🛡️ KENSAI Inteligencia de Seguridad
💥 Brechas y Ataques Importantes
CRÍTICO Stryker ($25B MedTech) paralizada por ataque wiper vinculado a Irán
El grupo hacktivista respaldado por Irán Handala (vinculado a MOIS/Void Manticore) afirma haber borrado más de 200.000 dispositivos en las oficinas de Stryker en 79 países. Más de 5.000 trabajadores en Irlanda fueron enviados a casa. Los teléfonos personales de empleados con Outlook fueron borrados, y las pantallas de inicio de sesión fueron desfiguradas con el logo de Handala. El ataque fue reivindicado como represalia por un ataque con misiles del 28 de febrero contra una escuela iraní.
ALTO Michelin confirma brecha de datos de más de 300GB mediante ataque a Oracle EBS
El gigante de neumáticos Michelin confirmó una brecha de datos vinculada a un ataque contra su infraestructura Oracle E-Business Suite. Los ciberdelincuentes han filtrado más de 300GB de archivos robados.
ALTO Brecha en Bell Ambulance afecta a 238.000 personas
Hackers robaron información personal incluyendo nombres, números de Seguro Social y números de licencia de conducir de 238.000 personas de Bell Ambulance.
MEDIO Meta desactiva 150K cuentas fraudulentas, 21 arrestos en Tailandia
Meta eliminó más de 150.000 cuentas vinculadas a centros de estafas en el sudeste asiático en una operación coordinada con autoridades de 12 países. La Policía Real de Tailandia realizó 21 arrestos. Esto sigue a un piloto de diciembre de 2025 que eliminó 59.000 cuentas.
🐛 Vulnerabilidades Críticas y Parches
CRÍTICO Patch Tuesday de Microsoft en marzo — 84 fallos, 2 Zero-Days públicos
8 Críticos, 76 Importantes. Zero-days clave:
• CVE-2026-21262 (CVSS 8.8) — Elevación de privilegios en SQL Server a sysadmin a través de la red
• CVE-2026-26127 (CVSS 7.5) — Denegación de servicio en .NET
• 46 elevaciones de privilegios, 18 RCE, 10 fallos de divulgación de información parcheados
CRÍTICO Fallo RCE en n8n explotado activamente — Directiva de emergencia de CISA
CISA ordenó a todas las agencias federales parchear una vulnerabilidad RCE activamente explotada en n8n (popular plataforma de automatización de flujos de trabajo). Los atacantes están explotando esto en entornos reales.
ALTO SQLi en plugin Elementor Ally — Más de 400K sitios WordPress en riesgo
Vulnerabilidad de inyección SQL no autenticada en Ally, un plugin de accesibilidad de Elementor con más de 400.000 instalaciones. Los atacantes pueden robar datos sensibles sin autenticación.
ALTO Fortinet, Ivanti e Intel parchean errores de alta severidad
Parches para ejecución arbitraria de código, elevación de privilegios y evasión de autenticación en productos de FortiGate, Ivanti e Intel. Los dispositivos FortiGate NGFW están siendo explotados activamente para penetrar redes y robar credenciales de cuentas de servicio (AD/LDAP).
MEDIO Patch Tuesday ICS — Siemens, Schneider, Moxa, Mitsubishi Electric
Los fabricantes de sistemas de control industrial publicaron nuevos avisos de seguridad. Los operadores de infraestructura crítica deben revisar y parchear de inmediato.
🦠 Nuevo Malware y Campañas de Amenazas
CRÍTICO BlackSanta — Nuevo eliminador de EDR/AV dirigido a departamentos de RRHH
Un actor de amenazas de habla rusa ha estado atacando departamentos de RRHH durante más de un año con un nuevo eliminador de EDR llamado BlackSanta. Desactiva las protecciones antivirus y EDR a nivel de kernel, permitiendo la recolección de credenciales y la exfiltración de datos.
ALTO Botnet KadNap — Más de 14.000 dispositivos de borde infectados
El nuevo malware KadNap ataca routers ASUS, construyendo una botnet de proxy sigilosa utilizando un protocolo Kademlia DHT personalizado. Más de 14.000 dispositivos infectados, el 60% en EE.UU. Detectado por Black Lotus Labs de Lumen.
ALTO PhantomRaven — 88 paquetes NPM maliciosos robando datos de desarrolladores
La campaña de ataque a la cadena de suministro PhantomRaven continúa afectando npm con 88 paquetes maliciosos que exfiltran datos sensibles de desarrolladores JavaScript.
ALTO Malware Android BeatBanker — App falsa de Starlink
El nuevo troyano bancario para Android BeatBanker se disfraza como una app de Starlink en sitios web falsos de Google Play Store para secuestrar dispositivos.
MEDIO "Zombie ZIP" — Nueva técnica de evasión que elude EDR/AV
Una nueva técnica llamada Zombie ZIP oculta cargas maliciosas en archivos comprimidos especialmente diseñados para evadir la detección de antivirus y EDR.
🔧 Movimientos de la Industria y Herramientas de Seguridad
INFO Google completa la adquisición de Wiz por $32B
Wiz se une oficialmente a Google Cloud en la mayor adquisición de ciberseguridad de la historia. Wiz mantendrá su marca dentro de Google Cloud.
INFO OpenAI adquirirá Promptfoo (startup de seguridad de IA)
OpenAI está adquiriendo Promptfoo (más de $23M recaudados), una plataforma para asegurar LLMs y agentes de IA. Señal de que la seguridad de IA se está convirtiendo en una competencia central.
INFO Scanner recauda $22M para caza de amenazas impulsada por IA
Scanner conecta agentes de IA a data lakes de seguridad para investigaciones interactivas, ingeniería de detección y respuesta autónoma.
INFO Quantro Security sale del modo sigiloso ($2,5M)
Nueva startup que se integra con pilas de ciberseguridad existentes, ingiere y normaliza datos, y ofrece inteligencia para reducir el riesgo.
INFO El Senado confirma a Joshua Rudd para liderar la NSA y el Comando Cibernético de EE.UU.
El acuerdo de liderazgo dual continúa con Rudd supervisando tanto la NSA como USCYBERCOM.
📡 Patrones de Amenazas Emergentes
ALTO Agentes de navegador IA vulnerables a phishing mediante "Agentic Blabbering"
Investigadores engañaron al Comet AI Browser de Perplexity en una estafa de phishing en menos de 4 minutos. La tendencia de los navegadores IA a narrar su razonamiento ("Agentic Blabbering") puede ser explotada para reducir las protecciones de seguridad. Descubierto por Guardio.
Tendencias Clave Observadas
1. El hacktivismo estatal se intensifica: El grupo Handala, vinculado a Irán, borrando más de 200K dispositivos en una empresa de $25B demuestra que la capacidad destructiva está en aumento.
2. Los ataques a la cadena de suministro se aceleran: PhantomRaven (npm), robo de credenciales en FortiGate y explotación de Oracle EBS apuntan todos a la cadena de suministro.
3. La evasión de EDR/AV madura: El eliminador de EDR a nivel de kernel BlackSanta + la técnica de evasión Zombie ZIP — los atacantes diseñan específicamente herramientas para derrotar las defensas.
4. La seguridad de IA se convierte en foco de fusiones y adquisiciones: Google/Wiz ($32B), OpenAI/Promptfoo, Scanner ($22M) — flujo masivo de capital hacia la seguridad de IA.
5. Los agentes de IA como superficie de ataque: Navegadores agénticos víctimas de phishing en minutos — nueva superficie de ataque que la mayoría de las organizaciones no ha abordado.
🎯 Relevancia de KENSAI y Oportunidades de Contenido
- RCE en n8n (directiva de CISA) — KENSAI puede detectar esto en entornos de clientes. Oportunidad de artículo sobre seguridad en automatización de flujos de trabajo.
- Campaña de explotación de FortiGate — Ángulo perfecto para NIS2: "Tu firewall está siendo usado en tu contra." Los escaneos de KENSAI detectan configuraciones débiles/expuestas de FortiGate.
- SQLi en WordPress (plugin Ally) — 400K sitios en riesgo. Las capacidades DAST de KENSAI pueden identificarlos. Oportunidad de contenido de escaneo masivo.
- Seguridad de agentes de IA — La adquisición de Promptfoo por OpenAI valida el mercado de seguridad de IA en el que opera KENSAI. Oportunidad de liderazgo de pensamiento.
- Ataque wiper a Stryker — Ángulo de cumplimiento NIS2 para empresas de salud/medtech en la región DACH.
- Patch Tuesday ICS — Contenido de cumplimiento DORA/NIS2 para operadores industriales que usan Siemens/Schneider.