Informe de Seguridad
⚡ TL;DR — Lo importante de hoy
- Kit de explotación iOS DarkSword — segundo kit iOS de cadena completa en un mes, 3 zero-days, grupo de espionaje ruso UNC6353 atacando Ucrania. iOS 18.4–18.7 afectados.
- Hacktivistas Handala borraron 80.000 dispositivos Stryker a través de Microsoft Intune — el FBI incautó su sitio de filtraciones. CISA publicó guía de fortificación de Intune.
- PolyShell RCE en todos los Magento/Adobe Commerce v2 — ejecución de código sin autenticación mediante carga de archivos políglotas. Sin parche de producción disponible.
- Zero-day de Cisco FMC explotado por ransomware Interlock desde enero — Amazon encontró vínculos con Rusia.
- Fuga de Navia afecta a 2,7 M de personas — datos sensibles de prestaciones expuestos.
- APT28 (Rusia) explotando falla de sanitización CSS de Zimbra contra el gobierno ucraniano.
- 9 vulnerabilidades críticas IP KVM en 4 proveedores — acceso root sin autenticación a nivel de BIOS.
Fugas de datos
Navia Benefit Solutions — 2,7 millones de registros expuestos
La empresa administradora de prestaciones Navia divulgó una fuga que afecta a casi 2,7 millones de personas. Los atacantes accedieron a información personal sensible, incluyendo datos de prestaciones, números de seguro social y registros financieros. La empresa proporciona servicios de monitoreo crediticio a las personas afectadas.
Aura Security — 900.000 registros mediante phishing
Giro irónico: la firma de protección de identidad Aura divulgó una fuga que afecta a 900.000 registros. Un empleado cayó víctima de un ataque dirigido de phishing telefónico (vishing), dando a los atacantes acceso a una herramienta de marketing con datos de clientes.
Fuga de datos de Marquis — 672.000 confirmados
Revisada a la baja desde una estimación inicial de 1,6 millones, la fuga de Marquis ahora confirma 672.000 personas afectadas. Los tipos de datos y el vector de ataque siguen bajo investigación.
Vulnerabilidades críticas
Kit de explotación iOS DarkSword — 6 fallas, 3 Zero-Days
Google Threat Intelligence, iVerify y Lookout divulgaron conjuntamente "DarkSword" — un kit de explotación iOS de cadena completa dirigido a iOS 18.4–18.7. Explota 6 vulnerabilidades incluyendo 3 zero-days (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174). Utilizado por el grupo ruso UNC6353, proveedores de vigilancia comercial y actores estatales contra Ucrania, Arabia Saudita, Turquía y Malasia. Enfoque "hit-and-run" que exfiltra datos en segundos. Segundo kit de explotación iOS después de Coruna descubierto en un mes.
PolyShell — RCE sin autenticación en todos los Magento/Adobe Commerce v2
Sansec descubrió "PolyShell", una vulnerabilidad en el manejo de carga de archivos de la API REST de Magento. Los atacantes cargan archivos políglotas (válidos como imagen y como script) para lograr ejecución remota de código sin autenticación o toma de control de cuenta mediante XSS almacenado. Afecta a todas las instalaciones de producción de Magento Open Source y Adobe Commerce v2. Parche solo disponible en alpha 2.4.9 — sin corrección de producción aún. El método de explotación ya circula.
Ubiquiti UniFi — Toma de control de cuenta de máxima severidad
Ubiquiti parcheó dos vulnerabilidades en la aplicación UniFi Network, incluyendo una falla de severidad máxima que permite toma de control de cuenta. Los administradores deben actualizar inmediatamente.
ScreenConnect — Exposición crítica de claves de máquina
ConnectWise parcheó una vulnerabilidad crítica de ScreenConnect que exponía claves de máquina, potencialmente permitiendo acceso remoto no autorizado. La última versión añade almacenamiento cifrado y gestión para la protección de claves.
SharePoint RCE (CVE-2026-20963) — Explotación activa
CISA añadió Microsoft SharePoint CVE-2026-20963 a su catálogo de vulnerabilidades conocidas explotadas. La falla RCE, parcheada en el Patch Tuesday de enero, ahora está confirmada como explotada activamente.
9 fallas críticas IP KVM — Acceso root sin autenticación
Eclypsium descubrió 9 vulnerabilidades en 4 productos IP KVM (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM). Falta de validación de firma de firmware, sin protección contra fuerza bruta, controles de acceso rotos, interfaces de depuración expuestas. Los atacantes pueden obtener acceso root a nivel BIOS/UEFI — eludiendo toda la seguridad a nivel de SO.
Ransomware y ataques mayores
Hacktivistas Handala borran 80.000 dispositivos Stryker vía Microsoft Intune
El grupo hacktivista Handala realizó un devastador ataque destructivo contra el gigante de tecnología médica Stryker, borrando aproximadamente 80.000 dispositivos mediante la utilización de Microsoft Intune. El FBI incautó dos sitios web de filtración de datos operados por Handala. CISA emitió posteriormente orientación urgente para todas las organizaciones estadounidenses para fortificar sus implementaciones de Microsoft Intune.
Zero-day de Cisco FMC explotado por ransomware Interlock
Amazon descubrió que una vulnerabilidad del Cisco Firewall Management Center (FMC) ha sido explotada como zero-day desde finales de enero por el grupo de ransomware Interlock. Las pruebas apuntan a vínculos con Rusia. La reciente racha de vulnerabilidades de Cisco muestra un patrón preocupante de fallas en firewalls y SD-WAN siendo explotadas activamente.
Bitrefill atribuye ataque al grupo norcoreano Lazarus/Bluenoroff
La plataforma de tarjetas regalo cripto Bitrefill reveló que su ciberataque de principios de marzo fue probablemente ejecutado por el grupo norcoreano Bluenoroff (subgrupo de Lazarus). Continúa el patrón de la RPDC atacando plataformas cripto y fintech para generación de ingresos.
Ataque interno en Carolina del Norte — Rescate de 2,5 M$
Un trabajador tecnológico de Carolina del Norte fue declarado culpable de realizar un ataque interno contra una empresa tecnológica de Washington, obteniendo un pago de rescate de 2,5 millones de dólares. Destaca el riesgo persistente de amenazas internas.
Actividad patrocinada por estados y APT
APT28 (Rusia/GRU) explotando Zimbra contra Ucrania
APT28, vinculado a la inteligencia militar rusa, está explotando activamente una vulnerabilidad de Zimbra Collaboration Suite en ataques contra entidades gubernamentales ucranianas. La falla involucra una sanitización CSS insuficiente en correos HTML, permitiendo la ejecución de scripts inline cuando los mensajes se abren en un navegador.
Revelada acumulación de infraestructura cibernética iraní
Los análisis revelan seis meses de construcción de infraestructura cibernética vinculada a Irán, incluyendo empresas fantasma con sede en EE.UU., diseñadas para garantizar la resiliencia de operaciones de hacking globales y resistir posibles ataques cinéticos. Las autoridades federales están en máxima alerta ante ciberataques iraníes tras el incidente de Stryker.
The Gentlemen RaaS — Operación enfocada en FortiGate
Group-IB detalló "The Gentlemen", una operación Ransomware-as-a-Service naciente de aproximadamente 20 miembros que explota específicamente vulnerabilidades de firewalls FortiGate. Parte de la tendencia continua de explotación de dispositivos perimetrales para acceso inicial.
Herramientas de seguridad e industria
Oasis Security — 120 M$ para gestión de acceso agéntico
Oasis Security recaudó 120 M$ para expandir su plataforma de gestión de acceso agéntico. Enfoque en I+D, expansión de productos de frameworks de IA y escalado go-to-market. Señala creciente interés inversor en controles de seguridad para agentes de IA.
Plataforma de privacidad Cloaked — Financiación de 375 M$
La plataforma de privacidad Cloaked recaudó 375 M$ para expandirse al mercado empresarial. Planea introducir agentes de IA que monitorean, gestionan y aplican preferencias de privacidad y posturas de seguridad en nombre de los usuarios.
1stProtect — Lanzamiento sigiloso con 20 M$
La startup de seguridad de endpoints 1stProtect emergió del modo sigiloso con 20 M$. Su plataforma monitorea comportamiento y verifica la intención del usuario para detener ataques en tiempo real — un enfoque novedoso para la protección de endpoints.
Raven — 20 M$ para detección de anomalías en tiempo de ejecución
Raven emergió del modo sigiloso con 20 M$. Su plataforma observa aplicaciones en tiempo de ejecución para detectar comportamiento anómalo y prevenir ciberataques — apuntando a la brecha entre el análisis estático y la explotación real.
Ceros — Capa de confianza IA para Claude Code
Beyond Identity lanzó Ceros, una "capa de confianza IA" que proporciona visibilidad en tiempo real, aplicación de políticas en tiempo de ejecución y pistas de auditoría criptográficas para operaciones de agentes Claude Code. Aborda el riesgo emergente de agentes de codificación IA operando con permisos completos de desarrollador fuera de los controles de seguridad existentes.
Patrones de amenazas emergentes
Proliferación de exploits iOS
Dos kits de explotación iOS de cadena completa (Coruna y DarkSword) descubiertos en un mes, utilizados por una mezcla de actores estatales y proveedores de vigilancia comercial. Demuestra un mercado secundario floreciente donde incluso grupos motivados financieramente pueden adquirir exploits móviles de nivel estatal. El enfoque de exfiltración "hit-and-run" — segundos, no horas — hace la detección forense extremadamente difícil.
La explotación de dispositivos perimetrales continúa
FortiGate (The Gentlemen RaaS), Cisco FMC (ransomware Interlock), Ubiquiti UniFi, Zimbra, dispositivos IP KVM — el patrón es claro. Los atacantes apuntan sistemáticamente a la infraestructura perimetral de red. La nueva investigación de IP KVM muestra que incluso el acceso a nivel BIOS está en riesgo a través de hardware barato y mal asegurado. Las organizaciones deben tratar cada dispositivo perimetral como una superficie de ataque crítica.
Microsoft Intune como vector de ataque
La utilización de Microsoft Intune por Handala para borrar 80.000 dispositivos Stryker es una llamada de atención. Las herramientas de gestión de endpoints diseñadas para proteger dispositivos pueden convertirse en armas de destrucción masiva cuando son comprometidas. La respuesta de CISA señala que ahora es un patrón de ataque reconocido contra el que las empresas deben defenderse.
La seguridad de agentes IA emerge como categoría
Múltiples startups (más de 535 M$ en financiación solo esta semana) están desarrollando productos específicamente para la seguridad de agentes IA — gestión de acceso, monitoreo en tiempo de ejecución, aplicación de privacidad. Ceros (para Claude Code), Oasis (acceso agéntico) y Cloaked (agentes de privacidad IA) señalan que asegurar agentes IA se está convirtiendo en una disciplina de seguridad distinta. Relevante para la hoja de ruta de KENSAI.