Phishing en Teams despliega A0Backdoor, campaña de secuestro de Signal, Salesforce Aura bajo ataque
1. Phishing en Microsoft Teams despliega malware A0Backdoor
🚨 CRÍTICO — Campaña activa contra sectores financiero y sanitario
Actores de amenazas están utilizando mensajes de Microsoft Teams para atacar a empleados de los sectores financiero y sanitario. Tras establecer contacto por Teams, los atacantes convencen a las víctimas de conceder acceso remoto mediante Quick Assist, una herramienta legítima de soporte remoto de Windows. Una vez conectados, despliegan una puerta trasera no documentada denominada A0Backdoor.
La cadena de ataque destaca por la sofisticación de su ingeniería social — los atacantes se hacen pasar por personal de soporte TI y crean urgencia en torno a supuestos problemas de seguridad. A0Backdoor proporciona acceso persistente, recolección de credenciales y capacidad de movimiento lateral.
Acciones requeridas: Restringir el uso de Quick Assist mediante directivas de grupo. Educar a los empleados sobre solicitudes de soporte no solicitadas vía Teams. Monitorizar actividad inusual de herramientas de acceso remoto.
2. Google: los ataques cloud pasan del robo de credenciales a la explotación de vulnerabilidades
El último informe de inteligencia de amenazas de Google revela un cambio significativo en las tácticas de ataque cloud. Los hackers explotan cada vez más las vulnerabilidades recién divulgadas en software de terceros en lugar de depender de credenciales débiles o robadas para el acceso inicial al cloud.
El hallazgo más alarmante: la ventana entre la divulgación de una vulnerabilidad y su explotación activa se ha reducido de semanas a solo días, a veces horas. Esto ejerce una presión enorme sobre los equipos de seguridad para parchear de inmediato.
| Métrica | Anterior | Actual |
|---|---|---|
| Tiempo medio hasta la explotación | 2–4 semanas | 1–3 días |
| Principal vector de acceso inicial | Credenciales robadas | Explotación de vulnerabilidades |
| Participación de software de terceros | Moderada | Objetivo principal |
3. Hackers del GRU ruso secuestran cuentas de Signal y WhatsApp
🚨 PATROCINADO POR ESTADO — Alerta del gobierno neerlandés
El gobierno neerlandés ha emitido una advertencia formal sobre una campaña de phishing en curso patrocinada por el estado ruso y vinculada al GRU (inteligencia militar rusa). La campaña se dirige a funcionarios gubernamentales, personal militar y periodistas, intentando secuestrar sus cuentas de Signal y WhatsApp.
Los atacantes utilizan ingeniería social sofisticada para engañar a sus objetivos y vincular sus cuentas de mensajería a dispositivos controlados por los atacantes. Una vez comprometidas, los actores obtienen acceso completo a conversaciones cifradas, contactos y medios compartidos.
Acciones requeridas: Revisar los dispositivos vinculados en la configuración de Signal y WhatsApp. Activar el bloqueo de registro en Signal. Informar al personal de alto valor sobre esta amenaza específica.
4. Brecha de datos de Ericsson US
La filial estadounidense de Ericsson ha revelado una brecha de datos derivada de la compromisión de un proveedor de servicios externo. Se robaron datos de empleados y clientes, incluyendo información de identificación personal.
Este incidente pone de manifiesto el riesgo persistente de los ataques a la cadena de suministro — incluso cuando tu propia seguridad es sólida, los proveedores y prestadores de servicios pueden convertirse en el eslabón débil.
5. ShinyHunters explota vulnerabilidad en Salesforce Aura
⚠️ EXPLOTACIÓN ACTIVA — Salesforce Experience Cloud
La notoria banda de extorsión ShinyHunters está explotando activamente un nuevo fallo en Salesforce Experience Cloud (framework Aura) para robar datos de instancias mal configuradas. Las organizaciones con sitios Salesforce Experience Cloud expuestos corren riesgo inmediato.
ShinyHunters tiene un historial de brechas de datos masivas y típicamente extorsiona a las víctimas amenazando con filtrar los datos robados. La vulnerabilidad de Salesforce Aura permite el acceso no autorizado a registros sensibles cuando las instancias están configuradas incorrectamente.
Acciones requeridas: Auditar las configuraciones de Salesforce Experience Cloud de inmediato. Revisar los permisos de usuarios invitados. Verificar patrones de acceso a datos inesperados.
6. Paquete npm malicioso suplanta a OpenClaw
Se ha descubierto un paquete npm malicioso llamado @openclaw-ai/openclawai que se hace pasar por un instalador legítimo. El paquete despliega un troyano de acceso remoto (RAT) y roba datos sensibles de sistemas macOS, incluyendo:
- Credenciales del sistema y datos del llavero
- Cookies del navegador y contraseñas guardadas
- Archivos de billeteras de criptomonedas
- Claves SSH y configuración
- Historial de iMessage
El paquete acumuló 178 descargas antes de su detección. Se trata de un ataque clásico a la cadena de suministro que explota la confianza en los gestores de paquetes.
7. El grupo norcoreano UNC4899 compromete una empresa crypto
Mandiant de Google atribuye la brecha de una empresa crypto a UNC4899 (también conocido como TraderTraitor), un grupo de amenazas norcoreano. Los atacantes comprometieron al objetivo mediante un archivo AirDrop troyanizado y luego pivotaron hacia la infraestructura cloud utilizando técnicas living-off-the-cloud — abusando de servicios cloud legítimos para camuflarse entre la actividad normal.
Esto representa una evolución en las operaciones cibernéticas norcoreanas, demostrando una sofisticación creciente en técnicas de ataque cloud-native.
8. Extensiones de Chrome se vuelven maliciosas tras cambio de propietario
Se ha descubierto que dos extensiones de Chrome se volvieron maliciosas después de que su propiedad fuera transferida a nuevos desarrolladores. Los nuevos propietarios lanzaron actualizaciones que habilitaban la inyección de código y el robo de datos, afectando a usuarios que tenían las extensiones instaladas con actualización automática activada.
Acciones requeridas: Auditar las extensiones de navegador en toda la organización. Implementar listas de extensiones permitidas. Monitorizar actualizaciones de extensiones inesperadas.
9. Cisco Catalyst SD-WAN CVE-2026-20127 bajo ataque masivo
🚨 CVE CRÍTICO — Explotación masiva activa
Una vulnerabilidad crítica en Cisco Catalyst SD-WAN (CVE-2026-20127) está siendo objeto de explotación masiva desde numerosas direcciones IP. Las organizaciones que operan infraestructura Cisco SD-WAN afectada deben parchear inmediatamente o aplicar mitigaciones.
Acciones requeridas: Aplicar los parches del aviso de seguridad de Cisco de inmediato. Si no es posible parchear, implementar las soluciones alternativas recomendadas y monitorizar indicadores de compromiso.
10. El ataque ClickFix evoluciona con Windows Terminal
La técnica de ingeniería social ClickFix ha evolucionado. Los atacantes ahora utilizan páginas CAPTCHA falsas que instruyen a las víctimas para pegar comandos maliciosos en Windows Terminal en lugar del cuadro de diálogo Ejecutar tradicional. Esta técnica de evasión elude varios controles de seguridad que monitorizan el cuadro de diálogo Ejecutar.
El cambio a Windows Terminal es significativo porque proporciona un entorno de ejecución más potente y puede no ser monitorizado por herramientas de detección de endpoint legacy.
11. Más titulares
| Noticia | Impacto |
|---|---|
| El FBI investiga brecha en sistema de vigilancia | El FBI investiga actividad cibernética sospechosa en un sistema con información de vigilancia sensible |
| CISA añade fallos de iOS al KEV | El kit de exploits Coruna ataca 23 vulnerabilidades en iOS 13–17.2.1; nivel estatal |
| Actualización de estrategia cibernética de EE.UU. | Nueva estrategia dirigida a adversarios, protección de infraestructuras críticas e IA/criptografía post-cuántica |
Cómo KENSAI te protege
✅ Monitorización de CVE en tiempo real — CVE-2026-20127 y todas las vulnerabilidades críticas rastreadas en horas desde su divulgación
✅ Análisis de cadena de suministro — Detección de paquetes maliciosos como el instalador npm falso de OpenClaw
✅ Auditoría de configuración cloud — Identificar configuraciones erróneas de Salesforce antes que ShinyHunters
✅ Gestión continua de superficie de ataque — Monitorización de tu exposición en todos los vectores
Acciones recomendadas
- Inmediato: Parchear Cisco SD-WAN CVE-2026-20127. Restringir Quick Assist mediante directivas de grupo.
- Hoy: Auditar configuraciones de Salesforce Experience Cloud. Revisar dispositivos vinculados en Signal/WhatsApp.
- Esta semana: Auditar extensiones de navegador en toda la organización. Revisar dependencias npm en busca de paquetes maliciosos.
- Continuo: Implementar gestión continua de vulnerabilidades. Formar al personal sobre técnicas de phishing en Teams y ClickFix.
Protege tu organización con KENSAI
Escaneo de vulnerabilidades con IA y monitorización de seguridad continua. Inicia tu escaneo gratuito hoy.
Iniciar escaneo gratuito →Mantente seguro. Mantente alerta.
🗡️ Equipo de seguridad de KENSAI
🛡️ ¿Es seguro su sitio web?
Descubra vulnerabilidades antes que los atacantes.
Escanee su sitio gratis →