🛡️ KENSAI Inteligencia de Seguridad
Resumen Ejecutivo
- Ericsson EE.UU. comprometida mediante hackeo a proveedor de servicios — datos de empleados y clientes robados
- 0-day en Cisco SD-WAN (CVE-2026-20127) ampliamente explotado con PoC público disponible
- CISA añade fallos del exploit kit para iOS — el kit Coruna apunta a 23 vulnerabilidades (iOS 13–17.2.1)
- Hackers estatales rusos atacan cuentas de Signal y WhatsApp de funcionarios gubernamentales
- ShinyHunters explotando activamente un fallo en Salesforce Aura para robo de datos
- El FBI investiga actividad sospechosa en un sistema sensible de vigilancia
- OpenAI lanza Codex Security — agente de IA que escaneó 1,2M de commits y encontró 10.500 problemas de alta severidad
🔓 Filtraciones de Datos e Incidentes
Ericsson EE.UU. revela filtración de datos tras hackeo a proveedor de servicios
Ericsson Inc. (filial estadounidense) confirmó que atacantes robaron datos de empleados y clientes tras comprometer a uno de sus proveedores de servicios externos. El alcance de la brecha no ha sido revelado. Se trata de otro ataque a la cadena de suministro que evidencia fallos en la gestión de riesgos de terceros.
ShinyHunters explota Salesforce Aura para robo activo de datos
Salesforce está alertando a sus clientes sobre plataformas Experience Cloud mal configuradas que otorgan a usuarios invitados acceso excesivo a datos. La banda de extorsión ShinyHunters afirma estar explotando una nueva vulnerabilidad para robar datos activamente de instancias de Salesforce, más allá del problema de mala configuración.
El FBI investiga brecha en sistema sensible de vigilancia
El FBI está investigando actividad cibernética «sospechosa» en un sistema que contiene información sensible de vigilancia. La agencia notificó al Congreso y trabaja para determinar el alcance y el impacto. Los detalles permanecen clasificados.
UNC4899 (Corea del Norte) comprometió firma cripto mediante troyano vía AirDrop
El actor de amenazas norcoreano UNC4899 (también conocido como Jade Sleet/TraderTraitor) comprometió una organización de criptomonedas mediante ingeniería social, engañando a un desarrollador para que enviara un archivo troyanizado a su dispositivo de trabajo vía AirDrop. Los atacantes pivotaron a la infraestructura cloud utilizando técnicas living-off-the-cloud para robar millones en criptomonedas.
🚨 CVEs Críticos y Vulnerabilidades
Cisco Catalyst SD-WAN — Zero-Day activamente explotado
Vulnerabilidad de máxima severidad en Cisco Catalyst SD-WAN Controller y SD-WAN Manager. Exploit PoC público disponible. WatchTowr reporta explotación generalizada desde numerosas IPs únicas. Permite eludir la autenticación y obtener acceso root. Parchear de inmediato.
Nginx UI — Descarga y descifrado de backups sin autenticación
Vulnerabilidad crítica en Nginx UI permite a atacantes no autenticados descargar y descifrar copias de seguridad completas del sistema, exponiendo archivos de configuración, credenciales y datos sensibles.
Plataforma AVideo — Inyección de comandos sin interacción
Fallo de máxima severidad sin interacción del usuario (zero-click) en la plataforma de alojamiento de vídeo de código abierto AVideo permite a los atacantes ejecutar comandos arbitrarios en servidores de streaming sin ninguna interacción del usuario.
MongoDB — Caída del servidor sin autenticación
Vulnerabilidad CVSS 7.5 permite a atacantes no autenticados provocar la caída de servidores MongoDB expuestos utilizando un ancho de banda mínimo. Descubierta por investigadores de Cato CTRL.
Plugin de membresía de WordPress — Creación de cuentas de administrador
El plugin User Registration & Membership para WordPress permite a atacantes no autenticados eludir controles de seguridad y crear cuentas de administrador.
CISA añade fallos del exploit kit Coruna para iOS al KEV
Kit de exploits de nivel estatal para iOS («Coruna») apunta a 23 vulnerabilidades que afectan desde iOS 13 hasta 17.2.1. CISA los añadió al catálogo de Vulnerabilidades Explotadas Conocidas el 5 de marzo. Explotación activa confirmada.
Cisco Secure Firewall Management Center — RCE y elusión de autenticación
Dos avisos críticos independientes para Cisco FMC: uno que permite ejecución remota de código (severidad máxima) y otro que permite eludir la autenticación sin credenciales.
Fallo en ExifTool — Imágenes maliciosas ejecutan código en macOS
Investigadores de Kaspersky descubrieron una vulnerabilidad en la que imágenes maliciosas pueden desencadenar la ejecución de código en macOS a través de ExifTool, desafiando las suposiciones sobre la inmunidad de macOS ante el malware.
Actualización de emergencia de Google Chrome — 10 correcciones de seguridad
Google actualizó Chrome Stable a la versión 145.0.7632.159, corrigiendo 10 vulnerabilidades de seguridad, incluidas varias críticas.
🕵️ Actores de Amenazas y Campañas
Hackers estatales rusos secuestran cuentas de Signal y WhatsApp
El gobierno neerlandés emitió una alerta: hackers patrocinados por el estado ruso están ejecutando una campaña de phishing dirigida a funcionarios gubernamentales, personal militar y periodistas para secuestrar sus cuentas de Signal y WhatsApp y acceder a mensajes cifrados.
CL-UNK-1068 — Espionaje chino en infraestructuras críticas de Asia
Palo Alto Unit 42 descubrió una campaña de espionaje china de varios años (CL-UNK-1068) dirigida a los sectores de aviación, energía, gobierno, farmacéutica y telecomunicaciones en el sur, sudeste y este de Asia. Utiliza malware personalizado, herramientas de código abierto modificadas y LOLBINs para persistencia.
Phishing por Microsoft Teams distribuye malware A0Backdoor
Atacantes contactaron a empleados de organizaciones financieras y sanitarias a través de Microsoft Teams, engañándolos para conceder acceso remoto mediante Quick Assist y desplegar una nueva cepa de malware llamada «A0Backdoor».
Ataque ClickFix usa Windows Terminal para evadir la detección
Una nueva variante de páginas de phishing con CAPTCHA falso ahora instruye a las víctimas a pegar comandos maliciosos en Windows Terminal en lugar del cuadro de diálogo Ejecutar, evadiendo métodos de detección tradicionales.
Más de 100 repositorios de GitHub distribuyen el stealer BoryptGrab
Más de 100 repositorios de GitHub están distribuyendo el infostealer BoryptGrab, que apunta a datos del navegador, billeteras de criptomonedas, información del sistema y archivos del usuario.
Extensiones de Chrome se vuelven maliciosas tras transferencia de propiedad
Dos extensiones de Chrome (QuickLens, ShotBird) se volvieron maliciosas tras una transferencia de propiedad, permitiendo inyección de código y robo de datos para ~7.800 usuarios. Esto destaca el riesgo continuo en la cadena de suministro del ecosistema de extensiones de navegador.
Paquete npm malicioso despliega RAT (robo de credenciales)
JFrog descubrió un paquete npm malicioso que roba credenciales del sistema, datos del navegador, billeteras cripto, claves SSH, Apple Keychain e historial de iMessage. Instala un RAT persistente con proxy SOCKS5 y clonación de sesiones de navegador en vivo. 178 descargas antes de ser descubierto.
Mail2Shell — RCE sin interacción en FreeScout Help Desk
Vulnerabilidad crítica zero-click en el sistema de soporte de código abierto FreeScout permite a los atacantes secuestrar servidores de correo simplemente enviando un correo electrónico especialmente diseñado — sin interacción del usuario requerida.
🔧 Herramientas de Seguridad y Novedades del Sector
OpenAI lanza el agente Codex Security
OpenAI presentó Codex Security — un agente de seguridad impulsado por IA que encuentra, valida y propone correcciones para vulnerabilidades. En la fase de preview, escaneó 1,2 millones de commits y encontró 10.561 problemas de alta severidad. Disponible para usuarios de ChatGPT Pro/Enterprise/Business/Edu. Gratuito durante el primer mes.
Google: Los ataques cloud pasan de credenciales débiles a explotación de vulnerabilidades
El informe Cloud Threat Horizons H1 2026 de Google revela que los atacantes explotan cada vez más las vulnerabilidades recién divulgadas en software de terceros (no solo credenciales débiles) para comprometer entornos cloud. La ventana de explotación se ha reducido de semanas a días.
Fusiones y adquisiciones en ciberseguridad: 42 operaciones en febrero de 2026
Operaciones importantes anunciadas por Check Point, Booz Allen, Proofpoint, Sophos, Palo Alto Networks y Zscaler. La consolidación continúa a un ritmo agresivo en el mercado de la ciberseguridad.
ArmorCode recauda $16M para gestión de exposición
ArmorCode aseguró $16M para acelerar el desarrollo de su plataforma de gestión de postura de seguridad de aplicaciones y gestión de exposición.
Estrategia cibernética de Trump: adversarios, infraestructura crítica y tecnologías emergentes
La nueva Estrategia Cibernética de EE.UU. pide una disuasión más fuerte contra los adversarios cibernéticos, modernización de las redes federales, protección de infraestructuras críticas e inversión en IA y criptografía post-cuántica.
Tribunal de la UE: Los bancos deben reembolsar inmediatamente a las víctimas de phishing
El Abogado General del Tribunal de Justicia de la UE emitió una opinión formal que sugiere que los bancos deben reembolsar inmediatamente a las víctimas de transacciones no autorizadas relacionadas con phishing. Podría convertirse en precedente vinculante en todos los estados miembros de la UE.
📊 Patrones de Amenazas Emergentes
Tendencias clave de esta semana
1. Ataques a la cadena de suministro en aceleración: Paquetes npm maliciosos, transferencias de propiedad de extensiones de Chrome y compromisos de proveedores de servicios (Ericsson) — tres vectores diferentes de ataque a la cadena de suministro en 24 horas. Las cadenas de confianza son la nueva superficie de ataque.
2. Ventana de explotación cloud reduciéndose: El informe de Google confirma que los atacantes explotan vulnerabilidades recién divulgadas en días, no semanas. Los SLAs de parcheo deben medirse en horas para servicios expuestos en la nube.
3. Aplicaciones de mensajería en el punto de mira de estados-nación: APTs rusos atacan específicamente Signal y WhatsApp para secuestrar cuentas. Los mensajeros cifrados son objetivos de alto valor para el espionaje, no refugios seguros.
4. Herramientas de seguridad con IA se generalizan: El lanzamiento de Codex Security de OpenAI (1,2M de commits escaneados) indica que la detección de vulnerabilidades impulsada por IA está pasando de nicho a herramienta estándar de DevSecOps. Competencia directa para el mercado de KENSAI.
5. Infraestructura Cisco bajo asedio: 0-day en SD-WAN, RCE en Firewall Management y elusión de autenticación — los productos Cisco están experimentando un cúmulo de vulnerabilidades críticas. Las organizaciones con infraestructura Cisco necesitan ciclos de parcheo de emergencia.