剣 KENSAI
← Back to archive
KENSAI Inteligencia de Seguridad

Informe diario de amenazas

Investigación de seguridad automatizada — últimas 24 horas

2026-03-21 · Viernes 20 de marzo → Sábado 21 de marzo

4
CVEs críticos
3
Exploits activos
3
Operaciones policiales
5
Rondas de inversión
🔴
Vulnerabilidades críticas y exploits activos
Fallo crítico de autenticación ausente e inyección de código en Langflow (CVSS 9.3) está siendo explotado activamente. Atacantes no autenticados pueden lograr ejecución remota de código a través de endpoints POST /api/v1. La explotación comenzó dentro de las 20 horas posteriores a la divulgación pública — aplique el parche inmediatamente.
CVSS 9.3 EXPLOTACIÓN ACTIVA Herramienta IA/ML The Hacker News · SecurityWeek
Oracle publicó una actualización de seguridad fuera de ciclo para una vulnerabilidad RCE crítica no autenticada en Identity Manager y Web Services Manager. Esta publicación fuera del ciclo trimestral regular de parches de Oracle indica la gravedad y el riesgo potencial de explotación.
CRÍTICO PARCHE FUERA DE CICLO Gestión de identidades BleepingComputer
CISA ordenó a todas las agencias federales parchear una vulnerabilidad de gravedad máxima en el Cisco Secure Firewall Management Center antes del domingo 22 de marzo. La urgencia del plazo de fin de semana señala una explotación activa o inminente.
CVSS 10.0 DIRECTIVA CISA Seguridad de red BleepingComputer
ConnectWise ScreenConnect parcheó una vulnerabilidad crítica que exponía claves de máquina, permitiendo potencialmente acceso no autorizado a sesiones de gestión remota. La última versión añade almacenamiento cifrado y gestión de claves.
CRÍTICO ACCESO REMOTO SecurityWeek
Sansec descubrió un fallo crítico en la API REST de Magento que permite a atacantes no autenticados subir ejecutables disfrazados (imágenes que ocultan código malicioso) para lograr RCE y toma de cuentas. Miles de sitios Magento ya fueron afectados en una campaña de defacement en curso desde el 27 de febrero.
CRÍTICO EXPLOTACIÓN MASIVA Comercio electrónico The Hacker News · SecurityWeek
⛓️
Ataques a la cadena de suministro de software
El escáner Trivy de Aqua Security fue comprometido por segunda vez en un mes. Los atacantes secuestraron 75 tags en las GitHub Actions «aquasecurity/trivy-action» y «aquasecurity/setup-trivy» para robar secretos CI/CD. Cualquier pipeline que use estas acciones puede haber filtrado credenciales.
CADENA DE SUMINISTRO SECRETOS CI/CD GitHub Actions The Hacker News
El nuevo malware «Speagle» secuestra el software legítimo Cobra DocGuard, utilizando servidores comprometidos para exfiltrar datos mientras enmascara el tráfico como comunicación legítima de la aplicación. Un ataque sofisticado adyacente a la cadena de suministro.
EXFILTRACIÓN DE DATOS Secuestro de software The Hacker News
El análisis revela que 54 programas eliminadores de EDR abusan de 35 controladores legítimamente firmados pero vulnerables para desactivar la seguridad de endpoints antes de desplegar ransomware. BYOVD (Bring Your Own Vulnerable Driver) es ahora una técnica estándar del manual de ransomware.
FACILITADOR DE RANSOMWARE BYOVD Evasión de EDR The Hacker News
💾
Brechas de datos y amenazas internas
Hackers robaron información personal y de planes de salud del entorno de Navia entre finales de diciembre de 2025 y mediados de enero de 2026. 2,7 millones de personas afectadas. Las brechas de datos en el sector salud siguen siendo las más impactantes por volumen.
2,7 M DE REGISTROS Salud SecurityWeek
Un hombre de Carolina del Norte fue declarado culpable de robar datos corporativos y extorsionar a una empresa tecnológica de Washington D.C. (Brightly Software) por 2,5 M$ — mientras aún estaba empleado como contratista. La amenaza interna sigue siendo un riesgo de primer nivel.
AMENAZA INTERNA DECLARADO CULPABLE BleepingComputer
Michael Smith se declaró culpable de usar bots de IA para generar más de 10 M$ en regalías de streaming fraudulentas en Spotify, Apple Music, Amazon Music y YouTube Music. Fraude habilitada por IA a gran escala.
FRAUDE CON IA DECLARACIÓN DE CULPABILIDAD BleepingComputer
⚖️
Fuerzas del orden y geopolítica
EE.UU., Alemania y Canadá desmantelaron la infraestructura C2 de los botnets AISURU, KimWolf, JackSkid y Mossad (3 millones de dispositivos IoT). Estos botnets alimentaban ataques DDoS récord de 31,4 Tbps. Gran colaboración con el sector privado (Akamai, AWS, Cloudflare, Google, Oracle y otros).
OPERACIÓN CONJUNTA 31,4 Tbps DDoS DoJ · The Hacker News · BleepingComputer
Las fuerzas del orden internacionales cerraron 373.000 sitios de la dark web en la «Operación Alice». Una de las mayores operaciones coordinadas de desmantelamiento de infraestructura ilícita hasta la fecha.
OPERACIÓN ALICE 373.000 sitios BleepingComputer · SecurityWeek
El FBI emitió una alerta advirtiendo que actores vinculados a la inteligencia rusa están ejecutando activamente campañas de phishing contra usuarios de Signal y WhatsApp. Miles de cuentas de mensajería cifrada ya comprometidas. Los objetivos incluyen periodistas, activistas y funcionarios gubernamentales.
PATROCINADO POR ESTADO PHISHING Mensajería cifrada BleepingComputer
Estados Unidos confirmó que el grupo hacker Handala está vinculado al gobierno iraní e incautó varios dominios utilizados en operaciones psicológicas cibernéticas.
PATROCINADO POR ESTADO INCAUTACIÓN DE DOMINIOS SecurityWeek
Tres individuos fueron acusados de violar las leyes de control de exportaciones de EE.UU. al conspirar para desviar servidores de IA de alto rendimiento ensamblados en Estados Unidos hacia China. Parte de la escalada de la guerra fría tecnológica.
CONTROLES DE EXPORTACIÓN Hardware de IA SecurityWeek
📡
Amenazas emergentes y tendencias
Los ciberdelincuentes usan IA para generar phishing personalizado, deepfakes y malware que evade la detección tradicional imitando la actividad normal del usuario. La analítica comportamental emerge como la contramedida necesaria — la detección basada en firmas resulta cada vez más insuficiente.
AMENAZAS IA Brecha de detección The Hacker News
Apple insta a actualizar iOS contra kits de exploit web (Coruna, DarkSword) que atacan dispositivos desactualizados. Estos kits desencadenan cadenas de infección a través de contenido web malicioso que conduce al robo de datos.
KIT DE EXPLOIT Móvil The Hacker News
Google introdujo un período de reflexión obligatorio de 24 horas para la instalación lateral de aplicaciones de desarrolladores no verificados en Android. Parte del mandato de verificación de desarrolladores anunciado el año pasado. Equilibra la apertura con la reducción de estafas/malware.
ANDROID SEGURIDAD DE PLATAFORMA The Hacker News
The Gentlemen — Nueva operación RaaS emergente
Group-IB detalló «The Gentlemen», una nueva operación Ransomware-as-a-Service con ~20 miembros que explotan vulnerabilidades de FortiGate. Los grupos RaaS emergentes siguen bajando la barrera de entrada para ataques de ransomware.
RANSOMWARE FORTIGATE The Hacker News · SecurityWeek
💰
Industria de seguridad y financiación
Ronda masiva enfocada en gestión de identidades y accesos para agentes de IA. Inversión en I+D, expansión del framework de IA y salida al mercado. Señal: el mercado ve la seguridad de agentes de IA como una categoría emergente crítica.
RONDA DE 120 M$SecurityWeek
MVNO enfocado en privacidad para consumidores, empresas y gobiernos. Aborda amenazas de vigilancia e interceptación celular.
RONDA DE 100 M$SecurityWeek
Expansión de las capacidades de la plataforma para la integridad de la cadena de suministro de firmware y hardware.
RONDA DE 25 M$SecurityWeek
Monitorea el comportamiento y verifica la intención del usuario para detener ataques en tiempo real. Emergió del modo sigiloso.
20 M$ STEALTHSecurityWeek
Escalando la protección digital de marca contra phishing, suplantación de identidad y abuso de marca.
RONDA DE 17 M$SecurityWeek
🎯
Relevancia para KENSAI y conclusiones

Para el posicionamiento de KENSAI:

  • Langflow CVE-2026-33017 — explotada en 20 horas. Esta es la propuesta de valor central de KENSAI: el escaneo continuo detecta estas vulnerabilidades antes que los atacantes. Oportunidad de contenido para un artículo sobre la «ventana de 20 horas».
  • Magento PolyShell — miles de sitios e-commerce afectados. Las empresas de la UE reguladas por NIS2 que usan Magento son objetivos perfectos para el escaneo DAST de KENSAI.
  • 54 eliminadores de EDR con BYOVD — la seguridad de endpoints por sí sola no es suficiente. El enfoque multicapa de KENSAI (DAST + SAST + secretos + infraestructura) es la respuesta.
  • 282 M$ en financiación de seguridad esta semana — el mercado está candente. La ronda de 120 M$ de Oasis para «gestión de acceso agéntico» valida la categoría de seguridad IA que KENSAI ocupa.
  • Compromiso de la cadena de suministro de Trivy — la seguridad de pipelines CI/CD es un área desatendida. Potencial futuro módulo de KENSAI.
  • Phishing estatal ruso en Signal — la conformidad NIS2 requiere comunicaciones seguras. Ángulo de contenido para el mercado DACH.