← Volver al blog
Security Briefing4 min read2026-04-23

Informe de seguridad, 23 de abril de 2026: fallo de notificaciones de Apple, gusano npm y puerta trasera GoGra con Graph API

La situación de amenazas de esta mañana no gira alrededor de un gran zero-day. Gira alrededor de límites de confianza que fallan en lugares conocidos: teléfonos, pipelines de desarrollo e identidad cloud empresarial.


Top line: Hoy importan tres señales: Apple publicó un parche fuera de ciclo para datos de notificaciones retenidos, el ecosistema npm está lidiando con un ataque de supply chain tipo gusano y una puerta trasera para Linux está abusando de Microsoft Graph y Outlook para mezclarse con el tráfico normal.


1. Apple publica un arreglo de emergencia para datos de notificaciones borradas que no desaparecían de verdad

Apple lanzó actualizaciones fuera de ciclo para iPhone y iPad para corregir CVE-2026-28950, un fallo por el que las notificaciones marcadas para borrado podían seguir almacenadas en el dispositivo. Eso importa porque las vistas previas de notificaciones pueden contener contenido de mensajes incluso cuando el usuario cree que los datos de la app ya no existen.


2. El nuevo ataque contra npm no solo roba secretos, también intenta propagarse como un gusano

Investigadores de Socket y StepSecurity dicen que paquetes npm comprometidos de Namastex Labs estaban robando tokens de publicación, claves API, claves SSH, credenciales cloud y datos de wallets del navegador, y luego intentaban volver a publicar paquetes infectados desde cualquier cuenta a la que podían llegar. Eso es una escalada seria frente a un compromiso normal de paquetes porque convierte cada token de mantenedor expuesto en un nuevo punto de lanzamiento.


3. GoGra muestra cómo el malware para Linux puede esconder el mando en tráfico aparentemente normal

Symantec afirma que la variante Linux de la puerta trasera GoGra usa credenciales Azure AD codificadas, Microsoft Graph API y una carpeta de Outlook para recibir comandos cifrados y devolver resultados cifrados. Eso significa que el malware no se comunica con un dominio obviamente sospechoso, sino que mezcla su command-and-control con un servicio cloud en el que los defensores suelen confiar por defecto.


Qué deben hacer hoy los equipos de seguridad

  1. Actualizar rápido los dispositivos Apple y endurecer la vista previa de notificaciones en iPhones y iPads de mayor riesgo.
  2. Buscar las versiones npm maliciosas listadas, eliminarlas y rotar todos los secretos potencialmente expuestos en CI, cloud, registros y portátiles de desarrollo.
  3. Revisar la telemetría de Microsoft Graph, OAuth y correo en busca de comportamientos operativamente raros, no solo de señales evidentemente maliciosas.
  4. Tratar las tres historias como una sola lección: la confianza se acumula en sistemas de fondo y los atacantes ganan cuando los defensores lo olvidan.

Fuentes


Bottom line: Conclusión: el hilo común hoy es la retención oculta y la confianza oculta. Los datos que creías borrados pueden seguir ahí, los paquetes que parecían rutinarios pueden propagar la intrusión y el tráfico cloud que parecía normal puede llevar comandos de atacantes.

Encuentra los fallos silenciosos de confianza antes que los atacantes

KENSAI ayuda a los equipos a descubrir rutas de ataque expuestas en identidad, cloud, herramientas de desarrollo y sistemas expuestos a Internet antes de que pequeñas roturas de confianza se conviertan en incidentes reales.

Escaneo gratis →

Mantente alerta.

🗡️ Equipo de Seguridad KENSAI