← Volver al blog
Resumen de seguridad5 min de lectura2026-05-07

Resumen de seguridad, 7 de mayo de 2026: zero-day de PAN-OS, escape de sandbox vm2, falsa bandera de MuddyWater y phishing AiTM de Microsoft

El patrón de esta mañana es claro: los atacantes están ganando abusando de la capa de confianza alrededor del sistema: el portal del firewall, el wrapper de la sandbox, el flujo de colaboración y la página de login que el usuario cree reconocer.


En una línea: restringe ya la exposición del Captive Portal de PAN-OS, parchea vm2 en cualquier sitio donde corra código no confiable, revisa incidentes de acceso remoto y extorsión vía Teams con lente de espionaje y trata el phishing de cumplimiento alojado en la nube como robo de tokens, no solo de contraseñas.


1. El Captive Portal de PAN-OS es hoy el problema más urgente en el borde de Internet

Palo Alto afirma que CVE-2026-0300 es un desbordamiento de búfer crítico en el User-ID Authentication Portal que permite ejecución de código con privilegios root sin autenticación en firewalls PA-Series y VM-Series expuestos. La explotación ya es real: si el portal está accesible desde IP no confiables, el riesgo está activo ahora mismo.


2. vm2 vuelve a demostrar que el JavaScript “en sandbox” no es una frontera de seguridad por sí sola

La falla vm2 CVE-2026-26956 permite salir de la sandbox y ejecutar código en el host, y ya existe PoC público. El impacto confirmado afecta a entornos Node.js 25 concretos, pero la lección es más amplia: si tu producto ejecuta JavaScript suministrado por usuarios, el wrapper forma parte del radio de impacto.


3. MuddyWater usa teatro de ransomware para ocultar espionaje

Los informes ligados a Rapid7 indican que MuddyWater utilizó Microsoft Teams, screen sharing, captura de credenciales, AnyDesk, DWAgent y mensajes de extorsión sin desplegar cifrado real de archivos. Chaos era el disfraz; la operación verdadera era acceso, persistencia y robo de datos.


4. La ola de phishing de “code of conduct” de Microsoft roba tokens en tiempo real

Microsoft vio más de 35.000 intentos en unas 13.000 organizaciones usando avisos internos falsos, PDFs señuelo, CAPTCHA de Cloudflare y páginas adversary-in-the-middle que proxifican el login de Microsoft. Eso importa porque el phishing AiTM supera el MFA débil capturando tokens de sesión, no solo contraseñas.


Qué deben hacer los equipos de seguridad antes del almuerzo

  1. Cerrar o restringir primero las superficies expuestas del Captive Portal de PAN-OS.
  2. Parchear vm2 y revisar cada ruta donde clientes o empleados ejecuten JavaScript en hosts compartidos.
  3. Elevar la ingeniería social por Teams al mismo playbook que el phishing por correo y el vishing.
  4. Actualizar la respuesta a phishing para priorizar revocación de tokens y revisión de sesiones, no solo cambio de contraseña.

Fuentes


Conclusión: el patrón de hoy es una inversión de confianza. Portales expuestos, runtimes de sandbox, herramientas de colaboración y páginas de inicio de sesión familiares se convierten en superficies de ataque cuando el envoltorio se confunde con el control.

Audita los límites de confianza que los atacantes sí están usando

KENSAI ayuda a los equipos a encontrar portales expuestos, sandboxes frágiles, rutas de acceso remoto riesgosas y flujos de identidad que colapsan bajo phishing real.

Iniciar escaneo gratis →

Mantente afilado.

🗡️ KENSAI Security Team