剣 KENSAI
← Back to archive

🛡️ Boletín Diario de Inteligencia de Seguridad

Miércoles, 11 de marzo de 2026 · 04:00 CET · Generado automáticamente por KENSAI
Panorama de amenazas en 24 horas
2
Zero-Days parcheados
162+
Vulns corregidas (MS+Adobe+SAP)
14K
Dispositivos en botnet KadNap
$376M
Nueva financiación en seguridad

⚡ Resumen — Lo que importa hoy

  • Microsoft Patch Tuesday: 79-83 vulnerabilidades parcheadas incluyendo 2 zero-days — parchear inmediatamente
  • Campaña FortiGate: Actores de amenazas explotan NGFW FortiGate para robar credenciales AD/LDAP del sector salud y gobierno
  • Botnet KadNap: Más de 14.000 routers ASUS comprometidos en una red proxy sigilosa usando DHT Kademlia personalizado
  • APT28 (Fancy Bear): Nuevos implantes BEARDSHELL y COVENANT para vigilancia a largo plazo del ejército ucraniano
  • Ivanti EPM explotado activamente: CISA lo agrega al KEV junto con fallos de SolarWinds y Workspace One
  • Salesforce Experience Cloud: Campaña de escaneo masivo apuntando a permisos mal configurados de usuarios invitados
  • Brecha de datos de Ericsson: Miles de afectados por compromiso de un proveedor externo

🔴 Vulnerabilidades críticas y Patch Tuesday

Microsoft · Patch Tuesday

Microsoft Patch Tuesday de marzo 2026 — 2 Zero-Days, 79 fallos

Microsoft publicó correcciones para 79 vulnerabilidades incluyendo 2 vulnerabilidades zero-day divulgadas públicamente. La actualización también soluciona un problema que impedía el apagado de algunos dispositivos. Las actualizaciones acumulativas Windows 10 Extended Security Update KB5078885 y Windows 11 KB5079473/KB5078883 ya están disponibles.

Zero-Day Parchear ahora Windows 10/11
Adobe

Adobe parchea 80 vulnerabilidades en 8 productos

Adobe desplegó parches para 80 vulnerabilidades en Commerce, Illustrator, Acrobat Reader, Premiere Pro y 4 productos más. Incluye múltiples fallos críticos de ejecución de código.

Alto Acrobat Commerce
SAP

SAP parchea vulnerabilidades críticas en FS-QUO y NetWeaver

Un bug de inyección de código en FS-QUO y un fallo de deserialización insegura en NetWeaver podrían permitir ejecución de código arbitrario en sistemas SAP empresariales. Prioridad de parche: crítica.

Crítico RCE Empresarial
HPE

HPE — Fallo crítico en AOS-CX — Restablecimiento de contraseña de admin

Hewlett Packard Enterprise parcheó múltiples vulnerabilidades en el sistema operativo Aruba Networking AOS-CX, incluyendo fallos de evasión de autenticación que permiten restablecer contraseñas de administrador y problemas de ejecución de código.

Crítico Evasión de auth Infraestructura de red
CISA · Actualización KEV

CISA señala Ivanti EPM, SolarWinds y Workspace One como explotados activamente

Tres vulnerabilidades agregadas al catálogo de vulnerabilidades explotadas conocidas de CISA: evasión de autenticación de alta severidad en Ivanti Endpoint Manager, fallo de SolarWinds y CVE-2021-22054 (SSRF en VMware/Omnissa Workspace One UEM, CVSS 7.5). Todas confirmadas como explotadas en la naturaleza.

Explotado activamente KEV Ivanti
Google · Tenable Research

«LeakyLooker» — 9 fallos cross-tenant en Google Looker Studio

Tenable divulgó 9 vulnerabilidades cross-tenant en Google Looker Studio que podrían haber permitido a atacantes ejecutar consultas SQL arbitrarias en bases de datos de víctimas y exfiltrar datos sensibles dentro de entornos Google Cloud. Sin evidencia de explotación en la naturaleza.

Alto Cloud Cross-Tenant

🟠 Amenazas activas y campañas

SentinelOne

Campaña FortiGate NGFW — Robo de credenciales en salud y gobierno

Actores de amenazas explotan los firewalls de nueva generación FortiGate como puntos de entrada para vulnerar redes. La campaña extrae archivos de configuración que contienen credenciales de cuentas de servicio AD/LDAP y topología de red. Los objetivos incluyen salud, gobierno y proveedores de servicios gestionados.

Crítico Salud Gobierno Robo de credenciales
APT28 / Fancy Bear · ESET

APT28 de Rusia despliega BEARDSHELL + COVENANT contra el ejército ucraniano

APT28, afiliado al GRU, fue observado usando nuevos implantes BEARDSHELL y COVENANT para vigilancia a largo plazo de personal militar ucraniano desde abril de 2024. También despliega SLIMAGENT (keylogger, captura de pantalla, robo de portapapeles). La campaña demuestra la escalada continua de operaciones de ciberespionaje rusas.

Estado-nación Espionaje Rusia
Lumen Black Lotus Labs

Botnet KadNap — Más de 14.000 routers ASUS comprometidos

El nuevo malware KadNap apunta a routers ASUS y dispositivos de borde, construyendo una botnet de más de 14.000 nodos para proxy de tráfico malicioso. Usa un protocolo DHT Kademlia personalizado para ocultar la infraestructura C2. Más del 60% de víctimas están en EE.UU., con propagación global en Taiwán, Hong Kong, Reino Unido, Australia, Brasil, Francia, Italia y España. Activo desde agosto de 2025.

Alto Botnet IoT 14K dispositivos
Salesforce

Campaña de escaneo masivo en Salesforce Experience Cloud

Actores de amenazas escanean masivamente sitios de Salesforce Experience Cloud usando una herramienta AuraInspector modificada. Explotan configuraciones de usuario invitado excesivamente permisivas para acceder a datos sensibles. Cientos de clientes supuestamente afectados.

Alto SaaS Mala configuración
Corea del Norte · UNC4899

Actores norcoreanos comprometen empresa cripto vía archivo AirDrop troyanizado

UNC4899 (Jade Sleet / TraderTraitor) comprometió una organización de criptomonedas mediante ingeniería social + transferencia de archivo AirDrop troyanizado. Pivotaron a la nube usando técnicas Living-off-the-Cloud (LOTC), abusando de flujos DevOps para recolectar credenciales, escapar de contenedores y manipular bases de datos Cloud SQL para robo de cripto.

APT Cripto Cadena de suministro

🟡 Nuevo malware y técnicas de evasión

BleepingComputer

«BlackSanta» — Eliminador de EDR apuntando a departamentos de RRHH

Un actor de amenazas de habla rusa ha estado apuntando a departamentos de recursos humanos durante más de un año con malware que entrega BlackSanta, un nuevo eliminador de EDR (Endpoint Detection & Response). La campaña usa ingeniería social adaptada a flujos de trabajo de RRHH.

Alto Evasión de EDR Objetivo RRHH
BleepingComputer

«BeatBanker» — Malware Android disfrazado de app Starlink

El nuevo malware Android BeatBanker se disfraza como una app de Starlink en sitios web falsos de Google Play Store. Capaz de secuestro completo del dispositivo una vez instalado.

Medio Android Troyano bancario
BleepingComputer

«Zombie ZIP» — Nueva técnica que evade escáneres de seguridad

Una nueva técnica de evasión denominada «Zombie ZIP» oculta cargas maliciosas en archivos comprimidos especialmente diseñados para evadir la detección antivirus y EDR. Explota inconsistencias en cómo las herramientas de seguridad analizan los archivos ZIP.

Evasión Técnica novedosa
Picus Security · Red Report 2026

Evasión de sandbox basada en geometría — «El nuevo test de Turing»

El Picus Red Report 2026 revela que el 80% de las principales técnicas de ataque se enfocan en evasión y persistencia. El malware usa cada vez más pruebas de movimiento de cursor basadas en geometría y verificaciones de temporización de CPU para detectar entornos sandbox y demostrar «humanidad» antes de ejecutar las cargas.

Investigación Evasión de sandbox
The Hacker News · JFrog

Paquete npm malicioso «GhostClaw» apunta a desarrolladores macOS

Un paquete npm malicioso (@openclaw-ai/openclawai) despliega un RAT que roba credenciales, datos del navegador, billeteras cripto, claves SSH, Apple Keychain e historial de iMessage. Incluye C2 persistente, proxy SOCKS5 y clonación de sesiones de navegador en vivo. 178 descargas desde el 3 de marzo.

Alto Cadena de suministro npm macOS

🔵 Brechas de datos

SecurityWeek

Brecha de datos de Ericsson — Miles de afectados

El gigante de telecomunicaciones Ericsson confirmó una brecha de datos que afecta a miles de personas. La empresa culpó el incidente a un compromiso de un proveedor externo. El alcance de los datos expuestos aún no se ha revelado por completo.

Telecomunicaciones Riesgo de terceros

🟢 Lanzamientos de herramientas de seguridad y financiación de la industria

SecurityWeek

Armadin de Kevin Mandia se lanza con $190M de financiación

El ex CEO de Mandiant, Kevin Mandia, lanza Armadin, una plataforma de red teaming impulsada por IA que encuentra y explota debilidades de forma autónoma. Respaldada por $190M en financiación. Nuevo competidor importante en seguridad ofensiva automatizada.

Startup $190M Red Teaming
SecurityWeek

Kai — $125M para plataforma IA que une seguridad IT y OT

Fundada por un cofundador de Claroty, Kai sale del modo sigiloso con $125M en financiación de Evolution Equity Partners y N47. Enfoque: convergencia impulsada por IA de seguridad IT y OT (tecnología operacional).

Startup $125M IT/OT
SecurityWeek

Jazz — $61M para prevención de pérdida de datos con IA

Jazz sale del modo sigiloso con $61M en financiación para DLP (Data Loss Prevention) impulsado por IA. Promete visibilidad sobre intención, contexto y riesgo más allá de las herramientas DLP tradicionales.

Startup $61M DLP
SecurityWeek

Escape recauda $18M para automatizar el pentesting

Escape asegura $18M para profundizar las capacidades de agentes IA para pentesting automatizado y escalar equipos de ingeniería y go-to-market.

Startup $18M Pentesting
SecurityWeek · OpenAI

OpenAI lanza el escáner de vulnerabilidades Codex Security

OpenAI lanza Codex Security (anteriormente Aardvark), un escáner de vulnerabilidades impulsado por IA que ha encontrado cientos de vulnerabilidades críticas en software probado el mes pasado.

Seguridad IA Escáner de vulnerabilidades
Microsoft

Microsoft Entra Passkeys — Inicio de sesión Windows resistente al phishing

Microsoft despliega soporte de passkeys para Entra en Windows, habilitando autenticación sin contraseña resistente al phishing mediante Windows Hello. Paso importante hacia la eliminación de ataques basados en contraseñas.

Identidad Passkeys Defensa anti-phishing

📊 Patrones emergentes de amenazas

Tendencias clave observadas en este ciclo

El análisis de las últimas 24 horas revela varios patrones convergentes:

1. Explotación de dispositivos de borde a gran escala — KadNap (14K routers), campaña FortiGate y explotación de Ivanti EPM apuntan a la infraestructura de borde de red. Los atacantes prefieren cada vez más comprometer los dispositivos diseñados para proteger las redes.

2. Carrera armamentista EDR/Sandbox — El eliminador de EDR BlackSanta, la evasión por archivo Zombie ZIP y la detección de sandbox geométrica muestran una inversión masiva de los atacantes en evadir la seguridad de endpoints.

3. Envenenamiento continuo de la cadena de suministro — Paquetes npm maliciosos (GhostClaw), archivos AirDrop troyanizados (UNC4899) y herramientas de código abierto modificadas (AuraInspector) demuestran vectores persistentes de ataque a la cadena de suministro.

4. Ciclo masivo de parches de proveedores — Microsoft (79), Adobe (80), SAP (crítico), HPE (crítico) = 162+ vulnerabilidades en un solo día. La gestión de parches sigue siendo la carga operativa #1 para los equipos de seguridad.

5. Oleada de inversión en seguridad IA — $376M en nueva financiación para 4 startups (Armadin, Kai, Jazz, Escape) más la entrada de OpenAI en el escaneo de vulnerabilidades. El mercado de seguridad IA se acelera rápidamente.