← Volver al Blog
Informe de Seguridad 7 min de lectura

Omisión de Autenticación en CCTV Honeywell + Brecha de 1M de Cuentas de Figure

CISA advierte sobre vulnerabilidad crítica en CCTV Honeywell (CVSS 9.8) que permite acceso no autorizado. Brecha en fintech Figure expone casi 1 millón de cuentas mediante ingeniería social. Cuatro extensiones de VS Code con más de 125M de descargas contienen fallas críticas. Bug en Microsoft Copilot omite políticas DLP desde enero.


Crítico: Omisión de Autenticación en CCTV Honeywell

Aviso de CISA: CVE-2026-1670 — CVSS 9.8

CISA está advirtiendo sobre una vulnerabilidad crítica en múltiples productos CCTV de Honeywell utilizados en infraestructura crítica. Los atacantes pueden secuestrar cuentas y acceder a las transmisiones de cámaras sin autenticación.

Descubierta por el investigador Souvik Kanda, CVE-2026-1670 está clasificada como "falta de autenticación para función crítica". La falla permite a un atacante no autenticado cambiar la dirección de correo electrónico de recuperación asociada con una cuenta de dispositivo, permitiendo el secuestro completo de la cuenta.

Modelos Afectados

Modelo Versión de Firmware
I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

Estas cámaras compatibles con NDAA están desplegadas en agencias gubernamentales de EE. UU., contratistas federales e instalaciones críticas. CISA recomienda:


Figure Fintech: Brecha de 967K Cuentas

ShinyHunters Reclama Responsabilidad por Ataque de Ingeniería Social

La compañía fintech nativa de blockchain Figure Technology Solutions sufrió una brecha que afectó a casi 1 millón de cuentas. El ataque se ejecutó mediante ingeniería social.

Figure, que ha desbloqueado más de $22 mil millones en equidad hipotecaria con más de 250 socios incluyendo bancos, cooperativas de crédito y fintechs, confirmó el incidente a TechCrunch. Los atacantes utilizaron phishing de voz (vishing) para engañar a un empleado y obtener acceso.

Datos Expuestos

El grupo de extorsión ShinyHunters filtró 2.5GB de datos de miles de solicitantes de préstamos en su sitio de la dark web. Esto es parte de una campaña más amplia dirigida a cuentas SSO en Okta, Microsoft y Google en más de 100 organizaciones de alto perfil.

🎯 Patrón de Ataque

Los atacantes se hacen pasar por soporte de TI, llaman a empleados y los engañan para que ingresen credenciales y códigos MFA en sitios de phishing que imitan los portales de inicio de sesión de la empresa. Una vez dentro, obtienen acceso a aplicaciones empresariales conectadas incluyendo Salesforce, Microsoft 365, Google Workspace, Slack y Dropbox.


Extensiones de VS Code: Más de 125M de Descargas Afectadas

Fallas Críticas Permiten Exfiltración de Archivos y Ejecución Remota de Código

Investigadores de OX Security descubrieron múltiples vulnerabilidades en cuatro extensiones populares de VS Code. Tres CVE permanecen sin parchar.

"Un hacker solo necesita una extensión maliciosa, o una sola vulnerabilidad dentro de una extensión, para realizar movimiento lateral y comprometer organizaciones enteras," advirtieron los investigadores.

CVE Extensión CVSS Impacto
CVE-2025-65717 Live Server 9.1 Exfiltración de archivos locales mediante sitio web malicioso
CVE-2025-65716 Markdown Preview Enhanced 8.8 Ejecución arbitraria de JavaScript mediante archivo .md
CVE-2025-65715 Code Runner 7.8 Ejecución arbitraria de código mediante settings.json
Microsoft Live Preview Exfiltración de archivos sensibles (corregido en v0.4.16)

Acciones Inmediatas


Microsoft Copilot Omite Políticas DLP

Bug Activo Desde el 21 de Enero — Resumiendo Correos Confidenciales

Un bug en Microsoft 365 Copilot ha estado causando que el asistente de IA resuma correos electrónicos confidenciales, omitiendo las políticas de prevención de pérdida de datos (DLP) que protegen información sensible.

Rastreado como CW1226324, este bug afecta la función de chat de la "pestaña de trabajo" de Copilot. Lee y resume incorrectamente correos electrónicos en las carpetas Elementos Enviados y Borradores — incluyendo mensajes con etiquetas de confidencialidad diseñadas explícitamente para restringir el acceso de herramientas automatizadas.

Cronología

Microsoft declaró: "Esto no proporcionó a nadie acceso a información que no estuvieran ya autorizados a ver... Se ha desplegado una actualización de configuración a nivel mundial para clientes empresariales."

Recomendación Empresarial

Revise los registros de actividad de Copilot para el período desde el 21 de enero. Verifique que el contenido etiquetado con sensibilidad no se incluyó inadvertidamente en resúmenes de Copilot compartidos más allá de los destinatarios previstos.


Otros Titulares

Texas Demanda a TP-Link por Riesgos de Hacking Chino

Texas demandó a TP-Link Systems, acusando a la compañía de comercializar engañosamente routers como seguros mientras permitía que hackers respaldados por el estado chino explotaran vulnerabilidades de firmware.

Operación Red Card 2.0 de INTERPOL

651 arrestos en 16 países africanos. Se recuperaron más de $4.3 millones. La operación se dirigió a fraude de inversión, estafas de dinero móvil y aplicaciones de préstamos fraudulentas vinculadas a $45 millones en pérdidas.

PromptSpy: Primer Malware que Abusa de Gemini AI

ESET descubrió malware de Android que utiliza Gemini AI de Google para mantener persistencia. El malware aprovecha la IA generativa para analizar pantallas y generar instrucciones paso a paso para mantenerse anclado en aplicaciones recientes.

Hacker Nigeriano Recibe 8 Años por Fraude Fiscal

Sentenciado por hackear múltiples empresas de preparación de impuestos en Massachusetts y presentar declaraciones fraudulentas solicitando más de $8.1 millones en reembolsos.


Números de Hoy

Métrica Valor
Cuentas afectadas en brecha de Figure 967,200
Severidad CVE de Honeywell (CVSS) 9.8
Descargas de extensiones de VS Code en riesgo 125M+
Duración de omisión DLP de Copilot ~30 días
Arrestos de INTERPOL (Op Red Card 2.0) 651
Organizaciones objetivo de ShinyHunters 100+

Prioridades de Hoy

  1. AÍSLE: Sistemas CCTV Honeywell — aplique segmentación de red inmediatamente
  2. AUDITE: Extensiones de VS Code — deshabilite Live Server, Markdown Preview Enhanced, Code Runner hasta que sean parcheadas
  3. CAPACITE: Conciencia de seguridad sobre ataques vishing (manual de ShinyHunters)
  4. VERIFIQUE: Cumplimiento DLP de Microsoft Copilot — revise actividad desde el 21 de enero
  5. REVISE: Controles de seguridad SSO — resistencia a omisión de MFA

Proteja Su Organización con KENSAI

Gestión de vulnerabilidades impulsada por IA con más de 333,000 CVE indexados.

Iniciar Escaneo Gratuito

Manténgase seguro. Manténgase vigilante.

🗡️ Equipo de Seguridad KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home