Informe Diario de Amenazas
⚡ Resumen — Lo Importante de Hoy
- Ataque wiper a Stryker: El grupo Handala (vinculado a Irán) utilizó el borrado remoto de Intune en ~80K dispositivos — sin malware, solo una cuenta de Global Admin robada
- Escalada de cadena de suministro GlassWorm: Tokens de GitHub robados usados para inyectar malware mediante force-push en cientos de repositorios Python (Django, ML, paquetes PyPI)
- 0-days de Chrome parcheados: CVE-2026-3909 (Skia) y CVE-2026-3910 (V8) explotados activamente — actualizar de inmediato
- Brecha en Oracle EBS: Solo 4 grandes empresas (Broadcom, Bechtel, Estée Lauder, Abbott) aún no se han pronunciado sobre el impacto
- Backdoor DRILLAPP: Actores vinculados a Rusia atacan Ucrania mediante depuración del navegador Edge — acceso a micrófono y cámara web
- Lanzamiento de Betterleaks: Nuevo escáner de secretos de código abierto del creador de Gitleaks — más rápido, más inteligente, licencia MIT
🔓 Brechas e Incidentes
Stryker: Ataque Wiper Vinculado a Irán Afecta ~80.000 Dispositivos
El grupo hacktivista Handala (vinculado a Irán) comprometió una cuenta de administrador de Stryker, creó un nuevo Global Administrator en Microsoft Entra ID y utilizó el comando de borrado remoto de Intune para eliminar los datos de ~80.000 dispositivos entre las 5:00 y las 8:00 AM UTC del 11 de marzo. No se desplegó malware — los atacantes convirtieron en arma las capacidades legítimas de MDM. Algunos empleados perdieron datos personales de dispositivos BYOD inscritos en la red corporativa. Los sistemas de pedidos electrónicos siguen fuera de servicio; se confirma que los dispositivos médicos no fueron afectados. Microsoft DART y Palo Alto Unit 42 están investigando.
Brecha en Oracle EBS: 4 Grandes Corporaciones Aún en Silencio
La brecha en Oracle E-Business Suite continúa desarrollándose. Broadcom, Bechtel, Estée Lauder y Abbott Technologies son las únicas grandes empresas que aún no han emitido comunicados públicos sobre el posible impacto. Los detalles sobre el vector de compromiso inicial y el alcance permanecen bajo reserva mientras la investigación continúa.
Alto ERP Filtración de DatosBrecha de Datos de Empleados de Starbucks por Phishing
Starbucks confirmó una filtración de datos que afecta a cientos de empleados tras ataques de phishing dirigidos a un portal interno. Se comprometió información personal de los empleados. El incidente subraya los riesgos continuos de los ataques basados en credenciales contra sistemas internos de RRHH.
Alto Phishing Datos de EmpleadosFiltración de Datos de Clientes de Loblaw
El gigante minorista canadiense Loblaw reveló que hackers accedieron a datos personales de clientes, incluyendo nombres, direcciones de correo electrónico y números de teléfono. El alcance de la brecha y el vector de ataque no han sido completamente divulgados.
Medio Comercio Minorista PIIFallo de Seguridad en UK Companies House Expuso Datos Empresariales Desde Octubre 2025
El servicio WebFiling de la agencia gubernamental del Reino Unido fue desconectado el viernes tras descubrir un fallo de seguridad que había estado exponiendo información empresarial desde octubre de 2025 — casi 5 meses de exposición sin detectar. El servicio ya está nuevamente en línea con la corrección aplicada.
Alto Gobierno Exposición de Datos🛡️ Vulnerabilidades Críticas
0-Days en Chrome: CVE-2026-3909 y CVE-2026-3910 (Explotados Activamente)
CVE-2026-3909: Escritura fuera de límites en la biblioteca gráfica 2D Skia. CVE-2026-3910: Implementación inapropiada en el motor JavaScript/WebAssembly V8 que provoca acceso fuera de límites. Ambos están siendo explotados activamente. Google ha publicado parches — actualizar Chrome de inmediato.
Wing FTP Server — CISA Alerta de Explotación Activa
CISA ha añadido una vulnerabilidad de Wing FTP Server a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), advirtiendo que está siendo encadenada con otros fallos para lograr ejecución remota de código. Las agencias federales deben parchear según los plazos de BOD 22-01.
Crítico RCE CISA KEVHPE AOS-CX: Restablecimiento de Contraseña de Admin Sin Autenticación
Una vulnerabilidad crítica en los switches de red HPE Aruba AOS-CX permite a atacantes remotos no autenticados restablecer contraseñas de administrador, eludiendo completamente los controles de autenticación existentes. Parchear de inmediato — afecta a la infraestructura de red central.
Crítico Infraestructura de Red Bypass de AutenticaciónFallo en la Plataforma de Automatización n8n Explotado
Una vulnerabilidad en la popular plataforma de automatización de flujos de trabajo n8n está siendo explotada activamente. Los detalles aparecieron en el resumen semanal de SecurityWeek. Las organizaciones que ejecutan instancias autoalojadas de n8n deben verificar actualizaciones y revisar los controles de acceso de inmediato.
Alto Automatización Explotado🐛 Cadena de Suministro y Malware
GlassWorm ForceMemo: Tokens de GitHub Robados → Malware en Repositorios Python
La campaña GlassWorm ha escalado drásticamente. Los atacantes están utilizando tokens de GitHub robados en el ataque previo a extensiones de VS Code para inyectar malware ofuscado en cientos de repositorios Python — aplicaciones Django, código de investigación en ML, dashboards de Streamlit y paquetes PyPI. La técnica (denominada "ForceMemo") realiza rebase de commits maliciosos sobre commits legítimos, preservando la información del autor original y los mensajes de commit para evitar la detección. Cualquiera que ejecute pip install desde un repositorio comprometido activa el malware. Las inyecciones se remontan al 8 de marzo.
Campañas ClickFix Distribuyen el Infostealer MacSync para macOS
Tres campañas separadas de ClickFix están distribuyendo el infostealer MacSync mediante instaladores falsos de herramientas de IA (incluyendo un falso navegador "OpenAI Atlas"). El ataque depende completamente de la interacción del usuario — las víctimas copian y ejecutan comandos de terminal ofuscados. Se distribuye a través de resultados patrocinados de búsqueda en Google que llevan a páginas falsas de Google Sites. Investigadores de Sophos documentaron la cadena completa desde noviembre de 2025.
Alto macOS Infostealer Ingeniería SocialStorm-2561: Clientes VPN Falsos que Roban Credenciales
El actor de amenazas Storm-2561 está distribuyendo clientes VPN troyanizados mediante envenenamiento de SEO, desplegando troyanos y recopilando credenciales de inicio de sesión de usuarios desprevenidos que buscan software VPN legítimo.
Alto VPN Envenenamiento SEO Robo de CredencialesAparece el Malware Slopoly
Una nueva familia de malware denominada "Slopoly" fue señalada en el resumen semanal de SecurityWeek. Los detalles aún están emergiendo, pero ha sido destacada junto a otras amenazas notables de la semana.
Medio Nuevo Malware🎯 Actividad APT y Estado-Nación
DRILLAPP: Backdoor Vinculado a Rusia Ataca Ucrania Mediante Depuración de Edge
Un nuevo backdoor basado en JavaScript llamado DRILLAPP abusa de la función de depuración remota de Microsoft Edge para realizar espionaje sigiloso contra entidades ucranianas. El malware puede subir/descargar archivos, acceder al micrófono y capturar imágenes de la cámara web — todo a través de las capacidades nativas del navegador. Se distribuye mediante señuelos con temática judicial y de caridad con archivos LNK. Atribuido a Laundry Bear (Void Blizzard), un grupo de amenazas vinculado a Rusia. Campaña observada desde febrero de 2026.
Crítico APT Rusia EspionajeCL-STA-1087: China Ataca Fuerzas Militares del Sudeste Asiático
Palo Alto Unit 42 reveló una paciente operación de espionaje vinculada a China (activa desde 2020) dirigida a organizaciones militares del sudeste asiático con malware personalizado AppleChris y MemFun. Los atacantes demostraron "paciencia operacional estratégica" y se centraron en documentos específicos de capacidades militares en lugar del robo masivo de datos.
Alto APT China MilitarHackers Vinculados a Irán Amplían Objetivos a Infraestructura de EE.UU.
Hackers pro-iraníes están expandiendo sus operaciones más allá de los objetivos en Oriente Medio hacia Estados Unidos, aumentando los riesgos para contratistas de defensa, centrales eléctricas y plantas de tratamiento de agua durante los conflictos regionales en curso.
Alto Irán Infraestructura Crítica ICS/OTCentro de Investigación Nuclear de Polonia: Intento de Hackeo (Posible Irán)
Se reportó un intento de hackeo en el centro de investigación nuclear de Polonia. Las evidencias iniciales apuntan a Irán, aunque las autoridades reconocieron que podría tratarse de una operación de falsa bandera. La investigación continúa.
Alto Nuclear Infraestructura Crítica🔧 Herramientas y Lanzamientos de Seguridad
Betterleaks: Escáner de Secretos de Código Abierto (Sucesor de Gitleaks)
Creado por Zach Rice (autor original de Gitleaks, ahora Director de Escaneo de Secretos en Aikido Security), Betterleaks es una reescritura desde cero con mejoras importantes: validación de reglas basada en CEL, tokenización BPE con 98,6% de recall (vs 70,4% con entropía), implementación pura en Go, manejo automático de secretos multi-codificados, escaneo Git paralelizado y un conjunto ampliado de reglas por proveedor. Las próximas funciones incluyen clasificación asistida por LLM y revocación automática de secretos.
Nuevo Lanzamiento Escaneo de Secretos Código AbiertoBold Security: Lanzamiento Sigiloso de $40M — Agentes de IA en Dispositivos
Bold Security salió del modo sigiloso con $40M en financiación. Su enfoque: convertir dispositivos en agentes de IA activos que comprenden las acciones del usuario y proporcionan protección en tiempo real. Vale la pena seguirlo como potencial competidor/socio en el espacio de seguridad con IA.
Nuevo Seguridad con IA StartupAndroid 17: Restricción de la API de Accesibilidad para Prevención de Malware
Google está probando una función de seguridad en Android 17 Beta 2 que bloquea el uso de la API de Servicios de Accesibilidad por aplicaciones no relacionadas con accesibilidad bajo el Modo de Protección Avanzada. Esto apunta directamente al vector de ataque principal de los troyanos bancarios y spyware en Android.
Nuevo Android Seguridad Móvil📊 Patrones Emergentes
Tendencias Clave de Esta Semana
Varios patrones convergentes que vale la pena monitorizar:
1. MDM como Arma: El ataque a Stryker demuestra que las herramientas de gestión legítimas (Intune, SCCM, Jamf) son ahora superficies de ataque de primer nivel. Sin necesidad de malware — solo credenciales de administrador y un comando de borrado. Se esperan imitadores.
2. Cascada en Cadena de Suministro (GlassWorm → ForceMemo): Un único compromiso de cadena de suministro (extensiones de VS Code) ahora se ha convertido en un ataque de segundo orden contra repositorios Python. Este patrón de reacción en cadena — donde las credenciales robadas de un ataque alimentan el siguiente — se está acelerando.
3. ClickFix Se Vuelve Multiplataforma: La técnica de ingeniería social ClickFix (engañar a usuarios para que ejecuten comandos de terminal) ha pasado de Windows a macOS, distribuida mediante instaladores falsos de herramientas de IA. El entusiasmo por la IA es el nuevo señuelo de phishing.
4. Navegador como C2: Tanto DRILLAPP (depuración de Edge) como los 0-days de Chrome demuestran que los navegadores siguen siendo la superficie de ataque más valiosa. La línea entre "navegando" y "comprometido" sigue adelgazándose.
5. Escalada de Irán: Tres noticias vinculadas a Irán en 24 horas — wiper de Stryker, ataques a infraestructura de EE.UU., instalación nuclear de Polonia. Las tensiones geopolíticas se traducen directamente en operaciones cibernéticas.
📌 También Destacable
Noticias Breves
• Interrupción de Microsoft Exchange Online — Problema en curso que bloquea el acceso a buzones y calendarios (Mar 16)
• Google pagó $17M en recompensas por bugs en 2025 — $3,7M solo para Chrome, $3,5M para seguridad en la nube
• Gobernanza de Shadow AI — Nudge Security informa sobre la creciente adopción no monitorizada de herramientas de IA en empresas
• Ejecutivo de firma de seguridad atacado — Phishing sofisticado utilizando correos firmados con DKIM, redirecciones de confianza y páginas de phishing protegidas por Cloudflare
• Operación contra el cibercrimen de Interpol — Operación multinacional señalada en los resúmenes semanales
• Filtración de datos de Telus Digital — Filial canadiense de telecomunicaciones afectada
• Vulnerabilidades en Linux AppArmor — Fallos que permiten escalada de privilegios a root