🛡️ Boletín Diario de Seguridad
Resumen: El FBI investiga una brecha en sus sistemas de vigilancia y escuchas. CISA añadió zero-days de iOS del kit de explotación Coruna al catálogo KEV. El APT chino UAT-9244 atacó telecomunicaciones sudamericanas con tres nuevos implantes. El APT iraní MuddyWater se infiltró en infraestructura crítica estadounidense. Una filtración masiva en el sector sanitario expuso 3,4 millones de registros de pacientes. El malware generado por IA está industrializando las operaciones de los actores de amenazas.
🔓 Filtraciones de datos & intrusiones
El FBI investiga la brecha en sus sistemas de vigilancia y escuchas
El FBI confirmó que investiga «actividad cibernética sospechosa» en los sistemas utilizados para gestionar órdenes de vigilancia y escuchas telefónicas. La brecha — reportada por primera vez por CNN — afectó redes que gestionan escuchas autorizadas judicialmente y vigilancia de inteligencia extranjera. El FBI afirma que el incidente ha sido «resuelto», pero el alcance sigue sin estar claro. Se examinan posibles vínculos con la campaña Salt Typhoon que comprometió telecomunicaciones estadounidenses en 2024.
La filtración de Cognizant TriZetto expone 3,4 millones de registros de pacientes
TriZetto Provider Solutions, empresa de TI sanitaria propiedad de Cognizant que presta servicios a aseguradoras y proveedores de salud, reveló una filtración que expuso datos de salud sensibles de más de 3,4 millones de pacientes. Los datos comprometidos incluyen información personal identificable (PII) e información de salud protegida (PHI). Es una de las mayores filtraciones sanitarias reportadas en 2026.
El APT iraní MuddyWater infiltrado en aeropuerto, banco y empresa de software de EE. UU.
Investigadores de Symantec y Carbon Black descubrieron que MuddyWater (Seedworm), un APT afiliado al MOIS iraní, ha establecido acceso persistente dentro de varias organizaciones estadounidenses — incluyendo bancos, aeropuertos y una organización sin fines de lucro — utilizando una nueva puerta trasera «Dindoor». La actividad comenzó en febrero de 2026 y se intensificó tras los ataques estadounidenses/israelíes a Irán. Una empresa de software del sector de defensa y aeroespacial también fue atacada a través de sus operaciones israelíes.
Foro cibercriminal LeakBase desmantelado, sospechosos arrestados
El mercado de credenciales robadas LeakBase, activo desde 2021 con 142.000 usuarios, fue confiscado por las fuerzas del orden y los sospechosos arrestados. El foro se especializaba en el comercio de credenciales filtradas y datos personales.
🐛 CVE críticos & vulnerabilidades explotadas
CISA añade 23 fallos de iOS del kit de explotación Coruna al KEV
CISA ordenó a las agencias federales parchear las vulnerabilidades de iOS explotadas por el kit Coruna — un toolkit de nivel estatal que apunta a 23 vulnerabilidades de iOS 13 a 17.2.1. Los fallos se han utilizado en operaciones de ciberespionaje y robo de criptomonedas. Esto supone una escalada significativa en los ataques dirigidos a dispositivos móviles.
Fallos en Cisco Catalyst SD-WAN explotados activamente (CVE-2026-20128 & CVE-2026-20122)
Cisco añadió dos vulnerabilidades recientemente parcheadas de Catalyst SD-WAN a su lista de fallos explotados activamente. CVE-2026-20128 y CVE-2026-20122 están siendo atacados activamente. Las organizaciones que utilizan Catalyst SD-WAN deben parchear de inmediato.
Vulnerabilidad de Rockwell ICS ahora explotada en ataques
Una vulnerabilidad de Rockwell Automation originalmente divulgada y mitigada en 2021 ahora está siendo explotada activamente en ataques contra sistemas de control industrial (ICS). El fallo permite el hackeo remoto de entornos ICS, poniendo en riesgo la infraestructura crítica.
Google: la mitad de los 90 zero-days de 2025 apuntaban a empresas
El análisis anual de zero-days de Google revela que 90 vulnerabilidades zero-day fueron explotadas activamente en 2025 — casi la mitad dirigidas a productos empresariales. Los proveedores de spyware y los actores estatales chinos fueron los grupos de amenazas más atribuidos. El giro hacia zero-days orientados a empresas señala una inversión creciente de los atacantes en objetivos de alto valor.
🌐 Campañas estatales & espionaje
El APT chino UAT-9244 ataca telecomunicaciones sudamericanas con 3 nuevos implantes
Cisco Talos identificó un APT vinculado a China (UAT-9244, asociado con FamousSparrow) que ataca infraestructura de telecomunicaciones sudamericana desde 2024. Se desplegaron tres implantes no documentados previamente: TernDoor (Windows), PeerTime/angrypeer (Linux) y BruteEntry (dispositivos edge). El cluster comparte solapamientos tácticos con Salt Typhoon, pero no se ha establecido un vínculo definitivo.
Transparent Tribe usa IA para producir malware políglota en masa
El grupo Transparent Tribe, alineado con Pakistán, ha adoptado herramientas de codificación asistidas por IA para generar grandes volúmenes de «binarios políglotas desechables» escritos en Nim, Zig y Crystal. Los implantes utilizan servicios de confianza (Slack, Discord, Supabase, Google Sheets) para C2. Los investigadores de Bitdefender lo describen como «industrialización del malware asistida por IA» — un cambio de sofisticación a volumen. Objetivos: India.
💀 Malware & Ransomware
Operador ruso de ransomware se declara culpable en EE. UU.
Evgenii Ptitsyn, un ciudadano ruso extraditado desde Corea del Sur en noviembre de 2024, se declaró culpable de cargos relacionados con ransomware en un tribunal estadounidense. Los detalles sobre la variante específica de ransomware y el número de víctimas no fueron completamente revelados, pero el caso subraya la cooperación internacional continua contra los operadores de ransomware.
VOID#GEIST: campaña multietapa que distribuye XWorm, AsyncRAT y Xeno RAT
Investigadores de Securonix documentaron una campaña sigilosa multietapa que usa scripts batch ofuscados para desplegar cargas RAT cifradas (XWorm, AsyncRAT, Xeno RAT) mediante runtimes Python legítimos e inyección Early Bird APC en explorer.exe. La técnica imita de cerca la actividad legítima del usuario para evadir la detección.
Guías falsas de instalación de Claude Code distribuyen infostealers («InstallFix»)
Una nueva variante de ingeniería social denominada «InstallFix» engaña a los usuarios para que ejecuten comandos maliciosos mientras supuestamente instalan herramientas CLI legítimas como Claude Code. Esta técnica derivada de ClickFix capitaliza la popularidad de las herramientas de desarrollo con IA para distribuir malware de robo de información.
Wikipedia afectada por un gusano JavaScript autopropagable
La Wikimedia Foundation sufrió un incidente de seguridad con un gusano JavaScript autopropagable que vandalizó páginas y se propagó por la plataforma. Aunque no es un ataque de malware tradicional, el incidente demuestra que las plataformas de confianza siguen siendo vulnerables a vectores de ataque creativos.
🏢 Industria de seguridad & financiación
ArmorCode recauda 16 M$ para su plataforma de gestión de exposición
ArmorCode aseguró 16 millones de dólares para acelerar su plataforma de gestión de postura de seguridad de aplicaciones (ASPM) y gestión de exposición. La inversión se destinará a innovación de producto y expansión comercial.
Evervault recauda 25 M$ en Serie B para su plataforma de cifrado
La empresa de seguridad de datos Evervault recaudó 25 millones de dólares en financiación Serie B, elevando su total a 46 millones. La plataforma orientada a desarrolladores ofrece capacidades de cifrado y orquestación de datos.
Reclaim Security recauda 20 M$ para acelerar la remediación
Reclaim Security recaudó 20 millones de dólares para ampliar su equipo de ingeniería, profundizar integraciones y acelerar la comercialización de su plataforma de seguridad centrada en la remediación.
📊 Patrones de amenazas emergentes
Industrialización del malware asistida por IA
Varios informes esta semana confirman que los actores de amenazas están armando herramientas de codificación IA — no por sofisticación, sino por volumen. El enfoque «vibeware» de Transparent Tribe inunda objetivos con binarios políglotas desechables. La campaña InstallFix explota la popularidad de las herramientas IA para ingeniería social. Bing AI fue descubierto promoviendo repositorios falsos de OpenClaw con infostealers. La tendencia es clara: la IA reduce la barrera para producir malware y señuelos en masa.
Infraestructura de telecomunicaciones bajo presión APT sostenida
Los APT chinos continúan atacando agresivamente la infraestructura de telecomunicaciones global. El nuevo arsenal de UAT-9244 (TernDoor, PeerTime, BruteEntry) se suma a las campañas anteriores de Salt Typhoon. Con el FBI investigando ahora brechas en sus propios sistemas de escuchas, la convergencia de la infraestructura de telecomunicaciones y vigilancia crea un riesgo acumulativo para la seguridad nacional.
Los zero-days empresariales superan a los objetivos de consumo
El informe de zero-days 2025 de Google confirma un cambio estructural: la mitad de los 90 zero-days explotados apuntaban a productos empresariales (no navegadores/móviles). Los proveedores de spyware y los actores estatales están invirtiendo más en superficies de ataque empresariales — VPN, appliances SD-WAN, sistemas ICS — donde la detección es más débil y el impacto mayor.