🛡️ KENSAI Inteligencia de Seguridad
Vulnerabilidades críticas y Zero-Days
Google parchea dos zero-days de Chrome explotados activamente
Google lanzó actualizaciones de emergencia para corregir dos zero-days de Chrome de alta severidad explotados activamente. CVE-2026-3909 es una escritura fuera de límites en la biblioteca gráfica Skia que puede llevar a la ejecución de código. CVE-2026-3910 es una implementación inapropiada en el motor JavaScript V8. Los parches están disponibles en Chrome 146.0.7680.75 (Windows/Linux) y 146.0.7680.76 (macOS). Estos son el 2.º y 3.er zero-day de Chrome parcheados en 2026.
Microsoft Patch Tuesday: 77 vulnerabilidades incluyendo escalada de privilegios en SQL Server
El Patch Tuesday de marzo 2026 de Microsoft aborda 77 vulnerabilidades. Destacable: CVE-2026-21262 permite a un atacante autorizado escalar a privilegios sysadmin en SQL Server 2016+ a través de la red (CVSS 8.8). Sin zero-days este mes, pero dos fallos fueron divulgados públicamente antes del parche.
Apple parchea los exploits Coruna en versiones antiguas de iOS
Apple ha lanzado iOS/iPadOS 16.7.15 y 15.8.7 para parchear vulnerabilidades conocidas como «exploits Coruna». SecurityWeek informa que un contratista de defensa estadounidense está detrás de la cadena de exploits. Los usuarios de dispositivos antiguos deben actualizar inmediatamente.
Fallo en plugin de WordPress expone más de 200.000 sitios a inyección SQL
Una vulnerabilidad en el plugin Ally de WordPress permite a los atacantes inyectar consultas SQL y extraer información sensible de la base de datos. Más de 200.000 sitios web están afectados. Los administradores deben actualizar o eliminar el plugin inmediatamente.
Fallo en n8n Workflow Automation explotado activamente
Una vulnerabilidad en la popular plataforma de automatización n8n está siendo explotada activamente. Los detalles son limitados, pero las organizaciones que ejecutan n8n deben auditar sus implementaciones y aplicar los parches.
Filtraciones de datos
Grupo Handala respaldado por Irán reivindica ataque wiper masivo contra Stryker
El grupo hacktivista Handala, vinculado a Irán, afirma haber borrado datos de más de 200.000 sistemas del gigante de tecnología médica Stryker (NYSE: SYK, 25.000 M$ de ingresos anuales). Más de 5.000 trabajadores en Irlanda fueron enviados a casa. Oficinas en 79 países habrían cerrado. Los dispositivos fueron borrados, las páginas de inicio desfiguradas con el logo de Handala, y el personal recurrió a la comunicación por WhatsApp. El grupo está vinculado al MOIS de Irán a través del actor de amenazas Void Manticore. El ataque fue reivindicado como represalia por un ataque con misiles en febrero.
Filtración de datos en Starbucks afecta a cientos de empleados
Starbucks reveló una filtración de datos después de que actores maliciosos obtuvieran acceso a cuentas de empleados de Starbucks Partner Central mediante ataques de phishing. Cientos de empleados fueron afectados. La empresa investiga el alcance de los datos expuestos.
El gigante minorista canadiense Loblaw notifica a clientes sobre filtración de datos
Loblaw, el mayor minorista de Canadá, ha cerrado automáticamente las sesiones de todos los clientes y forzado el restablecimiento de contraseñas tras descubrir una filtración. El alcance completo de los datos de clientes comprometidos sigue bajo investigación.
Reportada filtración de datos en Telus Digital
La empresa tecnológica canadiense Telus Digital ha sufrido una filtración de datos. Los detalles siguen siendo limitados mientras la investigación continúa.
Ransomware
England Hockey afectado por ransomware AiLock — 129 GB robados
La banda de ransomware AiLock afirma haber robado 129 GB de datos de England Hockey, que gobierna el hockey sobre césped en más de 800 clubes y 150.000 jugadores registrados. AiLock es un grupo relativamente nuevo que usa violaciones de leyes de privacidad como palanca en las negociaciones. La organización trabaja con las fuerzas del orden y especialistas externos.
Campañas de amenazas activas
APT chino ataca a ejércitos del sudeste asiático con malware personalizado
Palo Alto Unit 42 descubrió una campaña de espionaje vinculada a China (CL-STA-1087) que ataca a organizaciones militares del sudeste asiático desde 2020. Los atacantes usaron las familias de malware personalizado AppleChris y MemFun para recopilar documentos sobre capacidades militares, estructuras organizativas e inteligencia sobre colaboraciones militares occidentales. La campaña muestra «paciencia operativa estratégica» y recopilación altamente dirigida.
Storm-2561: Sitios VPN empresariales falsos roban credenciales corporativas
Microsoft rastrea al actor de amenazas Storm-2561 que distribuye clientes VPN falsos que suplantan a Ivanti, Cisco, Fortinet, Sophos, SonicWall, Check Point y WatchGuard. Usa SEO poisoning para posicionar sitios de descarga falsos, instala el infostealer Hyrax junto con una pantalla de inicio de sesión VPN falsa convincente. Tras robar las credenciales, redirige a las víctimas al sitio real del proveedor — haciendo el compromiso casi invisible. Firmado con un certificado legítimo revocado.
Malware bancario VENON basado en Rust ataca 33 bancos brasileños
Un nuevo troyano bancario basado en Rust llamado VENON ataca a usuarios brasileños con superposiciones para robar credenciales de 33 bancos. Representa un cambio respecto al malware bancario latinoamericano tradicional basado en Delphi. Usa secuestro de LNK, monitoreo de ventanas activas y lógica de superposición bancaria similar a las familias Grandoreiro y Mekotio.
FBI investiga malware distribuido a través de juegos de Steam
El FBI busca víctimas de ocho juegos maliciosos de Steam que fueron usados para propagar malware. La agencia recopila información como parte de una investigación en curso. Los jugadores que instalaron los títulos afectados deben escanear sus sistemas.
Hackers vinculados a Irán amplían objetivos a infraestructura de EE.UU.
Grupos de hackers pro-iraníes atacan sitios en Oriente Medio y comienzan a sondear objetivos estadounidenses, incluidos contratistas de defensa, centrales eléctricas y plantas de agua. La escalada sigue las tensiones geopolíticas actuales y aumenta el riesgo de ataques contra infraestructuras críticas.
Centro Nacional de Investigación Nuclear de Polonia atacado
El NCBJ (Centro Nacional de Investigación Nuclear) de Polonia detectó y bloqueó un ciberataque contra su infraestructura TI antes de causar impacto. El ataque subraya el targeting continuo de organizaciones del sector nuclear y energético en Europa.
Acciones de las fuerzas del orden
Operación Synergia III: INTERPOL neutraliza 45.000 IPs, 94 arrestos
La «Operación Synergia III» de INTERPOL — abarcando 72 países de julio 2025 a enero 2026 — redirigió 45.000 IPs maliciosas a sinkholes, incautó 212 dispositivos/servidores, arrestó a 94 sospechosos, con 110 más bajo investigación. En Macao, los investigadores identificaron más de 33.000 sitios de phishing que suplantaban bancos y casinos. Mayores arrestos en Bangladés (40) y Togo (10).
Botnet proxy SocksEscort desmantelado — 369.000 IPs en 163 países
Las fuerzas del orden de EE.UU. y Europa desmantelaron SocksEscort, un servicio proxy criminal que esclavizaba routers residenciales en un botnet desde 2020. El servicio ofrecía acceso a ~369.000 direcciones IP en 163 países, con casi 8.000 routers infectados activos en febrero de 2026. El servicio publicitaba «IPs residenciales estáticas con ancho de banda ilimitado» para evadir listas de bloqueo de spam.
Meta desactiva más de 150.000 cuentas que alimentaban centros de estafa asiáticos
Meta ha lanzado nuevas herramientas de protección y desactivado más de 150.000 cuentas que alimentaban centros de estafa en Asia. El esfuerzo busca interrumpir las operaciones de fraude organizado a gran escala.
Industria y herramientas
Bold Security y Onyx Security emergen cada una con 40 M$ de financiación
Bold Security usa IA para convertir dispositivos en agentes de protección activos que entienden las acciones del usuario en tiempo real. Onyx Security construye un panel de control para ayudar a las organizaciones a supervisar agentes de IA autónomos y adoptarlos rápidamente. Ambas salieron del modo sigiloso con 40 M$ cada una — señalando un fuerte apetito inversor por plataformas de seguridad nativas de IA.
Google pagó 17 M$ en recompensas de bug bounty en 2025
El Programa de Recompensas por Vulnerabilidades de Google pagó 17 millones de dólares a 747 investigadores de seguridad en 2025. Las vulnerabilidades de Chrome generaron 3,7 M$ para los investigadores, mientras que los fallos de seguridad en la nube reportaron 3,5 M$.
🔮 Análisis KENSAI — Qué significa esto para usted
- Parchee Chrome AHORA: Dos zero-days explotados activamente (CVE-2026-3909, CVE-2026-3910) — actualice a 146.0.7680.75+ inmediatamente en todos los endpoints.
- La escalada de la amenaza iraní es real: El ataque wiper a Stryker (200.000+ dispositivos) es la mayor operación destructiva vinculada a Irán hasta la fecha. Combinado con sondeos contra infraestructura de EE.UU., las organizaciones con exposición geopolítica necesitan planes de respuesta a incidentes actualizados.
- Robo de credenciales VPN vía SEO poisoning: Storm-2561 suplanta a todos los principales proveedores de VPN. Implemente MFA en todos los accesos VPN y eduque a los empleados para descargar clientes solo de fuentes internas verificadas — nunca de resultados de búsqueda.
- Administradores de WordPress: La falla SQLi del plugin Ally afecta a más de 200.000 sitios. Audite sus plugins de WordPress y parchee o elimine Ally inmediatamente.
- Relevancia NIS2: Los ataques al centro nuclear polaco y los ataques iraníes a infraestructura crítica refuerzan el mandato de NIS2 para la notificación de incidentes y la seguridad de la cadena de suministro en los servicios esenciales de la UE.
- Ola de financiación en seguridad nativa de IA: 80 M$ en dos lanzamientos sigilosos señalan que el mercado se mueve hacia la supervisión de agentes de IA — directamente relevante para el posicionamiento de KENSAI en la evaluación de seguridad autónoma.