剣 KENSAI
← Back to archive
KENSAI Intelligence

🛡️ Boletín Diario de Seguridad

Sábado, 7 de marzo de 2026 · Compilado de BleepingComputer, The Hacker News, SecurityWeek

Resumen: El FBI investiga una brecha en sus sistemas de vigilancia y escuchas. CISA añadió zero-days de iOS del kit de explotación Coruna al catálogo KEV. El APT chino UAT-9244 atacó telecomunicaciones sudamericanas con tres nuevos implantes. El APT iraní MuddyWater se infiltró en infraestructura crítica estadounidense. Una filtración masiva en el sector sanitario expuso 3,4 millones de registros de pacientes. El malware generado por IA está industrializando las operaciones de los actores de amenazas.

3
Campañas estatales
3,4 M
Registros expuestos
23
Vulnerabilidades iOS (Coruna Kit)
90
Zero-Days 2025 (Google)

🔓 Filtraciones de datos & intrusiones

El FBI investiga la brecha en sus sistemas de vigilancia y escuchas

El FBI confirmó que investiga «actividad cibernética sospechosa» en los sistemas utilizados para gestionar órdenes de vigilancia y escuchas telefónicas. La brecha — reportada por primera vez por CNN — afectó redes que gestionan escuchas autorizadas judicialmente y vigilancia de inteligencia extranjera. El FBI afirma que el incidente ha sido «resuelto», pero el alcance sigue sin estar claro. Se examinan posibles vínculos con la campaña Salt Typhoon que comprometió telecomunicaciones estadounidenses en 2024.

Crítico Gobierno de EE. UU.

La filtración de Cognizant TriZetto expone 3,4 millones de registros de pacientes

TriZetto Provider Solutions, empresa de TI sanitaria propiedad de Cognizant que presta servicios a aseguradoras y proveedores de salud, reveló una filtración que expuso datos de salud sensibles de más de 3,4 millones de pacientes. Los datos comprometidos incluyen información personal identificable (PII) e información de salud protegida (PHI). Es una de las mayores filtraciones sanitarias reportadas en 2026.

Crítico Salud

El APT iraní MuddyWater infiltrado en aeropuerto, banco y empresa de software de EE. UU.

Investigadores de Symantec y Carbon Black descubrieron que MuddyWater (Seedworm), un APT afiliado al MOIS iraní, ha establecido acceso persistente dentro de varias organizaciones estadounidenses — incluyendo bancos, aeropuertos y una organización sin fines de lucro — utilizando una nueva puerta trasera «Dindoor». La actividad comenzó en febrero de 2026 y se intensificó tras los ataques estadounidenses/israelíes a Irán. Una empresa de software del sector de defensa y aeroespacial también fue atacada a través de sus operaciones israelíes.

Alto Irán / APT

Foro cibercriminal LeakBase desmantelado, sospechosos arrestados

El mercado de credenciales robadas LeakBase, activo desde 2021 con 142.000 usuarios, fue confiscado por las fuerzas del orden y los sospechosos arrestados. El foro se especializaba en el comercio de credenciales filtradas y datos personales.

Fuerzas del orden
Fuente: SecurityWeek

🐛 CVE críticos & vulnerabilidades explotadas

CISA añade 23 fallos de iOS del kit de explotación Coruna al KEV

CISA ordenó a las agencias federales parchear las vulnerabilidades de iOS explotadas por el kit Coruna — un toolkit de nivel estatal que apunta a 23 vulnerabilidades de iOS 13 a 17.2.1. Los fallos se han utilizado en operaciones de ciberespionaje y robo de criptomonedas. Esto supone una escalada significativa en los ataques dirigidos a dispositivos móviles.

Crítico iOS / Móvil KEV

Fallos en Cisco Catalyst SD-WAN explotados activamente (CVE-2026-20128 & CVE-2026-20122)

Cisco añadió dos vulnerabilidades recientemente parcheadas de Catalyst SD-WAN a su lista de fallos explotados activamente. CVE-2026-20128 y CVE-2026-20122 están siendo atacados activamente. Las organizaciones que utilizan Catalyst SD-WAN deben parchear de inmediato.

Crítico Infraestructura de red
Fuente: SecurityWeek

Vulnerabilidad de Rockwell ICS ahora explotada en ataques

Una vulnerabilidad de Rockwell Automation originalmente divulgada y mitigada en 2021 ahora está siendo explotada activamente en ataques contra sistemas de control industrial (ICS). El fallo permite el hackeo remoto de entornos ICS, poniendo en riesgo la infraestructura crítica.

Crítico ICS / OT
Fuente: SecurityWeek

Google: la mitad de los 90 zero-days de 2025 apuntaban a empresas

El análisis anual de zero-days de Google revela que 90 vulnerabilidades zero-day fueron explotadas activamente en 2025 — casi la mitad dirigidas a productos empresariales. Los proveedores de spyware y los actores estatales chinos fueron los grupos de amenazas más atribuidos. El giro hacia zero-days orientados a empresas señala una inversión creciente de los atacantes en objetivos de alto valor.

Alto Investigación / Tendencia
Fuente: SecurityWeek

🌐 Campañas estatales & espionaje

El APT chino UAT-9244 ataca telecomunicaciones sudamericanas con 3 nuevos implantes

Cisco Talos identificó un APT vinculado a China (UAT-9244, asociado con FamousSparrow) que ataca infraestructura de telecomunicaciones sudamericana desde 2024. Se desplegaron tres implantes no documentados previamente: TernDoor (Windows), PeerTime/angrypeer (Linux) y BruteEntry (dispositivos edge). El cluster comparte solapamientos tácticos con Salt Typhoon, pero no se ha establecido un vínculo definitivo.

China / APT Telecomunicaciones

Transparent Tribe usa IA para producir malware políglota en masa

El grupo Transparent Tribe, alineado con Pakistán, ha adoptado herramientas de codificación asistidas por IA para generar grandes volúmenes de «binarios políglotas desechables» escritos en Nim, Zig y Crystal. Los implantes utilizan servicios de confianza (Slack, Discord, Supabase, Google Sheets) para C2. Los investigadores de Bitdefender lo describen como «industrialización del malware asistida por IA» — un cambio de sofisticación a volumen. Objetivos: India.

Pakistán / APT Alto

💀 Malware & Ransomware

Operador ruso de ransomware se declara culpable en EE. UU.

Evgenii Ptitsyn, un ciudadano ruso extraditado desde Corea del Sur en noviembre de 2024, se declaró culpable de cargos relacionados con ransomware en un tribunal estadounidense. Los detalles sobre la variante específica de ransomware y el número de víctimas no fueron completamente revelados, pero el caso subraya la cooperación internacional continua contra los operadores de ransomware.

Ransomware Fuerzas del orden
Fuente: SecurityWeek

VOID#GEIST: campaña multietapa que distribuye XWorm, AsyncRAT y Xeno RAT

Investigadores de Securonix documentaron una campaña sigilosa multietapa que usa scripts batch ofuscados para desplegar cargas RAT cifradas (XWorm, AsyncRAT, Xeno RAT) mediante runtimes Python legítimos e inyección Early Bird APC en explorer.exe. La técnica imita de cerca la actividad legítima del usuario para evadir la detección.

Alto RAT / Malware

Guías falsas de instalación de Claude Code distribuyen infostealers («InstallFix»)

Una nueva variante de ingeniería social denominada «InstallFix» engaña a los usuarios para que ejecuten comandos maliciosos mientras supuestamente instalan herramientas CLI legítimas como Claude Code. Esta técnica derivada de ClickFix capitaliza la popularidad de las herramientas de desarrollo con IA para distribuir malware de robo de información.

Alto Ingeniería social

Wikipedia afectada por un gusano JavaScript autopropagable

La Wikimedia Foundation sufrió un incidente de seguridad con un gusano JavaScript autopropagable que vandalizó páginas y se propagó por la plataforma. Aunque no es un ataque de malware tradicional, el incidente demuestra que las plataformas de confianza siguen siendo vulnerables a vectores de ataque creativos.

Seguridad web

🏢 Industria de seguridad & financiación

ArmorCode recauda 16 M$ para su plataforma de gestión de exposición

ArmorCode aseguró 16 millones de dólares para acelerar su plataforma de gestión de postura de seguridad de aplicaciones (ASPM) y gestión de exposición. La inversión se destinará a innovación de producto y expansión comercial.

Financiación
Fuente: SecurityWeek

Evervault recauda 25 M$ en Serie B para su plataforma de cifrado

La empresa de seguridad de datos Evervault recaudó 25 millones de dólares en financiación Serie B, elevando su total a 46 millones. La plataforma orientada a desarrolladores ofrece capacidades de cifrado y orquestación de datos.

Financiación
Fuente: SecurityWeek

Reclaim Security recauda 20 M$ para acelerar la remediación

Reclaim Security recaudó 20 millones de dólares para ampliar su equipo de ingeniería, profundizar integraciones y acelerar la comercialización de su plataforma de seguridad centrada en la remediación.

Financiación
Fuente: SecurityWeek

📊 Patrones de amenazas emergentes

Industrialización del malware asistida por IA

Varios informes esta semana confirman que los actores de amenazas están armando herramientas de codificación IA — no por sofisticación, sino por volumen. El enfoque «vibeware» de Transparent Tribe inunda objetivos con binarios políglotas desechables. La campaña InstallFix explota la popularidad de las herramientas IA para ingeniería social. Bing AI fue descubierto promoviendo repositorios falsos de OpenClaw con infostealers. La tendencia es clara: la IA reduce la barrera para producir malware y señuelos en masa.

Alto Tendencia

Infraestructura de telecomunicaciones bajo presión APT sostenida

Los APT chinos continúan atacando agresivamente la infraestructura de telecomunicaciones global. El nuevo arsenal de UAT-9244 (TernDoor, PeerTime, BruteEntry) se suma a las campañas anteriores de Salt Typhoon. Con el FBI investigando ahora brechas en sus propios sistemas de escuchas, la convergencia de la infraestructura de telecomunicaciones y vigilancia crea un riesgo acumulativo para la seguridad nacional.

Crítico Tendencia

Los zero-days empresariales superan a los objetivos de consumo

El informe de zero-days 2025 de Google confirma un cambio estructural: la mitad de los 90 zero-days explotados apuntaban a productos empresariales (no navegadores/móviles). Los proveedores de spyware y los actores estatales están invirtiendo más en superficies de ataque empresariales — VPN, appliances SD-WAN, sistemas ICS — donde la detección es más débil y el impacto mayor.

Alto Tendencia