← Back to Blog
Informe de seguridad 4 min read 2026-04-11

Informe de seguridad, 11 de abril de 2026: ataque a la cadena de suministro de CPUID, PLC Rockwell expuestos, piratería de nómina, RCE de Marimo y Gmail E2EE en móvil

La señal de esta mañana es fea y conocida: herramientas de confianza, sistemas industriales expuestos, sesiones robadas y explotación casi instantánea. El único punto positivo es que el correo seguro por defecto por fin empieza a ser un poco más práctico en móvil.


Top line: Una brecha de cadena de suministro de software, una alerta de exposición OT, una campaña de robo de nómina, una RCE para herramientas de desarrollo explotada en menos de 10 horas y una victoria defensiva de Google.


1. La cadena de descarga de CPUID fue envenenada

Los atacantes comprometieron una API secundaria de CPUID durante unas seis horas y cambiaron los enlaces oficiales de descarga para redirigir a los usuarios de CPU-Z y HWMonitor hacia un instalador troyanizado de HWiNFO. Los investigadores dijeron que el malware era multietapa, muy ofuscado y probablemente centrado en robo de información. CPUID afirma que sus binarios firmados originales no fueron modificados, pero el límite de confianza ya se rompió, y eso es lo que importa.


2. Casi 4.000 PLC Rockwell de EE. UU. siguen expuestos en línea

Las agencias federales advirtieron que actores vinculados a Irán atacan desde marzo PLC de Rockwell Automation y Allen-Bradley, causando interrupciones y manipulando pantallas HMI y SCADA. Después, Censys contó 5.219 hosts expuestos a nivel global, con 3.891 en Estados Unidos. No es solo una mala métrica. Es una invitación permanente.


3. Storm-2755 roba salarios, no solo acceso al correo

Microsoft dice que Storm-2755 usó páginas de phishing de Microsoft 365 tipo adversary-in-the-middle, robo de cookies de sesión, reglas ocultas de bandeja de entrada e ingeniería social sobre depósito directo para redirigir nóminas de empleados canadienses. La lección es directa: el MFA heredado no te salva cuando los atacantes roban la sesión autenticada.


4. Marimo CVE-2026-39987 fue explotado casi de inmediato

Sysdig observó explotación de la falla pre-auth de ejecución remota de código en Marimo dentro de las 9 horas y 41 minutos posteriores a su divulgación pública. El bug estaba en el endpoint WebSocket /terminal/ws, que omitía autenticación y entregaba a los atacantes una shell interactiva en instancias expuestas. Esta es la nueva normalidad: las ventanas entre divulgación y explotación se están derrumbando.


5. El cifrado de extremo a extremo de Gmail por fin llega al móvil

Google afirma que el cifrado de extremo a extremo de Gmail ya está disponible en Android e iOS para usuarios enterprise, permitiendo leer y redactar mensajes protegidos en móvil sin herramientas adicionales. No resuelve el compromiso de identidad ni el robo del endpoint, pero sí reduce la excusa habitual de que el correo seguro es demasiado incómodo para el trabajo real.


Qué deberían hacer hoy los equipos de seguridad

  1. Auditar rutas de distribución de software de confianza.
  2. Aislar o retirar activos OT expuestos a Internet.
  3. Endurecer los flujos de identidad de nómina y RR. HH.
  4. Parchear herramientas de desarrollo expuestas el mismo día del advisory.
  5. Ampliar la mensajería móvil segura para equipos sensibles.

Sources tracked for this briefing: Fuentes seguidas para este informe: BleepingComputer, The Hacker News y reportes de agencias federales o proveedores publicados entre el 10 y el 11 de abril de 2026.

Recorte el tiempo con el que cuentan los atacantes

KENSAI ayuda a los equipos a encontrar sistemas expuestos a Internet, flujos de identidad débiles y huecos peligrosos en la cadena de suministro de software antes de que se conviertan en incidentes.

Iniciar escaneo gratis →

Manténganse afilados.

🗡️ KENSAI Security Team