🛡️ Boletín Diario de Inteligencia de Seguridad
⚡ Resumen — Lo que importa hoy
- Microsoft Patch Tuesday: 79-83 vulnerabilidades parcheadas incluyendo 2 zero-days — parchear inmediatamente
- Campaña FortiGate: Actores de amenazas explotan NGFW FortiGate para robar credenciales AD/LDAP del sector salud y gobierno
- Botnet KadNap: Más de 14.000 routers ASUS comprometidos en una red proxy sigilosa usando DHT Kademlia personalizado
- APT28 (Fancy Bear): Nuevos implantes BEARDSHELL y COVENANT para vigilancia a largo plazo del ejército ucraniano
- Ivanti EPM explotado activamente: CISA lo agrega al KEV junto con fallos de SolarWinds y Workspace One
- Salesforce Experience Cloud: Campaña de escaneo masivo apuntando a permisos mal configurados de usuarios invitados
- Brecha de datos de Ericsson: Miles de afectados por compromiso de un proveedor externo
🔴 Vulnerabilidades críticas y Patch Tuesday
Microsoft Patch Tuesday de marzo 2026 — 2 Zero-Days, 79 fallos
Microsoft publicó correcciones para 79 vulnerabilidades incluyendo 2 vulnerabilidades zero-day divulgadas públicamente. La actualización también soluciona un problema que impedía el apagado de algunos dispositivos. Las actualizaciones acumulativas Windows 10 Extended Security Update KB5078885 y Windows 11 KB5079473/KB5078883 ya están disponibles.
Zero-Day Parchear ahora Windows 10/11Adobe parchea 80 vulnerabilidades en 8 productos
Adobe desplegó parches para 80 vulnerabilidades en Commerce, Illustrator, Acrobat Reader, Premiere Pro y 4 productos más. Incluye múltiples fallos críticos de ejecución de código.
Alto Acrobat CommerceSAP parchea vulnerabilidades críticas en FS-QUO y NetWeaver
Un bug de inyección de código en FS-QUO y un fallo de deserialización insegura en NetWeaver podrían permitir ejecución de código arbitrario en sistemas SAP empresariales. Prioridad de parche: crítica.
Crítico RCE EmpresarialHPE — Fallo crítico en AOS-CX — Restablecimiento de contraseña de admin
Hewlett Packard Enterprise parcheó múltiples vulnerabilidades en el sistema operativo Aruba Networking AOS-CX, incluyendo fallos de evasión de autenticación que permiten restablecer contraseñas de administrador y problemas de ejecución de código.
Crítico Evasión de auth Infraestructura de redCISA señala Ivanti EPM, SolarWinds y Workspace One como explotados activamente
Tres vulnerabilidades agregadas al catálogo de vulnerabilidades explotadas conocidas de CISA: evasión de autenticación de alta severidad en Ivanti Endpoint Manager, fallo de SolarWinds y CVE-2021-22054 (SSRF en VMware/Omnissa Workspace One UEM, CVSS 7.5). Todas confirmadas como explotadas en la naturaleza.
Explotado activamente KEV Ivanti«LeakyLooker» — 9 fallos cross-tenant en Google Looker Studio
Tenable divulgó 9 vulnerabilidades cross-tenant en Google Looker Studio que podrían haber permitido a atacantes ejecutar consultas SQL arbitrarias en bases de datos de víctimas y exfiltrar datos sensibles dentro de entornos Google Cloud. Sin evidencia de explotación en la naturaleza.
Alto Cloud Cross-Tenant🟠 Amenazas activas y campañas
Campaña FortiGate NGFW — Robo de credenciales en salud y gobierno
Actores de amenazas explotan los firewalls de nueva generación FortiGate como puntos de entrada para vulnerar redes. La campaña extrae archivos de configuración que contienen credenciales de cuentas de servicio AD/LDAP y topología de red. Los objetivos incluyen salud, gobierno y proveedores de servicios gestionados.
Crítico Salud Gobierno Robo de credencialesAPT28 de Rusia despliega BEARDSHELL + COVENANT contra el ejército ucraniano
APT28, afiliado al GRU, fue observado usando nuevos implantes BEARDSHELL y COVENANT para vigilancia a largo plazo de personal militar ucraniano desde abril de 2024. También despliega SLIMAGENT (keylogger, captura de pantalla, robo de portapapeles). La campaña demuestra la escalada continua de operaciones de ciberespionaje rusas.
Estado-nación Espionaje RusiaBotnet KadNap — Más de 14.000 routers ASUS comprometidos
El nuevo malware KadNap apunta a routers ASUS y dispositivos de borde, construyendo una botnet de más de 14.000 nodos para proxy de tráfico malicioso. Usa un protocolo DHT Kademlia personalizado para ocultar la infraestructura C2. Más del 60% de víctimas están en EE.UU., con propagación global en Taiwán, Hong Kong, Reino Unido, Australia, Brasil, Francia, Italia y España. Activo desde agosto de 2025.
Alto Botnet IoT 14K dispositivosCampaña de escaneo masivo en Salesforce Experience Cloud
Actores de amenazas escanean masivamente sitios de Salesforce Experience Cloud usando una herramienta AuraInspector modificada. Explotan configuraciones de usuario invitado excesivamente permisivas para acceder a datos sensibles. Cientos de clientes supuestamente afectados.
Alto SaaS Mala configuraciónActores norcoreanos comprometen empresa cripto vía archivo AirDrop troyanizado
UNC4899 (Jade Sleet / TraderTraitor) comprometió una organización de criptomonedas mediante ingeniería social + transferencia de archivo AirDrop troyanizado. Pivotaron a la nube usando técnicas Living-off-the-Cloud (LOTC), abusando de flujos DevOps para recolectar credenciales, escapar de contenedores y manipular bases de datos Cloud SQL para robo de cripto.
APT Cripto Cadena de suministro🟡 Nuevo malware y técnicas de evasión
«BlackSanta» — Eliminador de EDR apuntando a departamentos de RRHH
Un actor de amenazas de habla rusa ha estado apuntando a departamentos de recursos humanos durante más de un año con malware que entrega BlackSanta, un nuevo eliminador de EDR (Endpoint Detection & Response). La campaña usa ingeniería social adaptada a flujos de trabajo de RRHH.
Alto Evasión de EDR Objetivo RRHH«BeatBanker» — Malware Android disfrazado de app Starlink
El nuevo malware Android BeatBanker se disfraza como una app de Starlink en sitios web falsos de Google Play Store. Capaz de secuestro completo del dispositivo una vez instalado.
Medio Android Troyano bancario«Zombie ZIP» — Nueva técnica que evade escáneres de seguridad
Una nueva técnica de evasión denominada «Zombie ZIP» oculta cargas maliciosas en archivos comprimidos especialmente diseñados para evadir la detección antivirus y EDR. Explota inconsistencias en cómo las herramientas de seguridad analizan los archivos ZIP.
Evasión Técnica novedosaEvasión de sandbox basada en geometría — «El nuevo test de Turing»
El Picus Red Report 2026 revela que el 80% de las principales técnicas de ataque se enfocan en evasión y persistencia. El malware usa cada vez más pruebas de movimiento de cursor basadas en geometría y verificaciones de temporización de CPU para detectar entornos sandbox y demostrar «humanidad» antes de ejecutar las cargas.
Investigación Evasión de sandboxPaquete npm malicioso «GhostClaw» apunta a desarrolladores macOS
Un paquete npm malicioso (@openclaw-ai/openclawai) despliega un RAT que roba credenciales, datos del navegador, billeteras cripto, claves SSH, Apple Keychain e historial de iMessage. Incluye C2 persistente, proxy SOCKS5 y clonación de sesiones de navegador en vivo. 178 descargas desde el 3 de marzo.
🔵 Brechas de datos
Brecha de datos de Ericsson — Miles de afectados
El gigante de telecomunicaciones Ericsson confirmó una brecha de datos que afecta a miles de personas. La empresa culpó el incidente a un compromiso de un proveedor externo. El alcance de los datos expuestos aún no se ha revelado por completo.
Telecomunicaciones Riesgo de terceros🟢 Lanzamientos de herramientas de seguridad y financiación de la industria
Armadin de Kevin Mandia se lanza con $190M de financiación
El ex CEO de Mandiant, Kevin Mandia, lanza Armadin, una plataforma de red teaming impulsada por IA que encuentra y explota debilidades de forma autónoma. Respaldada por $190M en financiación. Nuevo competidor importante en seguridad ofensiva automatizada.
Startup $190M Red TeamingKai — $125M para plataforma IA que une seguridad IT y OT
Fundada por un cofundador de Claroty, Kai sale del modo sigiloso con $125M en financiación de Evolution Equity Partners y N47. Enfoque: convergencia impulsada por IA de seguridad IT y OT (tecnología operacional).
Startup $125M IT/OTJazz — $61M para prevención de pérdida de datos con IA
Jazz sale del modo sigiloso con $61M en financiación para DLP (Data Loss Prevention) impulsado por IA. Promete visibilidad sobre intención, contexto y riesgo más allá de las herramientas DLP tradicionales.
Startup $61M DLPEscape recauda $18M para automatizar el pentesting
Escape asegura $18M para profundizar las capacidades de agentes IA para pentesting automatizado y escalar equipos de ingeniería y go-to-market.
Startup $18M PentestingOpenAI lanza el escáner de vulnerabilidades Codex Security
OpenAI lanza Codex Security (anteriormente Aardvark), un escáner de vulnerabilidades impulsado por IA que ha encontrado cientos de vulnerabilidades críticas en software probado el mes pasado.
Seguridad IA Escáner de vulnerabilidadesMicrosoft Entra Passkeys — Inicio de sesión Windows resistente al phishing
Microsoft despliega soporte de passkeys para Entra en Windows, habilitando autenticación sin contraseña resistente al phishing mediante Windows Hello. Paso importante hacia la eliminación de ataques basados en contraseñas.
Identidad Passkeys Defensa anti-phishing📊 Patrones emergentes de amenazas
Tendencias clave observadas en este ciclo
El análisis de las últimas 24 horas revela varios patrones convergentes:
1. Explotación de dispositivos de borde a gran escala — KadNap (14K routers), campaña FortiGate y explotación de Ivanti EPM apuntan a la infraestructura de borde de red. Los atacantes prefieren cada vez más comprometer los dispositivos diseñados para proteger las redes.
2. Carrera armamentista EDR/Sandbox — El eliminador de EDR BlackSanta, la evasión por archivo Zombie ZIP y la detección de sandbox geométrica muestran una inversión masiva de los atacantes en evadir la seguridad de endpoints.
3. Envenenamiento continuo de la cadena de suministro — Paquetes npm maliciosos (GhostClaw), archivos AirDrop troyanizados (UNC4899) y herramientas de código abierto modificadas (AuraInspector) demuestran vectores persistentes de ataque a la cadena de suministro.
4. Ciclo masivo de parches de proveedores — Microsoft (79), Adobe (80), SAP (crítico), HPE (crítico) = 162+ vulnerabilidades en un solo día. La gestión de parches sigue siendo la carga operativa #1 para los equipos de seguridad.
5. Oleada de inversión en seguridad IA — $376M en nueva financiación para 4 startups (Armadin, Kai, Jazz, Escape) más la entrada de OpenAI en el escaneo de vulnerabilidades. El mercado de seguridad IA se acelera rápidamente.