🛡️ KENSAI Inteligencia de Seguridad
Filtraciones de datos
Telus Digital confirma filtración — Hacker afirma haber robado 1 petabyte
El gigante canadiense de BPO Telus Digital confirmó una brecha de seguridad de varios meses después de que actores de amenazas afirmaran haber exfiltrado casi 1 petabyte de datos. La escala de esta filtración es extraordinaria — uno de los mayores robos volumétricos de datos jamás reivindicados.
BPOExfiltración de datosCanadáFiltración de datos de Bell Ambulance — 238.000 personas afectadas
Hackers robaron información personal incluyendo nombres, números de seguridad social y números de licencia de conducir de Bell Ambulance, afectando a 238.000 personas. El sector sanitario sigue siendo un objetivo prioritario.
SanidadPIIExposición de SSNLoblaw (el mayor minorista de Canadá) notifica a clientes sobre filtración
El gigante minorista canadiense Loblaw obligó a todos los clientes a cerrar sesión en sus cuentas tras una filtración de datos. Los servicios digitales de la empresa se interrumpieron temporalmente como medida de precaución.
Comercio minoristaDatos de clientesCanadáVulnerabilidades críticas y parches
Veeam Backup & Replication — 4 vulnerabilidades RCE críticas
Veeam parcheó 4 vulnerabilidades críticas de ejecución remota de código en su solución Backup & Replication. Dada la prevalencia de Veeam en entornos empresariales, estas vulnerabilidades son objetivos de alta prioridad para operadores de ransomware. Parchee inmediatamente.
RCEInfraestructura de respaldoParchear ahoraMicrosoft Patch Tuesday — 77 vulnerabilidades corregidas
Microsoft publicó correcciones para 77 fallos incluyendo CVE-2026-21262 (escalación de privilegios en SQL Server a sysadmin, CVSS 8.8), CVE-2026-26113 y CVE-2026-26110 (RCE en Office vía panel de vista previa — sin necesidad de clic). Dos errores fueron divulgados públicamente antes del parche.
Patch TuesdaySQL ServerOffice RCE.NETn8n Automatización de flujos de trabajo — Vulnerabilidades de toma de control del servidor
Errores críticos en n8n permitieron a atacantes no autenticados ejecutar código arbitrario, robar credenciales y tomar el control de servidores. Cualquier organización que ejecute n8n debe parchear inmediatamente — se trata de un RCE no autenticado.
n8nRCE no autenticadoAutomatización de flujosCisco IOS XR — Parches de alta severidad
Cisco parcheó vulnerabilidades de alta severidad en IOS XR que podrían provocar DoS, ejecución de comandos o toma de control completa del dispositivo. Los operadores de infraestructura de red deben priorizar.
CiscoInfraestructura de redDoSSplunk & Zoom — Vulnerabilidades graves parcheadas
Fallos críticos y de alta severidad en Splunk y Zoom podían ser explotados para ejecutar comandos shell arbitrarios o escalar privilegios. Ambos ampliamente desplegados en entornos empresariales.
SplunkZoomEjecución de shellApple retroporta parches del kit de explotación Coruna a iOS heredado
Apple lanzó iOS 15.8.7 y 16.7.15 para parchear CVE-2023-43010 (corrupción de memoria WebKit) utilizado en el kit de explotación Coruna para ciberespionaje y robo de criptomonedas. Afecta a iPhones/iPads antiguos que no pueden ejecutar la última versión de iOS.
AppleWebKitKit de explotaciónEspionajePlugin WordPress «Ally» — Inyección SQL afectando a más de 200.000 sitios
Una vulnerabilidad en el plugin Ally de WordPress expone a más de 200.000 sitios web a ataques de inyección SQL, permitiendo a los atacantes extraer información sensible de la base de datos.
WordPressSQLi200K sitiosRansomware y ataques destructivos
El gigante MedTech Stryker paralizado por un ataque Wiper vinculado a Irán
El grupo hacktivista respaldado por Irán Handala (vinculado al MOIS/Void Manticore) afirma haber borrado datos de más de 200.000 sistemas en las operaciones globales de Stryker. Más de 5.000 trabajadores enviados a casa en Irlanda. Oficinas en 79 países afectadas. Los dispositivos personales de empleados con Outlook también fueron borrados. Las páginas de inicio de sesión desfiguradas con el logo de Handala. Las líneas telefónicas de la empresa reportan «emergencia del edificio».
Este es uno de los ataques Wiper más impactantes contra una empresa occidental en años — una empresa de 25.000 millones de dólares esencialmente fuera de línea a nivel mundial.
Estado-naciónIrán / MOISWiperHandalaMedTechEngland Hockey afectado por ransomware AiLock
England Hockey, el organismo rector nacional del hockey sobre hierba, está investigando una posible filtración de datos después de que el grupo de ransomware AiLock los incluyera en su sitio de filtraciones. Las organizaciones deportivas son cada vez más atacadas.
AiLockDeportesUKMalware «Slopoly» generado por IA utilizado en ataque ransomware Interlock
Una nueva cepa de malware generada por IA llamada Slopoly fue utilizada en un ataque ransomware Interlock, permitiendo a los actores de amenazas mantener persistencia durante más de una semana y exfiltrar datos antes de desplegar el ransomware. Señala el creciente uso de IA en el desarrollo de malware.
Malware generado por IAInterlockPersistenciaAmenazas emergentes e investigación
Troyano bancario VENON — Malware basado en Rust dirigido a 33 bancos brasileños
Un nuevo troyano bancario basado en Rust llamado VENON ataca a 33 bancos brasileños usando ataques de superposición, monitorización de ventanas activas y secuestro de LNK. El cambio de Delphi a Rust señala que los autores de malware adoptan lenguajes modernos más difíciles de analizar.
Troyano bancarioRustBrasilAtaque de superposiciónSeis nuevas familias de malware Android apuntan a pagos Pix y monederos crypto
Zimperium descubrió 6 nuevas familias de malware Android: PixRevolution, TaxiSpy RAT, BeatBanker, Mirax, Oblivion RAT y SURXRAT. PixRevolution secuestra las transferencias de pago instantáneo Pix de Brasil en tiempo real. Algunos usan operadores IA/humanos que observan las pantallas de las víctimas en vivo.
AndroidBanca móvilPixRATNavegadores IA agénticos vulnerables a phishing — Comet de Perplexity engañado en 4 minutos
Investigadores de Guardio demostraron que los navegadores agénticos impulsados por IA (como Comet de Perplexity) pueden ser engañados por estafas de phishing explotando la tendencia de la IA a razonar y narrar acciones. Los atacantes manipulan el proceso de razonamiento para reducir las barreras de seguridad.
Seguridad IAIA agénticaNavegadorPhishingAtaque a la cadena de suministro Polyfill (2024) ahora vinculado a Corea del Norte
El ataque a la cadena de suministro Polyfill.io de 2024 que impactó a más de 100.000 sitios web fue inicialmente atribuido a China, pero nuevas evidencias de una infección por infostealer revelan participación norcoreana. Destaca los desafíos continuos de atribución en ataques a la cadena de suministro.
Supply ChainCorea del NorteAtribuciónFuerzas del orden e industria
EE.UU. desmantelan la red proxy SocksEscort
Las fuerzas del orden estadounidenses y europeas desmantelaron la red proxy de ciberdelincuencia SocksEscort, que utilizaba dispositivos periféricos comprometidos mediante el malware Linux AVRecon. Un desmantelamiento significativo de infraestructura criminal.
DesmantelamientoRed proxyIoTMeta desactiva más de 150.000 cuentas de centros de estafa en Asia
Meta lanzó nuevas herramientas de protección y desactivó más de 150.000 cuentas que operaban centros de estafa en toda Asia. Continuando su ofensiva contra las operaciones de fraude organizado.
MetaCentros de estafaAsiaWiz se une a Google Cloud — Adquisición de 32.000 millones de dólares cerrada
Google completó su histórica adquisición de 32.000 millones de dólares de la empresa de seguridad en la nube Wiz. Wiz mantendrá su marca dentro de Google Cloud. La mayor adquisición de ciberseguridad de la historia.
M&AGoogle CloudWiz$32BGoogle pagó 17,1 millones de dólares en recompensas Bug Bounty en 2025
El programa de recompensas por vulnerabilidades de Google pagó 17,1 millones de dólares a 747 investigadores en 2025, demostrando una inversión continua en seguridad colaborativa.
Bug BountyGoogle VRPEl Senado confirma a Joshua Rudd como jefe de la NSA y Cyber Command
El Senado de EE.UU. confirmó a Joshua Rudd para liderar tanto la NSA como el US Cyber Command bajo el acuerdo de «doble sombrero».
GobiernoNSAUSCYBERCOM🎯 Análisis KENSAI — Lo que importa para nuestros clientes
- Convergencia Veeam RCE + Ransomware: La infraestructura de respaldo es ahora un objetivo de ataque principal. Las organizaciones que usan Veeam deben parchear inmediatamente — los operadores de ransomware explotan activamente los sistemas de respaldo para impedir la recuperación. El escaneo de infraestructura de KENSAI detecta instancias Veeam expuestas.
- El malware generado por IA está listo para producción: El malware «Slopoly» utilizado en el ataque Interlock fue generado por IA y lo suficientemente eficaz para una intrusión de una semana. Esto reduce la barrera para ataques sofisticados — exactamente por qué la defensa impulsada por IA (KENSAI) debe igualar la ofensiva impulsada por IA.
- Los Wipers de estados-nación se comercializan: El ataque a Stryker por Handala/MOIS muestra a grupos respaldados por estados desplegando wipers devastadores contra empresas occidentales. Más de 200.000 dispositivos borrados en una sola operación. Los requisitos de cumplimiento NIS2 para respuesta a incidentes y resiliencia no son opcionales.
- Exposiciones de plugins WordPress (200K sitios): La SQLi del plugin Ally afecta a más de 200.000 sitios. Las capacidades DAST de KENSAI pueden detectar automáticamente estos puntos de inyección antes que los atacantes.
- La atribución de cadena de suministro cambia: El ataque Polyfill reatribuido de China a Corea del Norte. Las organizaciones necesitan monitorización continua de dependencias — el análisis SBOM de KENSAI detecta paquetes comprometidos.
- Prioridad Patch Tuesday: El RCE del panel de vista previa de Microsoft Office (CVE-2026-26113/26110) no requiere ningún clic. La escalación de SQL Server a sysadmin (CVE-2026-21262) es explotable por red. Ambos son de alta prioridad para cualquier empresa DACH con infraestructura Microsoft.