← Volver al blog
Security Briefing4 min de lectura2026-04-21

Resumen de seguridad, 21 de abril de 2026: RCE en SGLang, suplantación en Microsoft Teams y malware OT ZionSiphon

La amenaza de esta mañana trata de flujos confiables que se vuelven hostiles. El serving de modelos de IA puede convertirse en ejecución remota de código, las plataformas de colaboración son lanzaderas de ingeniería social y el malware OT se acerca al sabotaje real.


Top line: Tres señales importan hoy: la infraestructura de IA ya es superficie de ataque, las plataformas de colaboración se usan para intrusión humana y el malware OT sigue acercándose a la disrupción física.


1. Una falla crítica en SGLang convierte archivos GGUF maliciosos en RCE

The Hacker News destacó CVE-2026-5760, un problema crítico de inyección de comandos en el endpoint de reranking de SGLang. Un archivo GGUF especialmente manipulado puede provocar ejecución arbitraria de código en el contexto del servicio SGLang. Si tu pila de IA importa, prueba o sirve artefactos de terceros, esto no es un problema de nicho, es un problema de producción.


2. Microsoft afirma que Teams se usa cada vez más para ataques de suplantación del helpdesk

BleepingComputer informó que los atacantes abusan de la colaboración externa de Microsoft Teams y luego se apoyan en herramientas administrativas legítimas para acceso y movimiento lateral. Funciona porque los empleados ya esperan interacciones de soporte por chat.


3. ZionSiphon demuestra que el malware OT sigue sondeando operaciones del sector del agua

The Hacker News también cubrió ZionSiphon, malware observado contra sistemas israelíes de tratamiento de agua y desalinización, con persistencia, manipulación local, escaneo de servicios OT y lógica de sabotaje alrededor de controles de cloro y presión. Que aún parezca inacabado es precisamente la razón para preocuparse ahora.


Qué deberían hacer hoy los equipos de seguridad

  1. Inventaria cualquier uso de SGLang y aplica parches o aísla primero los servicios expuestos de inferencia o reranking.
  2. Revisa la federación de Teams, las políticas de chat externo y conversaciones recientes tipo helpdesk.
  3. Pregunta a los equipos de OT e instalaciones si hubo anomalías recientes en controladores, subredes o USB.
  4. Explica a liderazgo el hilo común: hoy la primera línea son los flujos de trabajo confiables, no solo los sistemas perimetrales.

Bottom line: Conclusión: los atacantes de hoy no solo entran por huecos obvios. También viajan en archivos de modelos, flujos de chat y herramientas operativas que los defensores todavía tratan como familiares y seguras. Esa suposición tiene que morir.

Encuentra las rupturas de confianza antes de que se conviertan en incidentes

KENSAI ayuda a los equipos a descubrir rutas de ataque expuestas en cloud, colaboración, IA y sistemas expuestos a internet antes de que esos puntos débiles se conviertan en brechas.

Escaneo gratis →

Mantente alerta.

🗡️ Equipo de seguridad KENSAI