los secretos de autenticación en el equipo. En lugar de proteger dicha información por medio de mecanismos estándar del sistema operativo, como llaves seguras o almacenes cifrados diseñados para credenciales, la aplicación los conserva en una base de datos SQLite local.
Esta decisión de diseño deja los datos de alcance de cualquier extensión instalada, incluso cuando dicha extensión no solicita permisos especiales o muestra señales evidentes de comportamiento sospechoso. Los especialistas han calificado la vulnerabilidad con una puntuación de 8.2 y ha advertido que el fallo podría derivar en un compromiso completo de credenciales dentro del entorno de desarrollo.
Según los investigadores, Cursor ha sido notificado del descubrimiento, pero la respuesta de la empresa habría sido que la definición de los límites de confianza corresponde a los usuarios. Hasta el mes pasado, el problema seguía sin resolverse, lo que mantiene abierta una superficie de ataque preocupante para desarrolladores, los cuales trabajan con servicios externos, desde modelos de IA, repositorios privados hasta infraestructuras en la nube.
El punto del riesgo se encuentra en la falta de aislamiento entre las extensiones y el almacenamiento local de datos sensibles. En la práctica, cualquier extensión con capacidad de ejecutarse dentro de Cursor puede consultar la base de datos donde se guardan las claves API, tokens de sesión y configuraciones de red directamente.
TIC Defense se concentra en la prevención, respuesta temprana y en tiempo real contra ciberataques de todo tipo. Por ello, contamos con un equipo de especialistas en ciberseguridad experimentado que es capaz de desarrollar técnicas y soluciones tecnológicas que anticipan amenazas y las neutralizan de inmediato.
Lo más grave es que esto no depende de una concesión explícita de permisos por parte de los usuarios. Un extensión aparentemente inofensiva, presentada como un tema visual, una mejora de productividad o una pequeña utilidad para el editor, podría acceder a dichos secretos pasando desapercibida.
El escenario del ciberataque descrito por los especialistas es sencillo y eficaz. Un ciberdelincuente publica o distribuye una extensión maliciosa con apariencia legítima y el desarrollador la instala, confiando en que no representa un riesgo debido a que no solicita permisos especiales.
Una vez dentro, la extensión obtiene ejecución en el entorno de Cursor, localiza la base de datos SQLite, extrae las credenciales guardadas y las envía a un servidor externo. Todo puede ocurrir sin ventanas emergentes, alertas visibles o acciones adicionales del usuario.
Esta ausencia de fricción es precisamente lo que vuelve este fallo tan peligroso. Las consecuencias van mucho más allá del mismo Curso. Una clave API robada puede abrir la puerta a servicios de terceros como OpenAI, Anthropic, Google y otras plataformas integradas en los flujos de trabajo de los desarrolladores.
