La señal de esta mañana es fea y conocida: herramientas de confianza, sistemas industriales expuestos, sesiones robadas y explotación casi instantánea. El único punto positivo es que el correo seguro por defecto por fin empieza a ser un poco más práctico en móvil.
Top line: Una brecha de cadena de suministro de software, una alerta de exposición OT, una campaña de robo de nómina, una RCE para herramientas de desarrollo explotada en menos de 10 horas y una victoria defensiva de Google.
Los atacantes comprometieron una API secundaria de CPUID durante unas seis horas y cambiaron los enlaces oficiales de descarga para redirigir a los usuarios de CPU-Z y HWMonitor hacia un instalador troyanizado de HWiNFO. Los investigadores dijeron que el malware era multietapa, muy ofuscado y probablemente centrado en robo de información. CPUID afirma que sus binarios firmados originales no fueron modificados, pero el límite de confianza ya se rompió, y eso es lo que importa.
Las agencias federales advirtieron que actores vinculados a Irán atacan desde marzo PLC de Rockwell Automation y Allen-Bradley, causando interrupciones y manipulando pantallas HMI y SCADA. Después, Censys contó 5.219 hosts expuestos a nivel global, con 3.891 en Estados Unidos. No es solo una mala métrica. Es una invitación permanente.
Microsoft dice que Storm-2755 usó páginas de phishing de Microsoft 365 tipo adversary-in-the-middle, robo de cookies de sesión, reglas ocultas de bandeja de entrada e ingeniería social sobre depósito directo para redirigir nóminas de empleados canadienses. La lección es directa: el MFA heredado no te salva cuando los atacantes roban la sesión autenticada.
Sysdig observó explotación de la falla pre-auth de ejecución remota de código en Marimo dentro de las 9 horas y 41 minutos posteriores a su divulgación pública. El bug estaba en el endpoint WebSocket /terminal/ws, que omitía autenticación y entregaba a los atacantes una shell interactiva en instancias expuestas. Esta es la nueva normalidad: las ventanas entre divulgación y explotación se están derrumbando.
Google afirma que el cifrado de extremo a extremo de Gmail ya está disponible en Android e iOS para usuarios enterprise, permitiendo leer y redactar mensajes protegidos en móvil sin herramientas adicionales. No resuelve el compromiso de identidad ni el robo del endpoint, pero sí reduce la excusa habitual de que el correo seguro es demasiado incómodo para el trabajo real.
Sources tracked for this briefing: Fuentes seguidas para este informe: BleepingComputer, The Hacker News y reportes de agencias federales o proveedores publicados entre el 10 y el 11 de abril de 2026.
KENSAI ayuda a los equipos a encontrar sistemas expuestos a Internet, flujos de identidad débiles y huecos peligrosos en la cadena de suministro de software antes de que se conviertan en incidentes.
Iniciar escaneo gratis →Manténganse afilados.
🗡️ KENSAI Security Team