La señal de esta mañana es bastante clara: los atacantes siguen ganando mediante robo de sesión, exploits en documentos, phishing dirigido de credenciales y dependencias de la cadena de suministro. Chrome trae por fin una mejora defensiva real, pero el resto del informe recuerda que la identidad y la higiene del endpoint siguen decidiendo el resultado.
Resumen: un endurecimiento útil del navegador, un zero-day activo en PDF, dos campañas de intrusión dirigidas, una gran exposición en un SDK Android y más presión de parcheo sobre sistemas perimetrales.
Google desplegó Device Bound Session Credentials (DBSC) en Chrome 146 para Windows. La función vincula criptográficamente credenciales de sesión de corta duración a claves protegidas por hardware. En la práctica, un infostealer ya no puede robar una cookie en un equipo y reutilizarla en otro con la misma facilidad.
Eso importa porque el robo de cookies se ha convertido en uno de los caminos más rápidos para saltarse contraseñas y MFA. Chrome no elimina la infección, pero sí encarece el secuestro de sesión tras la intrusión.
Investigadores afirman que un zero-day desconocido de Adobe Reader ha sido explotado desde al menos diciembre de 2025 mediante archivos PDF manipulados. Las muestras ejecutan JavaScript ofuscado, recopilan información local, contactan un servidor remoto y podrían preparar ejecución de código posterior o escape de sandbox.
Eso es feo porque el PDF sigue siendo uno de los formatos más confiables dentro de los flujos empresariales. Si un exploit activo se oculta en una factura, la concienciación del usuario ya no basta.
Reportes vinculados a Cisco Talos describen LucidRook como un malware modular basado en Lua utilizado en campañas de spear-phishing contra ONG y universidades taiwanesas. El malware combina entrega por fases, DLL sideloading, fuerte ofuscación y carga externa de bytecode Lua.
Lo interesante no es solo la familia de malware, sino la disciplina operativa. Parece una campaña diseñada para acceso dirigido y recolección silenciosa, no para crimen masivo ruidoso.
La investigación de Abnormal sobre la plataforma cerrada de phishing-as-a-service VENOM muestra un enfoque muy claro en cuentas de alto nivel. El kit suplanta notificaciones de SharePoint, oculta datos del objetivo en fragmentos de URL, usa QR para mover la interacción al móvil y roba accesos mediante flujos adversary-in-the-middle y device-code.
Los defensores deberían dejar de maquillarlo: si todavía dependes de MFA estándar y políticas flojas de acceso condicional para tus directivos, vas perdiendo.
Microsoft detalló una vulnerabilidad ya corregida en el SDK EngageLab que podía permitir a una app maliciosa romper supuestos de aislamiento y acceder a datos privados de otras aplicaciones que usaban el mismo SDK. El alcance superó 50 millones de instalaciones, incluidas 30 millones de instalaciones de wallets cripto.
No hay evidencia pública de explotación maliciosa, pero la lección es obvia. Los SDK móviles de terceros ya forman parte de la superficie de ataque.
SecurityWeek también señaló nuevos parches de alta severidad de Palo Alto Networks y SonicWall. El riesgo concreto depende del producto, pero el patrón es el mismo: el edge expuesto sigue siendo una de las rutas más rápidas para alcanzar privilegios de administrador.
Fuentes seguidas para este informe: BleepingComputer, The Hacker News y SecurityWeek, publicados entre el 9 y el 10 de abril de 2026.
KENSAI ayuda a los equipos a detectar rutas de ataque expuestas, controles débiles de identidad y activos vulnerables orientados a internet antes de que se conviertan en un incidente.
Iniciar escaneo gratuito →Mantente alerta.
🗡️ KENSAI Security Team