剣 KENSAI
← Back to archive

🛡️ KENSAI Inteligencia de Seguridad

Informe diario de amenazas — Lunes, 9 de marzo de 2026 · Generado automáticamente a las 04:00 CET

5
Actores de amenaza
3
CVEs críticos
2
Lanzamientos de herramientas
4
Brechas de seguridad

⚡ TL;DR — Noticias principales

  • El FBI investiga una brecha en un sistema con datos de vigilancia sensibles
  • Brecha de Cognizant TriZetto expone datos de salud de 3,4 M de pacientes
  • Cisco SD-WAN CVE-2026-20127 ahora ampliamente explotado en la naturaleza
  • Anthropic encontró 22 vulnerabilidades en Firefox con Claude Opus 4.6 en dos semanas
  • MuddyWater de Irán infiltrado en bancos y aeropuertos de EE.UU. con nueva backdoor Dindoor
  • El malware codificado con IA se generaliza — Transparent Tribe produce en masa «vibeware»

🔓 Brechas de datos e intrusiones

El FBI investiga la brecha de un sistema de vigilancia sensible

Crítico Gob. EE.UU.

El FBI está investigando actividad cibernética «sospechosa» en un sistema que contiene información de vigilancia sensible. La agencia trabaja para determinar el alcance y el impacto, según una notificación enviada al Congreso. El sistema comprometido contendría datos relacionados con FISA.

Fuente: SecurityWeek

La brecha de Cognizant TriZetto expone 3,4 millones de registros de pacientes

Alto Salud

La empresa de tecnología sanitaria TriZetto Provider Solutions (subsidiaria de Cognizant) sufrió una brecha que expuso información de salud sensible de más de 3,4 millones de personas. La empresa desarrolla software utilizado por aseguradoras y proveedores de salud en todo EE.UU.

La brecha de datos de Transport for London afecta a 10 millones

Alto UK Transporte

Transport for London (TfL) confirmó una brecha de datos que afecta a aproximadamente 10 millones de personas. Los detalles están surgiendo tras un incidente cibernético anterior en el operador de transporte británico.

Fuente: SecurityWeek

La APT iraní MuddyWater infiltrada en bancos, aeropuertos y empresas de software de EE.UU.

Crítico Estado-nación Irán

Symantec de Broadcom descubrió que el grupo iraní MuddyWater (Seedworm) se ha infiltrado en redes de bancos, aeropuertos estadounidenses, una organización sin fines de lucro y la filial israelí de una empresa de software de defensa/aeroespacial. La campaña utiliza una nueva backdoor denominada «Dindoor» y comenzó a principios de febrero de 2026, con actividad intensificada tras los ataques estadounidenses-israelíes contra Irán.

🐛 CVEs críticos y exploits

CVE-2026-20127 — Cisco Catalyst SD-WAN (Ampliamente explotado)

Crítico Red

WatchTowr informa de intentos de explotación desde numerosas IPs únicas dirigidas a esta vulnerabilidad de Cisco Catalyst SD-WAN. Las organizaciones con infraestructura SD-WAN afectada deben parchear de inmediato.

Fuente: SecurityWeek

CISA añade las vulnerabilidades Hikvision y Rockwell CVSS 9.8 al catálogo KEV

CVSS 9.8 ICS/OT

CISA añadió dos vulnerabilidades críticas a su catálogo de vulnerabilidades explotadas conocidas: CVE-2017-7921 (autenticación incorrecta de Hikvision) y una vulnerabilidad de Rockwell Automation que permite el hackeo remoto de ICS. Ambas tienen evidencia de explotación activa.

CISA ordena a las agencias federales parchear vulnerabilidades iOS — Coruna Exploit Kit

Alto Móvil Spyware

CISA ordenó a las agencias federales de EE.UU. parchear tres vulnerabilidades iOS atacadas por el kit de explotación «Coruna» de grado estatal, que apunta a 23 vulnerabilidades de iOS 13 a 17.2.1. Utilizado en campañas de ciberespionaje y robo de criptomonedas.

Anthropic descubre 22 vulnerabilidades en Firefox con IA

14 de alta severidad Navegador

Claude Opus 4.6 de Anthropic encontró 22 vulnerabilidades en Firefox (14 altas, 7 moderadas, 1 baja) en solo dos semanas — casi un quinto de todos los bugs de alta severidad parcheados en Firefox en 2025. Se detectó un use-after-free en solo 20 minutos. Corregido en Firefox 148. Anthropic también demostró una capacidad limitada de generación de exploits (4.000 $ en créditos API, 2 exploits exitosos de cientos de intentos).

💀 Ransomware y malware

Ransomware Termite vinculado a ataques ClickFix + CastleRAT

Alto Ransomware

El grupo de amenaza Velvet Tempest despliega el ransomware Termite utilizando la técnica de ingeniería social ClickFix y utilidades legítimas de Windows para distribuir DonutLoader y la backdoor CastleRAT. La técnica ClickFix continúa evolucionando entre múltiples actores de amenaza.

Las campañas ClickFix proliferan — ahora usando Windows Terminal

Alto Ingeniería social

Microsoft reveló una nueva variante de ClickFix que usa Windows Terminal (en lugar del cuadro de diálogo Ejecutar) para desplegar Lumma Stealer. Por separado, una nueva variante «InstallFix» apunta a usuarios con guías falsas de instalación de Claude Code para distribuir infostealers. ClickFix es ahora el vector de ingeniería social dominante entre múltiples grupos de amenaza.

VOID#GEIST: campaña multietapa que distribuye XWorm, AsyncRAT, Xeno RAT

Malware RAT

Securonix descubrió una campaña de malware multietapa que utiliza scripts batch ofuscados para entregar cargas útiles RAT cifradas. Usa runtime legítimo de Python e inyección Early Bird APC en explorer.exe. Demuestra la tendencia hacia la distribución basada en scripts que imita la actividad legítima del usuario.

Más de 100 repositorios de GitHub distribuyen el stealer BoryptGrab

Alto Cadena de suministro

Se encontraron más de 100 repositorios de GitHub distribuyendo el stealer BoryptGrab dirigido a datos del navegador, billeteras de criptomonedas, información del sistema y archivos de usuario. Parte de la tendencia creciente de abusar de plataformas de desarrollo de confianza para la distribución de malware.

Fuente: SecurityWeek

🕵️ Actividad de estados-nación y APT

Transparent Tribe — Producción masiva de «vibeware» generado por IA

Pakistán IA-Malware India

El grupo Transparent Tribe, alineado con Pakistán, utiliza herramientas de codificación con IA para producir en masa implantes de malware en lenguajes menos conocidos (Nim, Zig, Crystal), alojados en Slack, Discord, Supabase y Google Sheets. Bitdefender lo denomina «industrialización del malware asistida por IA» — inundando objetivos con binarios políglotas desechables. Un momento histórico en las operaciones ofensivas habilitadas por IA.

UAT-9244 vinculado a China ataca telecomunicaciones sudamericanas

China Telecom APT

Cisco Talos rastrea a UAT-9244 (vinculado a FamousSparrow / posible solapamiento con Salt Typhoon) que ataca infraestructura de telecomunicaciones crítica en Sudamérica desde 2024. Utiliza tres implantes: TernDoor, PeerTime y BruteEntry en Windows, Linux y dispositivos de borde.

Hackers abusan de DNS .arpa e IPv6 para evadir defensas contra phishing

Evasión Phishing

Actores de amenaza explotan el dominio de uso especial .arpa y el DNS inverso IPv6 en campañas de phishing para eludir verificaciones de reputación de dominio y puertas de enlace de seguridad de correo electrónico. Una técnica de evasión novedosa que sortea el filtrado URL tradicional.

🔧 Herramientas de seguridad y lanzamientos

OpenAI Codex Security — Escáner de vulnerabilidades con IA

Lanzamiento de herramienta Seguridad IA

OpenAI lanzó Codex Security en vista previa de investigación — un agente impulsado por IA que encuentra, valida y propone correcciones de vulnerabilidades. Escaneó 1,2 M de commits en beta, encontró 10.561 problemas de alta severidad. Disponible para ChatGPT Pro/Enterprise/Business/Edu. Gratis el primer mes. Nota competitiva: Competidor directo de las capacidades de escaneo automatizado de KENSAI.

ArmorCode recauda 16 M$ para su plataforma de gestión de exposición

Financiación AppSec

ArmorCode recaudó 16 M$ para acelerar el desarrollo de su plataforma de gestión de exposición. La empresa se enfoca en la gestión de postura de seguridad de aplicaciones (ASPM) y la consolidación de la gestión de vulnerabilidades.

Fuente: SecurityWeek

Evervault recauda 25 M$ en Serie B para plataforma de cifrado para desarrolladores

Financiación Seguridad de datos

La empresa de seguridad de datos Evervault recaudó 25 M$ (Serie B, 46 M$ en total) para su plataforma de cifrado y orquestación orientada a desarrolladores. Demanda creciente del mercado por soluciones de privacidad por diseño.

Fuente: SecurityWeek

📊 Tendencias emergentes y análisis

Microsoft: los hackers usan IA en cada etapa de los ciberataques

Tendencia Amenazas IA

Microsoft advierte que los actores de amenaza están utilizando cada vez más la IA en todas las etapas — reconocimiento, ingeniería social, desarrollo de malware, movimiento lateral y exfiltración de datos. La IA reduce las barreras técnicas y acelera los plazos de ataque. Combinado con el vibeware de Transparent Tribe y los hallazgos de Firefox de Anthropic, marzo de 2026 marca un claro punto de inflexión para la IA tanto en ataque como en defensa.

Google: la mitad de los 90 zero-days de 2025 apuntaron a empresas

Tendencia Zero-Day

El análisis anual de zero-days de Google revela 90 zero-days explotados en 2025, con casi la mitad dirigidos a productos empresariales. Los proveedores de spyware y los grupos vinculados a China lideraron la atribución. El giro hacia el objetivo empresarial subraya la necesidad de una gestión proactiva de vulnerabilidades.

Fuente: SecurityWeek

Ingeniería social ClickFix — El vector dominante de 2026

Tendencia Ingeniería social

ClickFix y sus variantes (InstallFix, distribución de CastleRAT) son ahora utilizados por al menos 3 grupos de amenaza distintos (Velvet Tempest, campañas genéricas de Lumma, instaladores falsos de herramientas CLI). La técnica engaña a los usuarios para que ejecuten comandos maliciosos haciéndose pasar por procedimientos de instalación o reparación. Se ha convertido en la técnica de ingeniería social preferida para 2026.

Actualización de la ciberestrategia de EE.UU. y cambios de liderazgo en el Pentágono

Política Gob. EE.UU.

La nueva ciberestrategia de Trump enfatiza una disuasión más fuerte, modernización de redes federales, protección de infraestructura crítica e inversión en IA + criptografía post-cuántica. James «Aaron» Bishop designado como nuevo CISO del Pentágono, reemplazando a David McKeown tras 40 años de servicio gubernamental.

Fuente: SecurityWeek

🎯 Relevancia KENSAI

Inteligencia competitiva

OpenAI Codex Security lanzado como competidor directo en el espacio de escaneo de vulnerabilidades con IA. Diferenciador clave para KENSAI: Codex se centra en el escaneo de código/commits mientras que KENSAI ofrece pentesting full-stack (DAST + infraestructura). Posicionar KENSAI como la «evaluación de seguridad completa» vs. el enfoque «solo código» de Codex.

Oportunidades de contenido

Artículo «IA vs. IA» — Cómo la IA encuentra vulnerabilidades (Anthropic/Firefox) y cómo la IA crea malware (Transparent Tribe). KENSAI como lado defensivo de esta carrera armamentística.
Guía de concientización sobre ClickFix — Múltiples variantes ahora activas; escribir una guía de detección/prevención.
Cobertura de CVE — CVE-2026-20127 (Cisco SD-WAN) está siendo explotado activamente; añadir a la base de datos CVE de KENSAI si no está presente.

Compilado por KENSAI Security Intelligence · kensai.app
Fuentes: BleepingComputer · The Hacker News · SecurityWeek · CISA
Próximo informe: 10 de marzo de 2026 · 04:00 CET