剣 KENSAI
← Back to archive
KENSAI Intelligence

Informe de Seguridad

2026-03-20 · Jueves → Viernes · 04:00 CET
3
Fugas de datos
6
CVE críticos
3
Zero-Days
4
Rondas de financiación

⚡ TL;DR — Lo importante de hoy

  • Kit de explotación iOS DarkSword — segundo kit iOS de cadena completa en un mes, 3 zero-days, grupo de espionaje ruso UNC6353 atacando Ucrania. iOS 18.4–18.7 afectados.
  • Hacktivistas Handala borraron 80.000 dispositivos Stryker a través de Microsoft Intune — el FBI incautó su sitio de filtraciones. CISA publicó guía de fortificación de Intune.
  • PolyShell RCE en todos los Magento/Adobe Commerce v2 — ejecución de código sin autenticación mediante carga de archivos políglotas. Sin parche de producción disponible.
  • Zero-day de Cisco FMC explotado por ransomware Interlock desde enero — Amazon encontró vínculos con Rusia.
  • Fuga de Navia afecta a 2,7 M de personas — datos sensibles de prestaciones expuestos.
  • APT28 (Rusia) explotando falla de sanitización CSS de Zimbra contra el gobierno ucraniano.
  • 9 vulnerabilidades críticas IP KVM en 4 proveedores — acceso root sin autenticación a nivel de BIOS.
🔓

Fugas de datos

Navia Benefit Solutions — 2,7 millones de registros expuestos

La empresa administradora de prestaciones Navia divulgó una fuga que afecta a casi 2,7 millones de personas. Los atacantes accedieron a información personal sensible, incluyendo datos de prestaciones, números de seguro social y registros financieros. La empresa proporciona servicios de monitoreo crediticio a las personas afectadas.

CRÍTICO 2,7 M AFECTADOS fuente →

Aura Security — 900.000 registros mediante phishing

Giro irónico: la firma de protección de identidad Aura divulgó una fuga que afecta a 900.000 registros. Un empleado cayó víctima de un ataque dirigido de phishing telefónico (vishing), dando a los atacantes acceso a una herramienta de marketing con datos de clientes.

ALTO 900K REGISTROS fuente →

Fuga de datos de Marquis — 672.000 confirmados

Revisada a la baja desde una estimación inicial de 1,6 millones, la fuga de Marquis ahora confirma 672.000 personas afectadas. Los tipos de datos y el vector de ataque siguen bajo investigación.

ALTO 672K AFECTADOS fuente →
⚠️

Vulnerabilidades críticas

Kit de explotación iOS DarkSword — 6 fallas, 3 Zero-Days

Google Threat Intelligence, iVerify y Lookout divulgaron conjuntamente "DarkSword" — un kit de explotación iOS de cadena completa dirigido a iOS 18.4–18.7. Explota 6 vulnerabilidades incluyendo 3 zero-days (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174). Utilizado por el grupo ruso UNC6353, proveedores de vigilancia comercial y actores estatales contra Ucrania, Arabia Saudita, Turquía y Malasia. Enfoque "hit-and-run" que exfiltra datos en segundos. Segundo kit de explotación iOS después de Coruna descubierto en un mes.

3 ZERO-DAYS UNC6353 / RUSIA iOS 18.4–18.7 fuente →

PolyShell — RCE sin autenticación en todos los Magento/Adobe Commerce v2

Sansec descubrió "PolyShell", una vulnerabilidad en el manejo de carga de archivos de la API REST de Magento. Los atacantes cargan archivos políglotas (válidos como imagen y como script) para lograr ejecución remota de código sin autenticación o toma de control de cuenta mediante XSS almacenado. Afecta a todas las instalaciones de producción de Magento Open Source y Adobe Commerce v2. Parche solo disponible en alpha 2.4.9 — sin corrección de producción aún. El método de explotación ya circula.

CRÍTICO — SIN PARCHE TODO MAGENTO V2 fuente →

Ubiquiti UniFi — Toma de control de cuenta de máxima severidad

Ubiquiti parcheó dos vulnerabilidades en la aplicación UniFi Network, incluyendo una falla de severidad máxima que permite toma de control de cuenta. Los administradores deben actualizar inmediatamente.

CVSS 10.0 PARCHEADO fuente →

ScreenConnect — Exposición crítica de claves de máquina

ConnectWise parcheó una vulnerabilidad crítica de ScreenConnect que exponía claves de máquina, potencialmente permitiendo acceso remoto no autorizado. La última versión añade almacenamiento cifrado y gestión para la protección de claves.

CRÍTICO PARCHEADO fuente →

SharePoint RCE (CVE-2026-20963) — Explotación activa

CISA añadió Microsoft SharePoint CVE-2026-20963 a su catálogo de vulnerabilidades conocidas explotadas. La falla RCE, parcheada en el Patch Tuesday de enero, ahora está confirmada como explotada activamente.

EXPLOTACIÓN ACTIVA PARCHE DISPONIBLE fuente →

9 fallas críticas IP KVM — Acceso root sin autenticación

Eclypsium descubrió 9 vulnerabilidades en 4 productos IP KVM (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM). Falta de validación de firma de firmware, sin protección contra fuerza bruta, controles de acceso rotos, interfaces de depuración expuestas. Los atacantes pueden obtener acceso root a nivel BIOS/UEFI — eludiendo toda la seguridad a nivel de SO.

CRÍTICO 4 PROVEEDORES fuente →
💀

Ransomware y ataques mayores

Hacktivistas Handala borran 80.000 dispositivos Stryker vía Microsoft Intune

El grupo hacktivista Handala realizó un devastador ataque destructivo contra el gigante de tecnología médica Stryker, borrando aproximadamente 80.000 dispositivos mediante la utilización de Microsoft Intune. El FBI incautó dos sitios web de filtración de datos operados por Handala. CISA emitió posteriormente orientación urgente para todas las organizaciones estadounidenses para fortificar sus implementaciones de Microsoft Intune.

DESTRUCTIVO 80K DISPOSITIVOS BORRADOS INCAUTACIÓN FBI fuente →

Zero-day de Cisco FMC explotado por ransomware Interlock

Amazon descubrió que una vulnerabilidad del Cisco Firewall Management Center (FMC) ha sido explotada como zero-day desde finales de enero por el grupo de ransomware Interlock. Las pruebas apuntan a vínculos con Rusia. La reciente racha de vulnerabilidades de Cisco muestra un patrón preocupante de fallas en firewalls y SD-WAN siendo explotadas activamente.

ZERO-DAY INTERLOCK VINCULADO A RUSIA fuente →

Bitrefill atribuye ataque al grupo norcoreano Lazarus/Bluenoroff

La plataforma de tarjetas regalo cripto Bitrefill reveló que su ciberataque de principios de marzo fue probablemente ejecutado por el grupo norcoreano Bluenoroff (subgrupo de Lazarus). Continúa el patrón de la RPDC atacando plataformas cripto y fintech para generación de ingresos.

LAZARUS / BLUENOROFF CRYPTO fuente →

Ataque interno en Carolina del Norte — Rescate de 2,5 M$

Un trabajador tecnológico de Carolina del Norte fue declarado culpable de realizar un ataque interno contra una empresa tecnológica de Washington, obteniendo un pago de rescate de 2,5 millones de dólares. Destaca el riesgo persistente de amenazas internas.

AMENAZA INTERNA RESCATE DE 2,5 M$ fuente →
🎯

Actividad patrocinada por estados y APT

APT28 (Rusia/GRU) explotando Zimbra contra Ucrania

APT28, vinculado a la inteligencia militar rusa, está explotando activamente una vulnerabilidad de Zimbra Collaboration Suite en ataques contra entidades gubernamentales ucranianas. La falla involucra una sanitización CSS insuficiente en correos HTML, permitiendo la ejecución de scripts inline cuando los mensajes se abren en un navegador.

APT28 / FANCY BEAR UCRANIA fuente →

Revelada acumulación de infraestructura cibernética iraní

Los análisis revelan seis meses de construcción de infraestructura cibernética vinculada a Irán, incluyendo empresas fantasma con sede en EE.UU., diseñadas para garantizar la resiliencia de operaciones de hacking globales y resistir posibles ataques cinéticos. Las autoridades federales están en máxima alerta ante ciberataques iraníes tras el incidente de Stryker.

IRÁN INFRAESTRUCTURA fuente →

The Gentlemen RaaS — Operación enfocada en FortiGate

Group-IB detalló "The Gentlemen", una operación Ransomware-as-a-Service naciente de aproximadamente 20 miembros que explota específicamente vulnerabilidades de firewalls FortiGate. Parte de la tendencia continua de explotación de dispositivos perimetrales para acceso inicial.

RAAS FORTIGATE fuente →
🛠️

Herramientas de seguridad e industria

Oasis Security — 120 M$ para gestión de acceso agéntico

Oasis Security recaudó 120 M$ para expandir su plataforma de gestión de acceso agéntico. Enfoque en I+D, expansión de productos de frameworks de IA y escalado go-to-market. Señala creciente interés inversor en controles de seguridad para agentes de IA.

120 M$ RECAUDADOS fuente →

Plataforma de privacidad Cloaked — Financiación de 375 M$

La plataforma de privacidad Cloaked recaudó 375 M$ para expandirse al mercado empresarial. Planea introducir agentes de IA que monitorean, gestionan y aplican preferencias de privacidad y posturas de seguridad en nombre de los usuarios.

375 M$ RECAUDADOS fuente →

1stProtect — Lanzamiento sigiloso con 20 M$

La startup de seguridad de endpoints 1stProtect emergió del modo sigiloso con 20 M$. Su plataforma monitorea comportamiento y verifica la intención del usuario para detener ataques en tiempo real — un enfoque novedoso para la protección de endpoints.

20 M$ RECAUDADOS fuente →

Raven — 20 M$ para detección de anomalías en tiempo de ejecución

Raven emergió del modo sigiloso con 20 M$. Su plataforma observa aplicaciones en tiempo de ejecución para detectar comportamiento anómalo y prevenir ciberataques — apuntando a la brecha entre el análisis estático y la explotación real.

20 M$ RECAUDADOS fuente →

Ceros — Capa de confianza IA para Claude Code

Beyond Identity lanzó Ceros, una "capa de confianza IA" que proporciona visibilidad en tiempo real, aplicación de políticas en tiempo de ejecución y pistas de auditoría criptográficas para operaciones de agentes Claude Code. Aborda el riesgo emergente de agentes de codificación IA operando con permisos completos de desarrollador fuera de los controles de seguridad existentes.

SEGURIDAD DE AGENTES IA fuente →
📊

Patrones de amenazas emergentes

Proliferación de exploits iOS

Dos kits de explotación iOS de cadena completa (Coruna y DarkSword) descubiertos en un mes, utilizados por una mezcla de actores estatales y proveedores de vigilancia comercial. Demuestra un mercado secundario floreciente donde incluso grupos motivados financieramente pueden adquirir exploits móviles de nivel estatal. El enfoque de exfiltración "hit-and-run" — segundos, no horas — hace la detección forense extremadamente difícil.

TENDENCIA: EXPLOITS MÓVILES

La explotación de dispositivos perimetrales continúa

FortiGate (The Gentlemen RaaS), Cisco FMC (ransomware Interlock), Ubiquiti UniFi, Zimbra, dispositivos IP KVM — el patrón es claro. Los atacantes apuntan sistemáticamente a la infraestructura perimetral de red. La nueva investigación de IP KVM muestra que incluso el acceso a nivel BIOS está en riesgo a través de hardware barato y mal asegurado. Las organizaciones deben tratar cada dispositivo perimetral como una superficie de ataque crítica.

TENDENCIA: DISPOSITIVOS PERIMETRALES

Microsoft Intune como vector de ataque

La utilización de Microsoft Intune por Handala para borrar 80.000 dispositivos Stryker es una llamada de atención. Las herramientas de gestión de endpoints diseñadas para proteger dispositivos pueden convertirse en armas de destrucción masiva cuando son comprometidas. La respuesta de CISA señala que ahora es un patrón de ataque reconocido contra el que las empresas deben defenderse.

TENDENCIA: ARMAMENTIZACIÓN MDM

La seguridad de agentes IA emerge como categoría

Múltiples startups (más de 535 M$ en financiación solo esta semana) están desarrollando productos específicamente para la seguridad de agentes IA — gestión de acceso, monitoreo en tiempo de ejecución, aplicación de privacidad. Ceros (para Claude Code), Oasis (acceso agéntico) y Cloaked (agentes de privacidad IA) señalan que asegurar agentes IA se está convirtiendo en una disciplina de seguridad distinta. Relevante para la hoja de ruta de KENSAI.

TENDENCIA: SEGURIDAD DE AGENTES IA