KENSAI Security Intelligence
Informe Diario de Amenazas
Domingo, 8 de marzo de 2026 — 04:00 CET
3
Críticas
5
Filtraciones
13
Nuevos CVEs
2
Herramientas
Filtraciones de Datos Principales
El proveedor de TI sanitaria TriZetto Provider Solutions (filial de Cognizant) reveló una brecha que expuso datos de salud confidenciales — incluyendo historiales médicos, información de seguros y datos personales — de 3,4 millones de pacientes. La brecha afecta a aseguradoras y proveedores de salud que utilizan la plataforma de software de TriZetto. Notificación HIPAA en curso.
El FBI confirmó que está investigando una brecha en los sistemas utilizados para gestionar órdenes de vigilancia y operaciones de escuchas telefónicas. Se emitió una notificación al Congreso. El alcance y la atribución siguen bajo investigación, lo que genera serias preocupaciones de seguridad nacional sobre la exposición de datos de las fuerzas del orden.
Transport for London (TfL) reveló que una filtración de datos en sus sistemas ha afectado aproximadamente a 10 millones de registros de clientes, incluyendo datos de tarjetas Oyster e información de contacto.
Un ciudadano ghanés se declaró culpable por su participación en una red de fraude masiva que robó más de $100 millones a víctimas estadounidenses mediante compromiso de correo electrónico empresarial (BEC) y estafas románticas. La operación multianual tuvo como objetivo empresas y particulares.
El ciudadano ruso Evgenii Ptitsyn, extraditado desde Corea del Sur en noviembre de 2024, se declaró culpable en un tribunal federal de EE.UU. por operar infraestructura de ransomware dirigida contra organizaciones estadounidenses.
CVEs Críticos y Vulnerabilidades
CISA KEV: Kit de exploits Coruna apunta a iOS 13–17.2.1
CISA ordenó a las agencias federales de EE.UU. parchear tres vulnerabilidades de iOS explotadas activamente por el kit de exploits Coruna — un conjunto de herramientas de nivel estatal que apunta a 23 vulnerabilidades de iOS desde iOS 13 hasta 17.2.1. Utilizado en ataques de ciberespionaje y robo de criptomonedas.
Vulnerabilidad ICS de Rockwell — Explotación activa confirmada
Una vulnerabilidad de Rockwell Automation (divulgada y parcheada en 2021) que permite el hackeo remoto de ICS está ahora confirmada como activamente explotada en entornos reales. Las organizaciones con sistemas Rockwell sin parchear enfrentan un riesgo inmediato en sus entornos de control industrial.
OpenAI Codex Security — Nuevos CVEs encontrados en software de código abierto
El escáner OpenAI Codex Security identificó 792 hallazgos críticos y 10.561 de alta severidad en 1,2M de commits. Nuevos CVEs emitidos para:
- CVE-2026-24881/82 GnuPG — fallos en la implementación criptográfica
- CVE-2025-32988/89 GnuTLS — vulnerabilidades en la biblioteca TLS
- CVE-2025-64175 GOGS — vulnerabilidad en servidor de alojamiento Git
- CVE-2026-25242 GOGS — problema de seguridad adicional
- CVE-2025-35430–36 Thorium — 7 vulnerabilidades en la herramienta de detección de radiación de CISA
Más de 100 repositorios de GitHub distribuyen el stealer BoryptGrab
Se descubrieron más de 100 repositorios maliciosos de GitHub distribuyendo el malware stealer BoryptGrab, dirigido a datos del navegador, credenciales de billeteras de criptomonedas, información del sistema y archivos de usuario. Se disfraza como proyectos legítimos de código abierto.
Actividad de Ransomware y APT
El grupo de ransomware "Velvet Tempest" está desplegando Termite ransomware mediante la técnica de ingeniería social ClickFix, utilizando utilidades legítimas de Windows para cargar lateralmente DonutLoader y el backdoor CastleRAT. Combina ingeniería social con LOLBins para evasión de defensas.
El APT iraní MuddyWater (Seedworm), afiliado al MOIS, se infiltró en bancos y aeropuertos de EE.UU., una ONG canadiense y la filial israelí de una empresa de software de defensa/aeroespacial. Se desplegó el nuevo backdoor "Dindoor". La actividad se intensificó tras los ataques militares de EE.UU./Israel contra Irán.
El APT Transparent Tribe, alineado con Pakistán, utiliza herramientas de codificación con IA para producir en masa implantes de malware desechables en Nim, Zig y Crystal. Aprovecha Slack, Discord, Supabase y Google Sheets para C2. Bitdefender lo denomina "industrialización del malware asistida por IA" — inundando objetivos con binarios políglotas generados por IA ("vibeware") para saturar la detección.
Securonix descubrió una campaña multietapa que utiliza scripts batch ofuscados para entregar XWorm, AsyncRAT y Xeno RAT. Emplea un entorno de ejecución Python embebido e inyección Early Bird APC en explorer.exe — ejecución completamente en memoria. La entrega basada en scripts imita la actividad legítima del usuario.
Cisco Talos rastrea al grupo UAT-9244, vinculado a China (asociado con FamousSparrow, con superposición con Salt Typhoon), que ataca infraestructura de telecomunicaciones en Sudamérica desde 2024. Tres implantes desplegados: TernDoor, PeerTime y BruteEntry — dirigidos a Windows, Linux y dispositivos de borde.
Lanzamientos de Herramientas de Seguridad e Industria
OpenAI Codex Security — Escáner de vulnerabilidades impulsado por IA (vista previa de investigación)
OpenAI lanzó Codex Security en vista previa de investigación — un escáner de seguridad agéntico que construye modelos de amenazas a nivel de proyecto y valida hallazgos en entornos aislados. Escaneó 1,2M de commits, encontró 10.561 problemas de alta severidad con una reducción superior al 50% en falsos positivos respecto a iteraciones anteriores. Gratuito durante 30 días para usuarios de ChatGPT Pro/Enterprise/Business. Relevancia para KENSAI: Competidor potencial en detección de vulnerabilidades con IA — pero opera a nivel de código, no a nivel de infraestructura como KENSAI.
Starkiller — Nueva plataforma de Phishing-as-a-Service (alerta de amenaza)
La nueva plataforma PhaaS "Starkiller" utiliza Chrome headless en contenedores Docker para proxificar dinámicamente páginas de inicio de sesión reales (Apple, Google, Microsoft, etc.), capturando credenciales y tokens MFA en tiempo real. Usa el truco de "@" en URLs para engaño visual (ej.: login.microsoft.com@malicious.ru). Analizada por Abnormal AI. Evade la detección tradicional de phishing estático.
Rondas de financiación: ArmorCode ($16M) y Evervault ($25M Serie B)
ArmorCode recaudó $16M para su plataforma de gestión de exposición. Evervault recaudó $25M en Serie B (total $46M) para cifrado y orquestación de datos orientada a desarrolladores. Ambas señalan el continuo apetito inversor por herramientas de AppSec y seguridad de datos.
Patrones de Amenazas Emergentes
La weaponización de la IA alcanza masa crítica
Microsoft advirtió que los hackers están abusando de la IA "en cada etapa de los ciberataques" — desde el reconocimiento hasta la generación de payloads y la post-explotación. Combinado con el "vibeware" de Transparent Tribe (malware producido masivamente con IA) y los ataques falsos de instalación de Claude Code, estamos viendo tres patrones convergentes:
1. Malware generado por IA a escala — APTs utilizando herramientas de IA para producir implantes desechables en volumen en lenguajes exóticos
2. Suplantación de herramientas de IA — guías de instalación falsas para Claude Code, Codex y otros CLIs de IA que distribuyen infostealers
3. Defensa impulsada por IA — OpenAI Codex Security entra al mercado como agente de seguridad con IA
1. Malware generado por IA a escala — APTs utilizando herramientas de IA para producir implantes desechables en volumen en lenguajes exóticos
2. Suplantación de herramientas de IA — guías de instalación falsas para Claude Code, Codex y otros CLIs de IA que distribuyen infostealers
3. Defensa impulsada por IA — OpenAI Codex Security entra al mercado como agente de seguridad con IA
Google: La mitad de los 90 zero-days de 2025 apuntaron a empresas
El análisis anual de zero-days de Google muestra que 45 de los 90 zero-days explotados en 2025 se dirigieron a productos empresariales (no a consumidores). Los proveedores de spyware y los actores estatales chinos lideran la atribución. El cambio hacia el objetivo empresarial continúa acelerándose — los appliances de red, herramientas de seguridad y plataformas de colaboración son los objetivos principales.
Revisión de la estrategia cibernética de EE.UU. bajo la administración Trump
La nueva estrategia cibernética de EE.UU. exige una disuasión más fuerte contra adversarios cibernéticos, modernización de redes federales, mandatos de protección de infraestructura crítica e inversión en IA y criptografía post-cuántica. Se nombró al nuevo CISO del Pentágono, James "Aaron" Bishop, en sustitución de David McKeown.
🎯 Acciones Recomendadas para KENSAI
- Detección de ClickFix/InstallFix: Tanto el ransomware Termite como las guías falsas de instalación de CLIs de IA usan variantes de ClickFix — actualizar firmas de detección y publicar sobre esta tendencia
- Inteligencia competitiva: OpenAI Codex Security ya está activo — diferenciar el escaneo a nivel de infraestructura de KENSAI frente al enfoque a nivel de código de Codex en los materiales de marketing
- Enfoque NIS2: La brecha sanitaria de TriZetto (3,4M de registros) es un caso de estudio perfecto para contenido sobre cumplimiento NIS2 en salud
- ICS/OT: La explotación de Rockwell confirma que los sistemas ICS heredados sin parchear siguen siendo objetivos de alto valor — relevante para las capacidades de escaneo de infraestructura de KENSAI
- Cadena de suministro: Más de 100 repositorios maliciosos en GitHub (BoryptGrab) refuerzan la necesidad de SBOM y escaneo de dependencias — oportunidad de funcionalidad para KENSAI