剣 KENSAI
← Back to archive
2026 — 03 — 15  •  DOMINGO

KENSAI Investigación de Seguridad

Informe diario de inteligencia de amenazas — últimas 24 horas
4
CVEs críticos
3
Brechas de datos
3
Fuerzas del orden
4
Campañas de amenazas
2
Nuevas herramientas

🔴 Vulnerabilidades críticas

Chrome 146 parchea dos Zero-Days explotados (CVE-2026-3909 & CVE-2026-3910)

Google publicó parches de emergencia para dos Zero-Days de alta severidad explotados activamente. CVE-2026-3909 (CVSS 8.8) es una escritura fuera de límites en la biblioteca gráfica 2D Skia; CVE-2026-3910 apunta al motor JavaScript V8. Ambos permiten ejecución remota de código mediante páginas HTML manipuladas. Actualice Chrome inmediatamente.

CVSS 8.8 Zero-Day Chrome

Vulnerabilidad crítica en HPE AOS-CX permite restablecer contraseñas de administrador

Una vulnerabilidad crítica en los switches de red HPE Aruba AOS-CX permite a atacantes remotos no autenticados eludir los controles de autenticación y restablecer contraseñas de administrador. Las organizaciones que ejecutan HPE AOS-CX deben parchear con urgencia — no se requiere interacción del usuario para la explotación.

Crítico RCE no autenticado HPE / Aruba

9 fallos «CrackArmor» en Linux AppArmor — Escalada a root y escape de contenedor

Qualys TRU reveló nueve vulnerabilidades de tipo confused deputy en el módulo AppArmor del kernel Linux. Usuarios sin privilegios pueden escalar a root y romper el aislamiento de contenedores. Estos fallos socavan las garantías de seguridad fundamentales de Linux. Se espera que todas las distribuciones principales publiquen parches del kernel esta semana.

Crítico Escalada root Linux Kernel

SQLi en el plugin WordPress «Ally» expone más de 200.000 sitios

Una vulnerabilidad de inyección SQL en el popular plugin Ally para WordPress (más de 200.000 instalaciones) permite a los atacantes inyectar consultas y extraer contenido sensible de bases de datos. No hay parche disponible al momento de la divulgación. Los administradores de sitios deben desactivar el plugin hasta que se publique una corrección.

SQLi 200K sitios WordPress

💀 Brechas de datos y ataques

Brecha de datos de empleados de Starbucks por campaña de phishing

Starbucks confirmó una brecha de datos que afecta a los datos de los empleados tras ataques de phishing dirigidos a un portal interno de empleados. Cientos de empleados afectados con información personal expuesta. El robo de credenciales fue el vector principal.

Brecha de datos Phishing

Ataque vinculado a Irán contra Stryker interrumpe la producción

Actores de amenazas iraníes atacaron al fabricante de dispositivos médicos Stryker, interrumpiendo las operaciones de fabricación y envío. Los atacantes utilizaron herramientas de gestión de endpoints existentes (living off the land) en lugar de malware tradicional para borrar dispositivos. Un impacto significativo en la cadena de suministro del sector sanitario.

Destructivo Iran APT Sanidad

Centro de investigación nuclear de Polonia objetivo de ciberataque

El Centro Nacional de Investigación Nuclear de Polonia (NCBJ) reportó un ciberataque contra su infraestructura de TI. El ataque fue detectado y bloqueado antes de causar impacto, pero el ataque a instituciones de investigación nuclear señala una escalada de operaciones cibernéticas geopolíticas en Europa.

Estado-nación Infraestructura crítica

🕷️ Campañas de amenazas y malware

APT chino CL-STA-1087 ataca ejércitos del sudeste asiático

Palo Alto Unit 42 descubrió una campaña APT vinculada a China dirigida a organizaciones militares del sudeste asiático desde 2020. Utilizando malware personalizado (AppleChris, MemFun), el grupo recopiló archivos específicos sobre capacidades militares y cooperación militar occidental. Demuestra «paciencia operativa estratégica» — recopilación de inteligencia altamente dirigida, no robo masivo.

APT / China Espionaje Militar

Storm-2561: Clientes VPN enterprise troyanizados mediante envenenamiento SEO

Microsoft reveló la campaña de Storm-2561 que distribuye clientes VPN falsos de Ivanti, Cisco y Fortinet a través de envenenamiento SEO. Los usuarios que buscan software VPN enterprise legítimo son redirigidos a sitios controlados por atacantes que sirven troyanos firmados digitalmente que roban credenciales VPN. Todos los administradores VPN enterprise deben emitir avisos sobre fuentes de descarga.

Robo de credenciales Supply Chain VPN

GlassWorm se intensifica: 72 extensiones Open VSX maliciosas

Una importante escalada de la campaña supply-chain GlassWorm ahora abusa de extensionPack y extensionDependencies en el registro Open VSX para crear cadenas de infección transitivas a través de 72 extensiones. Los desarrolladores que usan alternativas a VS Code con Open VSX deben auditar sus extensiones instaladas inmediatamente.

Supply Chain Herramientas de desarrollo VSCode

SDK de AppsFlyer secuestrado para ataque supply-chain de robo de criptomonedas

El SDK Web de AppsFlyer fue comprometido temporalmente con código JavaScript malicioso diseñado para robar criptomonedas. Este ataque supply-chain afectó a sitios que integran el popular SDK de analítica de marketing. El código malicioso ha sido eliminado, pero los sitios que almacenaron el SDK en caché podrían seguir sirviéndolo.

Supply Chain Robo de cripto JavaScript

⚖️ Operaciones de las fuerzas del orden

INTERPOL Operación Synergia III: 45.000 IPs neutralizadas, 94 arrestados

La mayor operación anticiberdelincuencia de INTERPOL hasta la fecha involucró a 72 países, neutralizando 45.000 IPs maliciosas e incautando 212 servidores. 94 arrestos realizados con 110 más bajo investigación. Los objetivos incluyeron infraestructura de phishing, distribución de malware y ransomware. Solo Bangladesh vio 40 arrestos y 134 dispositivos incautados.

Fuerzas del orden 72 países

Botnet proxy SocksEscort desmantelado — 369.000 dispositivos en 163 países

Una operación internacional autorizada judicialmente desmanteló SocksEscort, un botnet proxy criminal que infectó 369.000 routers residenciales con el malware AVrecon desde 2020. El servicio vendía acceso a routers domésticos comprometidos para operaciones de fraude, con 2.500 dispositivos en EE.UU. entre aproximadamente 8.000 nodos activos.

Desmantelamiento Botnet

El FBI investiga la propagación de malware a través de juegos de Steam

El FBI busca víctimas que instalaron ocho juegos maliciosos subidos a Steam que contenían malware. La investigación apunta a una campaña que utilizó la plataforma de juegos como vector de distribución de malware. Los jugadores que instalaron títulos desconocidos en las últimas semanas deben escanear sus sistemas.

Investigación FBI Gaming / Steam

🛡️ Herramientas de seguridad e industria

Bold Security sale del modo sigiloso — $40M de financiación

Bold Security se lanzó con $40M de financiación, utilizando IA para convertir endpoints en agentes de seguridad activos que comprenden el comportamiento del usuario y proporcionan protección en tiempo real. Representa el cambio continuo de la industria hacia la seguridad de endpoints autónoma impulsada por IA.

Startup Seguridad IA

Onyx Security se lanza — $40M para supervisión de agentes IA

Onyx Security se lanzó con $40M para construir un plano de control para supervisar agentes IA autónomos. Directamente relevante para el mercado emergente de gobernanza IA — ayudando a las organizaciones a adoptar agentes IA de forma segura mientras mantienen controles de seguridad.

Startup Gobernanza IA

Google pagó $17M en recompensas Bug Bounty en 2025

El programa Bug Bounty 2025 de Google pagó $17M en total — $3,7M por vulnerabilidades de Chrome y $3,5M por defectos de seguridad en la nube. Señala el creciente valor (y volumen) de la investigación de vulnerabilidades en el mercado.

Bug Bounty $17M pagados

📌 Menciones destacadas

Meta elimina el cifrado E2E de chats de Instagram (mayo 2026)

Meta discontinuará el cifrado de extremo a extremo para los mensajes directos de Instagram después del 8 de mayo de 2026. Una regresión significativa de privacidad que afecta a millones de usuarios. Los medios y mensajes deben descargarse antes de la fecha límite.

Privacidad Meta / Instagram

Hackers vinculados a Irán amplían objetivos en EE.UU.

Los hackers pro-iraníes están expandiendo sus objetivos más allá de Oriente Medio hacia contratistas de defensa estadounidenses, centrales eléctricas y plantas de tratamiento de agua. La escalada en condiciones de guerra eleva el perfil de riesgo para los operadores de infraestructuras críticas de EE.UU.

Iran APT Infraestructura crítica

Hotpatch OOB de Microsoft para Windows 11 RRAS RCE

Microsoft publicó una actualización fuera de banda que corrige una vulnerabilidad de seguridad en el servicio Routing and Remote Access (RRAS) de Windows 11 Enterprise. Solo afecta a implementaciones Enterprise con hotpatch habilitado.

Parche Windows 11

Apple parchea versiones antiguas de iOS contra exploits Coruna

Apple publicó iOS 16.7.15 y 15.8.7 para parchear los exploits Coruna en dispositivos más antiguos. Se informa que un contratista de defensa estadounidense estaba detrás de la cadena de exploits Coruna. Los iPhones y iPads más antiguos aún en uso deben actualizarse inmediatamente.

Cadena de exploits Apple iOS

🎯 Relevancia KENSAI y acciones recomendadas

  • Ataques supply-chain dominan: GlassWorm (VSX), SDK AppsFlyer y malware de Steam — las capacidades de escaneo SBOM y análisis de dependencias de KENSAI son ángulos de contenido directamente relevantes
  • Fallos Linux CrackArmor: Las vulnerabilidades de escape de contenedor afectan a aplicaciones alojadas en la nube — ángulo fuerte para contenido de escaneo de infraestructura KENSAI dirigido a equipos DevOps
  • Dos nuevas startups de seguridad IA ($80M combinados): Bold Security y Onyx Security validan el mercado de seguridad IA. KENSAI debería posicionarse frente a ellos en la estrategia de contenido
  • Escalada Iran APT: Objetivos de infraestructura crítica de EE.UU. + ángulos de cumplimiento NIS2 para contenido del mercado DACH (energía, agua, contratistas de defensa)
  • SQLi WordPress (200K sitios): Buen candidato para promoción de escaneo gratuito KENSAI — «¿Es vulnerable su sitio WordPress?»
  • Robo de credenciales VPN (Storm-2561): Oportunidad de contenido sobre higiene de seguridad enterprise — monitorización de credenciales, verificación de descargas