剣 KENSAI
← Back to archive

🛡️ KENSAI Inteligencia de Seguridad

Martes, 10 de marzo de 2026 · Informe Diario de Amenazas

Resumen Ejecutivo

  • Ericsson EE.UU. comprometida mediante hackeo a proveedor de servicios — datos de empleados y clientes robados
  • 0-day en Cisco SD-WAN (CVE-2026-20127) ampliamente explotado con PoC público disponible
  • CISA añade fallos del exploit kit para iOS — el kit Coruna apunta a 23 vulnerabilidades (iOS 13–17.2.1)
  • Hackers estatales rusos atacan cuentas de Signal y WhatsApp de funcionarios gubernamentales
  • ShinyHunters explotando activamente un fallo en Salesforce Aura para robo de datos
  • El FBI investiga actividad sospechosa en un sistema sensible de vigilancia
  • OpenAI lanza Codex Security — agente de IA que escaneó 1,2M de commits y encontró 10.500 problemas de alta severidad

🔓 Filtraciones de Datos e Incidentes

HIGH IMPACT

Ericsson EE.UU. revela filtración de datos tras hackeo a proveedor de servicios

Ericsson Inc. (filial estadounidense) confirmó que atacantes robaron datos de empleados y clientes tras comprometer a uno de sus proveedores de servicios externos. El alcance de la brecha no ha sido revelado. Se trata de otro ataque a la cadena de suministro que evidencia fallos en la gestión de riesgos de terceros.

CRITICAL

ShinyHunters explota Salesforce Aura para robo activo de datos

Salesforce está alertando a sus clientes sobre plataformas Experience Cloud mal configuradas que otorgan a usuarios invitados acceso excesivo a datos. La banda de extorsión ShinyHunters afirma estar explotando una nueva vulnerabilidad para robar datos activamente de instancias de Salesforce, más allá del problema de mala configuración.

HIGH IMPACT

El FBI investiga brecha en sistema sensible de vigilancia

El FBI está investigando actividad cibernética «sospechosa» en un sistema que contiene información sensible de vigilancia. La agencia notificó al Congreso y trabaja para determinar el alcance y el impacto. Los detalles permanecen clasificados.

Fuente: SecurityWeek
HIGH IMPACT

UNC4899 (Corea del Norte) comprometió firma cripto mediante troyano vía AirDrop

El actor de amenazas norcoreano UNC4899 (también conocido como Jade Sleet/TraderTraitor) comprometió una organización de criptomonedas mediante ingeniería social, engañando a un desarrollador para que enviara un archivo troyanizado a su dispositivo de trabajo vía AirDrop. Los atacantes pivotaron a la infraestructura cloud utilizando técnicas living-off-the-cloud para robar millones en criptomonedas.

🚨 CVEs Críticos y Vulnerabilidades

CVSS 10.0 CVE-2026-20127

Cisco Catalyst SD-WAN — Zero-Day activamente explotado

Vulnerabilidad de máxima severidad en Cisco Catalyst SD-WAN Controller y SD-WAN Manager. Exploit PoC público disponible. WatchTowr reporta explotación generalizada desde numerosas IPs únicas. Permite eludir la autenticación y obtener acceso root. Parchear de inmediato.

CRITICAL CVE-2026-27944

Nginx UI — Descarga y descifrado de backups sin autenticación

Vulnerabilidad crítica en Nginx UI permite a atacantes no autenticados descargar y descifrar copias de seguridad completas del sistema, exponiendo archivos de configuración, credenciales y datos sensibles.

CRITICAL CVE-2026-29058

Plataforma AVideo — Inyección de comandos sin interacción

Fallo de máxima severidad sin interacción del usuario (zero-click) en la plataforma de alojamiento de vídeo de código abierto AVideo permite a los atacantes ejecutar comandos arbitrarios en servidores de streaming sin ninguna interacción del usuario.

HIGH CVE-2026-25611

MongoDB — Caída del servidor sin autenticación

Vulnerabilidad CVSS 7.5 permite a atacantes no autenticados provocar la caída de servidores MongoDB expuestos utilizando un ancho de banda mínimo. Descubierta por investigadores de Cato CTRL.

CRITICAL CVE-2026-1492

Plugin de membresía de WordPress — Creación de cuentas de administrador

El plugin User Registration & Membership para WordPress permite a atacantes no autenticados eludir controles de seguridad y crear cuentas de administrador.

CRITICAL iOS EXPLOIT KIT

CISA añade fallos del exploit kit Coruna para iOS al KEV

Kit de exploits de nivel estatal para iOS («Coruna») apunta a 23 vulnerabilidades que afectan desde iOS 13 hasta 17.2.1. CISA los añadió al catálogo de Vulnerabilidades Explotadas Conocidas el 5 de marzo. Explotación activa confirmada.

Fuente: SecurityWeek
HIGH

Cisco Secure Firewall Management Center — RCE y elusión de autenticación

Dos avisos críticos independientes para Cisco FMC: uno que permite ejecución remota de código (severidad máxima) y otro que permite eludir la autenticación sin credenciales.

HIGH

Fallo en ExifTool — Imágenes maliciosas ejecutan código en macOS

Investigadores de Kaspersky descubrieron una vulnerabilidad en la que imágenes maliciosas pueden desencadenar la ejecución de código en macOS a través de ExifTool, desafiando las suposiciones sobre la inmunidad de macOS ante el malware.

MEDIUM

Actualización de emergencia de Google Chrome — 10 correcciones de seguridad

Google actualizó Chrome Stable a la versión 145.0.7632.159, corrigiendo 10 vulnerabilidades de seguridad, incluidas varias críticas.

🕵️ Actores de Amenazas y Campañas

RUSSIA APT

Hackers estatales rusos secuestran cuentas de Signal y WhatsApp

El gobierno neerlandés emitió una alerta: hackers patrocinados por el estado ruso están ejecutando una campaña de phishing dirigida a funcionarios gubernamentales, personal militar y periodistas para secuestrar sus cuentas de Signal y WhatsApp y acceder a mensajes cifrados.

CHINA APT

CL-UNK-1068 — Espionaje chino en infraestructuras críticas de Asia

Palo Alto Unit 42 descubrió una campaña de espionaje china de varios años (CL-UNK-1068) dirigida a los sectores de aviación, energía, gobierno, farmacéutica y telecomunicaciones en el sur, sudeste y este de Asia. Utiliza malware personalizado, herramientas de código abierto modificadas y LOLBINs para persistencia.

SOCIAL ENGINEERING

Phishing por Microsoft Teams distribuye malware A0Backdoor

Atacantes contactaron a empleados de organizaciones financieras y sanitarias a través de Microsoft Teams, engañándolos para conceder acceso remoto mediante Quick Assist y desplegar una nueva cepa de malware llamada «A0Backdoor».

PHISHING

Ataque ClickFix usa Windows Terminal para evadir la detección

Una nueva variante de páginas de phishing con CAPTCHA falso ahora instruye a las víctimas a pegar comandos maliciosos en Windows Terminal en lugar del cuadro de diálogo Ejecutar, evadiendo métodos de detección tradicionales.

Fuente: SecurityWeek
MALWARE

Más de 100 repositorios de GitHub distribuyen el stealer BoryptGrab

Más de 100 repositorios de GitHub están distribuyendo el infostealer BoryptGrab, que apunta a datos del navegador, billeteras de criptomonedas, información del sistema y archivos del usuario.

Fuente: SecurityWeek
SUPPLY CHAIN

Extensiones de Chrome se vuelven maliciosas tras transferencia de propiedad

Dos extensiones de Chrome (QuickLens, ShotBird) se volvieron maliciosas tras una transferencia de propiedad, permitiendo inyección de código y robo de datos para ~7.800 usuarios. Esto destaca el riesgo continuo en la cadena de suministro del ecosistema de extensiones de navegador.

SUPPLY CHAIN

Paquete npm malicioso despliega RAT (robo de credenciales)

JFrog descubrió un paquete npm malicioso que roba credenciales del sistema, datos del navegador, billeteras cripto, claves SSH, Apple Keychain e historial de iMessage. Instala un RAT persistente con proxy SOCKS5 y clonación de sesiones de navegador en vivo. 178 descargas antes de ser descubierto.

ZERO-CLICK

Mail2Shell — RCE sin interacción en FreeScout Help Desk

Vulnerabilidad crítica zero-click en el sistema de soporte de código abierto FreeScout permite a los atacantes secuestrar servidores de correo simplemente enviando un correo electrónico especialmente diseñado — sin interacción del usuario requerida.

🔧 Herramientas de Seguridad y Novedades del Sector

AI SECURITY

OpenAI lanza el agente Codex Security

OpenAI presentó Codex Security — un agente de seguridad impulsado por IA que encuentra, valida y propone correcciones para vulnerabilidades. En la fase de preview, escaneó 1,2 millones de commits y encontró 10.561 problemas de alta severidad. Disponible para usuarios de ChatGPT Pro/Enterprise/Business/Edu. Gratuito durante el primer mes.

CLOUD SECURITY

Google: Los ataques cloud pasan de credenciales débiles a explotación de vulnerabilidades

El informe Cloud Threat Horizons H1 2026 de Google revela que los atacantes explotan cada vez más las vulnerabilidades recién divulgadas en software de terceros (no solo credenciales débiles) para comprometer entornos cloud. La ventana de explotación se ha reducido de semanas a días.

M&A

Fusiones y adquisiciones en ciberseguridad: 42 operaciones en febrero de 2026

Operaciones importantes anunciadas por Check Point, Booz Allen, Proofpoint, Sophos, Palo Alto Networks y Zscaler. La consolidación continúa a un ritmo agresivo en el mercado de la ciberseguridad.

Fuente: SecurityWeek
FUNDING

ArmorCode recauda $16M para gestión de exposición

ArmorCode aseguró $16M para acelerar el desarrollo de su plataforma de gestión de postura de seguridad de aplicaciones y gestión de exposición.

Fuente: SecurityWeek
POLICY

Estrategia cibernética de Trump: adversarios, infraestructura crítica y tecnologías emergentes

La nueva Estrategia Cibernética de EE.UU. pide una disuasión más fuerte contra los adversarios cibernéticos, modernización de las redes federales, protección de infraestructuras críticas e inversión en IA y criptografía post-cuántica.

Fuente: SecurityWeek
LEGAL

Tribunal de la UE: Los bancos deben reembolsar inmediatamente a las víctimas de phishing

El Abogado General del Tribunal de Justicia de la UE emitió una opinión formal que sugiere que los bancos deben reembolsar inmediatamente a las víctimas de transacciones no autorizadas relacionadas con phishing. Podría convertirse en precedente vinculante en todos los estados miembros de la UE.

📊 Patrones de Amenazas Emergentes

Tendencias clave de esta semana

1. Ataques a la cadena de suministro en aceleración: Paquetes npm maliciosos, transferencias de propiedad de extensiones de Chrome y compromisos de proveedores de servicios (Ericsson) — tres vectores diferentes de ataque a la cadena de suministro en 24 horas. Las cadenas de confianza son la nueva superficie de ataque.

2. Ventana de explotación cloud reduciéndose: El informe de Google confirma que los atacantes explotan vulnerabilidades recién divulgadas en días, no semanas. Los SLAs de parcheo deben medirse en horas para servicios expuestos en la nube.

3. Aplicaciones de mensajería en el punto de mira de estados-nación: APTs rusos atacan específicamente Signal y WhatsApp para secuestrar cuentas. Los mensajeros cifrados son objetivos de alto valor para el espionaje, no refugios seguros.

4. Herramientas de seguridad con IA se generalizan: El lanzamiento de Codex Security de OpenAI (1,2M de commits escaneados) indica que la detección de vulnerabilidades impulsada por IA está pasando de nicho a herramienta estándar de DevSecOps. Competencia directa para el mercado de KENSAI.

5. Infraestructura Cisco bajo asedio: 0-day en SD-WAN, RCE en Firewall Management y elusión de autenticación — los productos Cisco están experimentando un cúmulo de vulnerabilidades críticas. Las organizaciones con infraestructura Cisco necesitan ciclos de parcheo de emergencia.