← Volver al Blog
Informe de Seguridad 7 min de lectura

Bypass de autenticación en CCTV Honeywell + Filtración de 1M de cuentas en Figure

CISA alerta sobre una vulnerabilidad crítica en CCTV Honeywell (CVSS 9.8) que permite acceso no autorizado. La filtración de Figure fintech expone casi 1 millón de cuentas mediante ingeniería social. Cuatro extensiones de VS Code con más de 125M de descargas contienen fallos críticos. Un bug en Microsoft Copilot elude las políticas DLP desde enero.


Crítico: Bypass de autenticación en CCTV Honeywell

Aviso de CISA: CVE-2026-1670 — CVSS 9.8

CISA advierte sobre una vulnerabilidad crítica en múltiples productos CCTV de Honeywell utilizados en infraestructura crítica. Los atacantes pueden secuestrar cuentas y acceder a las transmisiones de cámaras sin autenticación.

Descubierta por el investigador Souvik Kanda, CVE-2026-1670 se clasifica como "autenticación faltante para función crítica". El fallo permite a un atacante no autenticado cambiar la dirección de correo electrónico de recuperación asociada a una cuenta del dispositivo, permitiendo la toma total de la cuenta.

Modelos afectados

Modelo Versión de firmware
I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

Estas cámaras compatibles con NDAA están desplegadas en agencias gubernamentales de EE.UU., contratistas federales e instalaciones críticas. CISA recomienda:


Figure Fintech: 967K cuentas comprometidas

ShinyHunters se atribuye la responsabilidad del ataque de ingeniería social

La empresa fintech basada en blockchain Figure Technology Solutions sufrió una filtración que afecta a casi 1 millón de cuentas. El ataque se ejecutó mediante ingeniería social.

Figure, que ha desbloqueado más de 22.000 millones de dólares en patrimonio inmobiliario con más de 250 socios, incluyendo bancos, cooperativas de crédito y fintechs, confirmó el incidente a TechCrunch. Los atacantes utilizaron phishing por voz (vishing) para engañar a un empleado y que proporcionara acceso.

Datos expuestos

El grupo de extorsión ShinyHunters filtró 2,5 GB de datos de miles de solicitantes de préstamos en su sitio de la dark web. Esto forma parte de una campaña más amplia dirigida a cuentas SSO en Okta, Microsoft y Google en más de 100 organizaciones de alto perfil.

🎯 Patrón de ataque

Los atacantes se hacen pasar por soporte de TI, llaman a los empleados y los engañan para que introduzcan credenciales y códigos MFA en sitios de phishing que imitan los portales de inicio de sesión de la empresa. Una vez dentro, obtienen acceso a aplicaciones empresariales conectadas, incluyendo Salesforce, Microsoft 365, Google Workspace, Slack y Dropbox.


Extensiones de VS Code: más de 125M de descargas afectadas

Fallos críticos permiten exfiltración de archivos y ejecución remota de código

Investigadores de OX Security descubrieron múltiples vulnerabilidades en cuatro extensiones populares de VS Code. Tres CVEs permanecen sin parchear.

"Un hacker solo necesita una extensión maliciosa, o una sola vulnerabilidad dentro de una extensión, para realizar movimiento lateral y comprometer organizaciones enteras", advirtieron los investigadores.

CVE Extensión CVSS Impacto
CVE-2025-65717 Live Server 9.1 Exfiltración de archivos locales mediante sitio web malicioso
CVE-2025-65716 Markdown Preview Enhanced 8.8 Ejecución arbitraria de JavaScript mediante archivo .md
CVE-2025-65715 Code Runner 7.8 Ejecución arbitraria de código mediante settings.json
Microsoft Live Preview Exfiltración de archivos sensibles (corregido en v0.4.16)

Acciones inmediatas


Microsoft Copilot elude las políticas DLP

Bug activo desde el 21 de enero — Resumiendo correos confidenciales

Un bug de Microsoft 365 Copilot ha estado causando que el asistente de IA resuma correos electrónicos confidenciales, eludiendo las políticas de prevención de pérdida de datos (DLP) que protegen información sensible.

Rastreado como CW1226324, este bug afecta la función de chat de la "pestaña de trabajo" de Copilot. Lee y resume incorrectamente correos en las carpetas de Enviados y Borradores — incluyendo mensajes con etiquetas de confidencialidad diseñadas explícitamente para restringir el acceso de herramientas automatizadas.

Cronología

Microsoft declaró: "Esto no proporcionó a nadie acceso a información para la cual no estuviera ya autorizado... Se ha desplegado una actualización de configuración a nivel mundial para clientes empresariales."

Recomendación empresarial

Revise los registros de actividad de Copilot para el período desde el 21 de enero. Verifique que el contenido con etiquetas de sensibilidad no haya sido incluido inadvertidamente en resúmenes de Copilot compartidos más allá de los destinatarios previstos.


Otras noticias

Texas demanda a TP-Link por riesgos de hackeo chino

Texas demandó a TP-Link Systems, acusando a la empresa de comercializar engañosamente sus routers como seguros mientras permitía que hackers respaldados por el estado chino explotaran vulnerabilidades en el firmware.

Operación Red Card 2.0 de INTERPOL

651 arrestos en 16 países africanos. Se recuperaron más de 4,3 millones de dólares. La operación se dirigió contra fraudes de inversión, estafas de dinero móvil y aplicaciones de préstamos fraudulentas vinculadas a pérdidas de 45 millones de dólares.

PromptSpy: Primer malware que abusa de Gemini AI

ESET descubrió malware para Android que usa Google Gemini AI para mantener la persistencia. El malware aprovecha la IA generativa para analizar pantallas y generar instrucciones paso a paso para mantenerse fijado en las aplicaciones recientes.

Hacker nigeriano condenado a 8 años por fraude fiscal

Condenado por hackear múltiples empresas de preparación de impuestos en Massachusetts y presentar declaraciones fraudulentas buscando más de 8,1 millones de dólares en reembolsos.


Cifras del día

Métrica Valor
Cuentas afectadas en filtración de Figure 967.200
Severidad CVE de Honeywell (CVSS) 9.8
Descargas de extensiones VS Code en riesgo 125M+
Duración del bypass DLP de Copilot ~30 días
Arrestos de INTERPOL (Op Red Card 2.0) 651
Organizaciones objetivo de ShinyHunters 100+

Prioridades del día

  1. AISLAR: Sistemas CCTV Honeywell — aplicar segmentación de red de inmediato
  2. AUDITAR: Extensiones de VS Code — desactivar Live Server, Markdown Preview Enhanced, Code Runner hasta que se parcheen
  3. CAPACITAR: Concienciación de seguridad sobre ataques de vishing (manual de ShinyHunters)
  4. VERIFICAR: Cumplimiento DLP de Microsoft Copilot — revisar actividad desde el 21 de enero
  5. REVISAR: Controles de seguridad SSO — resistencia al bypass de MFA

Proteja su organización con KENSAI

Gestión de vulnerabilidades impulsada por IA con más de 333.000 CVEs indexados.

Iniciar escaneo gratuito

Manténgase seguro. Manténgase alerta.

🗡️ Equipo de Seguridad KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home