剣 KENSAI
← Back to archive

Informe Diario de Amenazas

2026-03-17 · Martes · 04:00 CET
Análisis automatizado del panorama de seguridad en 24h
4
Brechas
3
CVEs Críticos
2
Campañas APT
3
Nuevas Herramientas

⚡ Resumen — Lo Importante de Hoy

  • Ataque wiper a Stryker: El grupo Handala (vinculado a Irán) utilizó el borrado remoto de Intune en ~80K dispositivos — sin malware, solo una cuenta de Global Admin robada
  • Escalada de cadena de suministro GlassWorm: Tokens de GitHub robados usados para inyectar malware mediante force-push en cientos de repositorios Python (Django, ML, paquetes PyPI)
  • 0-days de Chrome parcheados: CVE-2026-3909 (Skia) y CVE-2026-3910 (V8) explotados activamente — actualizar de inmediato
  • Brecha en Oracle EBS: Solo 4 grandes empresas (Broadcom, Bechtel, Estée Lauder, Abbott) aún no se han pronunciado sobre el impacto
  • Backdoor DRILLAPP: Actores vinculados a Rusia atacan Ucrania mediante depuración del navegador Edge — acceso a micrófono y cámara web
  • Lanzamiento de Betterleaks: Nuevo escáner de secretos de código abierto del creador de Gitleaks — más rápido, más inteligente, licencia MIT

🔓 Brechas e Incidentes

Stryker: Ataque Wiper Vinculado a Irán Afecta ~80.000 Dispositivos

📅 Mar 16 🏢 Stryker (MedTech) 🌍 Global

El grupo hacktivista Handala (vinculado a Irán) comprometió una cuenta de administrador de Stryker, creó un nuevo Global Administrator en Microsoft Entra ID y utilizó el comando de borrado remoto de Intune para eliminar los datos de ~80.000 dispositivos entre las 5:00 y las 8:00 AM UTC del 11 de marzo. No se desplegó malware — los atacantes convirtieron en arma las capacidades legítimas de MDM. Algunos empleados perdieron datos personales de dispositivos BYOD inscritos en la red corporativa. Los sistemas de pedidos electrónicos siguen fuera de servicio; se confirma que los dispositivos médicos no fueron afectados. Microsoft DART y Palo Alto Unit 42 están investigando.

Perspectiva KENSAI: Este ataque evidencia un punto ciego crítico — plataformas MDM como Intune pueden ser utilizadas como armas de destrucción sin necesidad de malware. El artículo 21 de NIS2 exige controles de cadena de suministro y acceso de administradores. Las organizaciones deben implementar MFA resistente al phishing en todas las cuentas de Global Admin y establecer monitorización de cuentas de emergencia.
Crítico Wiper Abuso de MDM Irán

Brecha en Oracle EBS: 4 Grandes Corporaciones Aún en Silencio

📅 Mar 16 🏢 Broadcom, Bechtel, Estée Lauder, Abbott

La brecha en Oracle E-Business Suite continúa desarrollándose. Broadcom, Bechtel, Estée Lauder y Abbott Technologies son las únicas grandes empresas que aún no han emitido comunicados públicos sobre el posible impacto. Los detalles sobre el vector de compromiso inicial y el alcance permanecen bajo reserva mientras la investigación continúa.

Alto ERP Filtración de Datos

Brecha de Datos de Empleados de Starbucks por Phishing

📅 Mar 16 🏢 Starbucks

Starbucks confirmó una filtración de datos que afecta a cientos de empleados tras ataques de phishing dirigidos a un portal interno. Se comprometió información personal de los empleados. El incidente subraya los riesgos continuos de los ataques basados en credenciales contra sistemas internos de RRHH.

Alto Phishing Datos de Empleados

Filtración de Datos de Clientes de Loblaw

📅 Mar 16 🏢 Loblaw Companies 🌍 Canadá

El gigante minorista canadiense Loblaw reveló que hackers accedieron a datos personales de clientes, incluyendo nombres, direcciones de correo electrónico y números de teléfono. El alcance de la brecha y el vector de ataque no han sido completamente divulgados.

Medio Comercio Minorista PII

Fallo de Seguridad en UK Companies House Expuso Datos Empresariales Desde Octubre 2025

📅 Mar 16 🏢 UK Companies House 🌍 Reino Unido

El servicio WebFiling de la agencia gubernamental del Reino Unido fue desconectado el viernes tras descubrir un fallo de seguridad que había estado exponiendo información empresarial desde octubre de 2025 — casi 5 meses de exposición sin detectar. El servicio ya está nuevamente en línea con la corrección aplicada.

Alto Gobierno Exposición de Datos

🛡️ Vulnerabilidades Críticas

0-Days en Chrome: CVE-2026-3909 y CVE-2026-3910 (Explotados Activamente)

📅 Mar 16 ⚠️ CVSS: Alto 🔴 Explotados en Entornos Reales

CVE-2026-3909: Escritura fuera de límites en la biblioteca gráfica 2D Skia. CVE-2026-3910: Implementación inapropiada en el motor JavaScript/WebAssembly V8 que provoca acceso fuera de límites. Ambos están siendo explotados activamente. Google ha publicado parches — actualizar Chrome de inmediato.

Perspectiva KENSAI: Las vulnerabilidades de navegador siguen siendo el vector de ataque #1 del lado del cliente. El escaneo DAST de KENSAI puede verificar que las organizaciones aplican políticas de actualización de navegadores mediante análisis de encabezados y detección de versiones.
Crítico 0-Day Chrome En Entornos Reales

Wing FTP Server — CISA Alerta de Explotación Activa

📅 Mar 16 ⚠️ Incluido en KEV 🔴 Explotado en Entornos Reales

CISA ha añadido una vulnerabilidad de Wing FTP Server a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), advirtiendo que está siendo encadenada con otros fallos para lograr ejecución remota de código. Las agencias federales deben parchear según los plazos de BOD 22-01.

Crítico RCE CISA KEV

HPE AOS-CX: Restablecimiento de Contraseña de Admin Sin Autenticación

📅 Mar 16 ⚠️ CVSS: Crítico

Una vulnerabilidad crítica en los switches de red HPE Aruba AOS-CX permite a atacantes remotos no autenticados restablecer contraseñas de administrador, eludiendo completamente los controles de autenticación existentes. Parchear de inmediato — afecta a la infraestructura de red central.

Crítico Infraestructura de Red Bypass de Autenticación

Fallo en la Plataforma de Automatización n8n Explotado

📅 Mar 16 🔴 Explotado en Entornos Reales

Una vulnerabilidad en la popular plataforma de automatización de flujos de trabajo n8n está siendo explotada activamente. Los detalles aparecieron en el resumen semanal de SecurityWeek. Las organizaciones que ejecutan instancias autoalojadas de n8n deben verificar actualizaciones y revisar los controles de acceso de inmediato.

Alto Automatización Explotado

🐛 Cadena de Suministro y Malware

GlassWorm ForceMemo: Tokens de GitHub Robados → Malware en Repositorios Python

📅 Mar 17 ⚠️ Campaña Activa 🌍 Global

La campaña GlassWorm ha escalado drásticamente. Los atacantes están utilizando tokens de GitHub robados en el ataque previo a extensiones de VS Code para inyectar malware ofuscado en cientos de repositorios Python — aplicaciones Django, código de investigación en ML, dashboards de Streamlit y paquetes PyPI. La técnica (denominada "ForceMemo") realiza rebase de commits maliciosos sobre commits legítimos, preservando la información del autor original y los mensajes de commit para evitar la detección. Cualquiera que ejecute pip install desde un repositorio comprometido activa el malware. Las inyecciones se remontan al 8 de marzo.

Perspectiva KENSAI: Este es un ataque de cadena de suministro de manual — exactamente el tipo de amenaza para la cual se redactó el artículo 21(2)(d) de NIS2. Las organizaciones deben auditar sus dependencias de Python, verificar las firmas de commits y buscar indicadores de compromiso. Las capacidades de SBOM y análisis de dependencias de KENSAI pueden detectar paquetes comprometidos.
Crítico Cadena de Suministro Python GitHub

Campañas ClickFix Distribuyen el Infostealer MacSync para macOS

📅 Mar 16 🍎 macOS

Tres campañas separadas de ClickFix están distribuyendo el infostealer MacSync mediante instaladores falsos de herramientas de IA (incluyendo un falso navegador "OpenAI Atlas"). El ataque depende completamente de la interacción del usuario — las víctimas copian y ejecutan comandos de terminal ofuscados. Se distribuye a través de resultados patrocinados de búsqueda en Google que llevan a páginas falsas de Google Sites. Investigadores de Sophos documentaron la cadena completa desde noviembre de 2025.

Alto macOS Infostealer Ingeniería Social

Storm-2561: Clientes VPN Falsos que Roban Credenciales

📅 Mar 16 ⚠️ Campaña Activa

El actor de amenazas Storm-2561 está distribuyendo clientes VPN troyanizados mediante envenenamiento de SEO, desplegando troyanos y recopilando credenciales de inicio de sesión de usuarios desprevenidos que buscan software VPN legítimo.

Alto VPN Envenenamiento SEO Robo de Credenciales

Aparece el Malware Slopoly

📅 Mar 16

Una nueva familia de malware denominada "Slopoly" fue señalada en el resumen semanal de SecurityWeek. Los detalles aún están emergiendo, pero ha sido destacada junto a otras amenazas notables de la semana.

Medio Nuevo Malware

🎯 Actividad APT y Estado-Nación

DRILLAPP: Backdoor Vinculado a Rusia Ataca Ucrania Mediante Depuración de Edge

📅 Mar 16 🏴 Laundry Bear / UAC-0190 🎯 Ucrania

Un nuevo backdoor basado en JavaScript llamado DRILLAPP abusa de la función de depuración remota de Microsoft Edge para realizar espionaje sigiloso contra entidades ucranianas. El malware puede subir/descargar archivos, acceder al micrófono y capturar imágenes de la cámara web — todo a través de las capacidades nativas del navegador. Se distribuye mediante señuelos con temática judicial y de caridad con archivos LNK. Atribuido a Laundry Bear (Void Blizzard), un grupo de amenazas vinculado a Rusia. Campaña observada desde febrero de 2026.

Crítico APT Rusia Espionaje

CL-STA-1087: China Ataca Fuerzas Militares del Sudeste Asiático

📅 Mar 13 🏴 CL-STA-1087 🎯 Militares del Sudeste Asiático

Palo Alto Unit 42 reveló una paciente operación de espionaje vinculada a China (activa desde 2020) dirigida a organizaciones militares del sudeste asiático con malware personalizado AppleChris y MemFun. Los atacantes demostraron "paciencia operacional estratégica" y se centraron en documentos específicos de capacidades militares en lugar del robo masivo de datos.

Alto APT China Militar

Hackers Vinculados a Irán Amplían Objetivos a Infraestructura de EE.UU.

📅 Mar 16 🏴 Grupos Pro-Irán 🎯 EE.UU., Oriente Medio

Hackers pro-iraníes están expandiendo sus operaciones más allá de los objetivos en Oriente Medio hacia Estados Unidos, aumentando los riesgos para contratistas de defensa, centrales eléctricas y plantas de tratamiento de agua durante los conflictos regionales en curso.

Alto Irán Infraestructura Crítica ICS/OT

Centro de Investigación Nuclear de Polonia: Intento de Hackeo (Posible Irán)

📅 Mar 16 🎯 Polonia

Se reportó un intento de hackeo en el centro de investigación nuclear de Polonia. Las evidencias iniciales apuntan a Irán, aunque las autoridades reconocieron que podría tratarse de una operación de falsa bandera. La investigación continúa.

Alto Nuclear Infraestructura Crítica

🔧 Herramientas y Lanzamientos de Seguridad

Betterleaks: Escáner de Secretos de Código Abierto (Sucesor de Gitleaks)

📅 Mar 15 📦 Licencia MIT 🔗 GitHub

Creado por Zach Rice (autor original de Gitleaks, ahora Director de Escaneo de Secretos en Aikido Security), Betterleaks es una reescritura desde cero con mejoras importantes: validación de reglas basada en CEL, tokenización BPE con 98,6% de recall (vs 70,4% con entropía), implementación pura en Go, manejo automático de secretos multi-codificados, escaneo Git paralelizado y un conjunto ampliado de reglas por proveedor. Las próximas funciones incluyen clasificación asistida por LLM y revocación automática de secretos.

Nuevo Lanzamiento Escaneo de Secretos Código Abierto

Bold Security: Lanzamiento Sigiloso de $40M — Agentes de IA en Dispositivos

📅 Mar 16 💰 $40M en Financiación

Bold Security salió del modo sigiloso con $40M en financiación. Su enfoque: convertir dispositivos en agentes de IA activos que comprenden las acciones del usuario y proporcionan protección en tiempo real. Vale la pena seguirlo como potencial competidor/socio en el espacio de seguridad con IA.

Nuevo Seguridad con IA Startup

Android 17: Restricción de la API de Accesibilidad para Prevención de Malware

📅 Mar 16 📱 Android

Google está probando una función de seguridad en Android 17 Beta 2 que bloquea el uso de la API de Servicios de Accesibilidad por aplicaciones no relacionadas con accesibilidad bajo el Modo de Protección Avanzada. Esto apunta directamente al vector de ataque principal de los troyanos bancarios y spyware en Android.

Nuevo Android Seguridad Móvil

📊 Patrones Emergentes

Tendencias Clave de Esta Semana

Varios patrones convergentes que vale la pena monitorizar:

1. MDM como Arma: El ataque a Stryker demuestra que las herramientas de gestión legítimas (Intune, SCCM, Jamf) son ahora superficies de ataque de primer nivel. Sin necesidad de malware — solo credenciales de administrador y un comando de borrado. Se esperan imitadores.

2. Cascada en Cadena de Suministro (GlassWorm → ForceMemo): Un único compromiso de cadena de suministro (extensiones de VS Code) ahora se ha convertido en un ataque de segundo orden contra repositorios Python. Este patrón de reacción en cadena — donde las credenciales robadas de un ataque alimentan el siguiente — se está acelerando.

3. ClickFix Se Vuelve Multiplataforma: La técnica de ingeniería social ClickFix (engañar a usuarios para que ejecuten comandos de terminal) ha pasado de Windows a macOS, distribuida mediante instaladores falsos de herramientas de IA. El entusiasmo por la IA es el nuevo señuelo de phishing.

4. Navegador como C2: Tanto DRILLAPP (depuración de Edge) como los 0-days de Chrome demuestran que los navegadores siguen siendo la superficie de ataque más valiosa. La línea entre "navegando" y "comprometido" sigue adelgazándose.

5. Escalada de Irán: Tres noticias vinculadas a Irán en 24 horas — wiper de Stryker, ataques a infraestructura de EE.UU., instalación nuclear de Polonia. Las tensiones geopolíticas se traducen directamente en operaciones cibernéticas.

Perspectiva KENSAI: Múltiples noticias de esta semana se mapean directamente a requisitos de cumplimiento de NIS2: seguridad de la cadena de suministro (Art. 21.2d), gestión de incidentes (Art. 21.2b), control de acceso (Art. 21.2i). Este es el panorama de amenazas para el cual fue construido KENSAI.

📌 También Destacable

Noticias Breves

Interrupción de Microsoft Exchange Online — Problema en curso que bloquea el acceso a buzones y calendarios (Mar 16)
Google pagó $17M en recompensas por bugs en 2025 — $3,7M solo para Chrome, $3,5M para seguridad en la nube
Gobernanza de Shadow AI — Nudge Security informa sobre la creciente adopción no monitorizada de herramientas de IA en empresas
Ejecutivo de firma de seguridad atacado — Phishing sofisticado utilizando correos firmados con DKIM, redirecciones de confianza y páginas de phishing protegidas por Cloudflare
Operación contra el cibercrimen de Interpol — Operación multinacional señalada en los resúmenes semanales
Filtración de datos de Telus Digital — Filial canadiense de telecomunicaciones afectada
Vulnerabilidades en Linux AppArmor — Fallos que permiten escalada de privilegios a root