← Volver al Blog
Informe de Seguridad 7 min de lectura

Tormenta de Zero-Days: Apple y Microsoft Bajo Ataque Activo

Apple parchea un ataque dirigido "extremadamente sofisticado" en iOS/macOS, mientras Microsoft aborda 6 zero-days explotados activamente en el Patch Tuesday. Mientras tanto, una botnet de 2M de dispositivos interrumpe redes de privacidad, y las tácticas de guerra psicológica de los actores de amenazas se intensifican.


Parches Críticos Requeridos

Zero-Day de Apple (CVE-2026-20700) — PARCHEAR AHORA

El dyld (Dynamic Link Editor) de Apple tiene una falla de corrupción de memoria que permite la ejecución de código arbitrario. Google TAG descubrió que se estaba utilizando en "ataques extremadamente sofisticados contra individuos específicos".

Afectados: iOS, iPadOS, macOS Tahoe, tvOS, watchOS, visionOS

Microsoft Patch Tuesday — 6 Zero-Days Explotados

CVE Componente Impacto
CVE-2026-21510 Windows Shell Un solo clic en un enlace elude la seguridad
CVE-2026-21513 MSHTML Evasión del motor del navegador
CVE-2026-21514 Microsoft Word Evasión basada en documentos
CVE-2026-21533 Remote Desktop Escalada de privilegios Local → SYSTEM
CVE-2026-21519 Desktop Window Manager Escalada de privilegios
CVE-2026-21525 Remote Access Interrupción de VPN

Total: 59 vulnerabilidades (5 Críticas, 52 Importantes)

Otras Actualizaciones Críticas


Principales Brechas de Esta Semana

Organización Registros Tipo
Odido (Telecom Países Bajos) 6,2M Datos de clientes
ApolloMD Healthcare 626K Registros de pacientes
Conduent → Volvo Group 17K Datos de empleados
Conpet (Rumanía Petróleo) Desconocido Ransomware Qilin

Aumento de Amenazas Impulsadas por IA

Extensiones falsas de IA para Chrome: 30 extensiones maliciosas con más de 300K instalaciones robando credenciales haciéndose pasar por asistentes de IA.

AMOS Infostealer: Usuarios de macOS atacados a través de aplicaciones de IA envenenadas que explotan el ciclo de entusiasmo por la IA.

Advertencia de robo de modelos: Google GTIG advierte sobre hackers que utilizan acceso legítimo a APIs para extraer/replicar la lógica de modelos de IA.


Actor de Amenazas Destacado: SLSH

El grupo Scattered Lapsus ShinyHunters ha evolucionado más allá del ransomware hacia la guerra psicológica:

Consejo de expertos: Nunca negociar, nunca pagar.


Cómo KENSAI Te Protege

Monitoreo de CVEs en tiempo real — Los 6 zero-days de Microsoft indexados en horas

Puntuación de prioridad de parches — Evaluación de riesgos impulsada por IA para tu stack

Escaneo de cadena de suministro — Detecta dependencias abandonadas/secuestradas

Gestión continua de exposición — Mantente por delante del 84% que no tiene CTEM


Acciones Recomendadas

  1. Inmediato: Aplicar parches de Apple y Microsoft
  2. Hoy: Auditar instalaciones de BeyondTrust, WordPress WPvivid y SAP
  3. Esta semana: Revisar extensiones de Chrome en toda tu organización
  4. Continuo: Implementar CTEM — solo el 16% de las organizaciones lo tienen desplegado

Protege Tu Organización con KENSAI

Gestión de vulnerabilidades impulsada por IA con más de 331.910 CVEs indexados.

Comenzar Prueba Gratuita

Mantente seguro. Mantente vigilante.

🗡️ Equipo de Seguridad KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home