剣 KENSAI
← Back to archive
🛡️ KENSAI INTELIGENCIA DE AMENAZAS

Investigación diaria de seguridad

22/03/2026 · Sábado 21 de marzo → Domingo 22 de marzo · Generado automáticamente a las 04:00 CET

⚡ Resumen — Lo importante hoy

  • El ataque a la cadena de suministro de Trivy evoluciona — el nuevo gusano autopropagado «CanisterWorm» afecta a 47 paquetes npm usando C2 basado en blockchain
  • Parche de emergencia de Oracle — CVE-2026-21992 (CVSS 9.8) permite RCE no autenticada en Identity Manager
  • El FBI alerta sobre phishing ruso en Signal/WhatsApp — miles de cuentas ya comprometidas
  • El DoJ desactiva botnets DDoS récord — más de 3M de dispositivos, ataques de 31,4 Tbps interrumpidos
  • Fecha límite de CISA HOY — la vulnerabilidad de severidad máxima en Cisco FMC CVE-2026-20131 debe parchearse antes del 22 de marzo
  • RCE de Langflow explotada en 20 horas — CVE-2026-33017 (CVSS 9.3) activamente atacada
  • La brecha de Navia afecta a 2,7M de personas — datos personales y de seguros de salud robados
🔗 Ataques a la cadena de suministro

Escáner Trivy comprometido — CanisterWorm se propaga a 47 paquetes npm

cadena de suministro crítico

El escáner de vulnerabilidades Trivy de Aqua Security fue comprometido por segunda vez en un mes. El grupo de amenazas TeamPCP secuestró 75 tags de GitHub Action en aquasecurity/trivy-action y aquasecurity/setup-trivy, inyectando malware de robo de credenciales en pipelines CI/CD. Un ataque posterior desplegó CanisterWorm, un gusano autopropagado que infectó 47 paquetes npm en @EmilGroup, @opengov y otros scopes. El gusano utiliza canisters de blockchain Internet Computer Protocol (ICP) como resolutores C2 dead-drop — el primer caso documentado de esta técnica — haciendo extremadamente difícil su desmantelamiento. Persistencia mediante servicios systemd disfrazados de herramientas PostgreSQL.

Fuentes: The Hacker News · BleepingComputer

Magento PolyShell — Carga no autenticada y RCE a través de la API REST

crítico

Sansec descubrió una falla crítica en la API REST de Magento que permite a atacantes no autenticados cargar ejecutables arbitrarios disfrazados de imágenes, logrando ejecución remota de código y secuestro de cuentas. Denominado PolyShell, el ataque explota el manejo de archivos de imagen. No se ha observado explotación pública aún, pero miles de sitios Magento ya están bajo una campaña separada de defacement iniciada el 27 de febrero.

Fuentes: The Hacker News · SecurityWeek

🚨 CVE críticos y parches

CVE-2026-21992 — RCE no autenticada en Oracle Identity Manager

crítico CVSS 9.8

Oracle emitió un parche de emergencia fuera de ciclo para una vulnerabilidad crítica de ejecución remota de código no autenticada en Identity Manager y Web Services Manager. No se requiere autenticación para la explotación. Oracle instó a aplicar el parche de inmediato.

Fuente: The Hacker News

CVE-2026-20131 — Cisco Secure Firewall Management Center (Severidad máxima)

crítico CVSS 10.0

CISA ordenó a todas las agencias federales parchear esta vulnerabilidad de severidad máxima en Cisco FMC antes de hoy, 22 de marzo. Los detalles indican que podría permitir el compromiso total del sistema. Añadida al catálogo de vulnerabilidades explotadas conocidas de CISA.

Fuente: BleepingComputer

CVE-2026-33017 — RCE no autenticada en Langflow (Explotada en 20 horas)

crítico CVSS 9.3

Falla crítica de autenticación faltante e inyección de código en Langflow (popular constructor de flujos de trabajo IA). Los actores de amenazas armaron la vulnerabilidad en 20 horas tras la divulgación pública a través del endpoint POST /api/v1. Destaca la reducción de la ventana para despliegue de parches.

Fuente: The Hacker News

CISA añade Apple, Craft CMS, Laravel Livewire al catálogo KEV

explotación activa

Cinco vulnerabilidades adicionales añadidas al catálogo KEV de CISA con fecha límite de parche del 3 de abril de 2026. Incluye CVE-2025-31277 (Apple, CVSS 8.8) más fallas en Craft CMS y Laravel Livewire. Todas confirmadas bajo explotación activa.

Fuente: The Hacker News

CVE-2025-32975 — Explotación de Quest KACE en el sector educativo

crítico

Vulnerabilidad crítica en el appliance de gestión de sistemas Quest KACE potencialmente explotada contra objetivos del sector educativo. Las organizaciones que usan Quest KACE deben parchear de inmediato.

Fuente: SecurityWeek

🎯 Estados-nación y espionaje

FBI/CISA: La inteligencia rusa ataca masivamente Signal y WhatsApp

estado-nación alto impacto

El FBI y CISA emitieron un aviso conjunto advirtiendo que los servicios de inteligencia rusos están ejecutando campañas masivas de phishing contra usuarios de Signal y WhatsApp. Los objetivos incluyen funcionarios actuales y anteriores del gobierno de EE.UU., personal militar, figuras políticas y periodistas. Miles de cuentas ya comprometidas. Tras obtener acceso, los actores leen mensajes, roban contactos, suplantan a las víctimas y encadenan más ataques de phishing desde identidades de confianza. El director del FBI Kash Patel confirmó la campaña en X.

Fuentes: The Hacker News · BleepingComputer

EE.UU. confirma el vínculo de Handala con el gobierno iraní

estado-nación

El gobierno de EE.UU. ha confiscado varios dominios utilizados por Handala, confirmando su vínculo con el gobierno iraní. El grupo realizó operaciones psicológicas habilitadas por ciberataques. Los dominios fueron desactivados en un esfuerzo coordinado.

Fuente: SecurityWeek

3 hombres acusados de contrabando de hardware de IA a China

controles de exportación

Tres individuos acusados de violar las leyes de control de exportaciones de EE.UU. al conspirar para desviar grandes cantidades de servidores de IA de alto rendimiento ensamblados en Estados Unidos hacia China.

Fuente: SecurityWeek

🤖 Botnets y DDoS

El DoJ desactiva botnets IoT de 3M de dispositivos — DDoS récord de 31,4 Tbps

crítico

El Departamento de Justicia de EE.UU., junto con autoridades canadienses y alemanas, desmanteló la infraestructura C2 de los botnets AISURU, Kimwolf, JackSkid y Mossad — que controlaban colectivamente más de 3 millones de dispositivos IoT infectados (DVR, smart TVs, decodificadores). Estos botnets lanzaron ataques DDoS récord alcanzando 31,4 Tbps. Una amplia coalición del sector privado asistió (Akamai, AWS, Cloudflare, Google, Oracle, PayPal y más). Los sospechosos incluyen un canadiense de 23 años y un alemán de 15 años. No se anunciaron arrestos.

Fuente: The Hacker News

💀 Brechas de datos

Brecha de datos de Navia — 2,7 millones de afectados

gran escala

Entre finales de diciembre de 2025 y mediados de enero de 2026, hackers robaron información personal y de planes de salud del entorno de Navia, afectando a 2,7 millones de individuos. Datos de salud y beneficios comprometidos.

Fuente: SecurityWeek

Miles de sitios Magento afectados por campaña de defacement en curso

ataques web

Una campaña masiva de defacement iniciada el 27 de febrero ha afectado a miles de sitios de comercio electrónico basados en Magento, atacando marcas globales e incluso servicios gubernamentales. Combinada con la nueva vulnerabilidad PolyShell, los operadores de Magento enfrentan un panorama de amenazas serio.

Fuente: SecurityWeek

🎣 Phishing e ingeniería social

Alertas de Microsoft Azure Monitor abusadas para callback phishing

phishing

Los atacantes están abusando de las alertas de Microsoft Azure Monitor para enviar correos de callback phishing suplantando al equipo de seguridad de Microsoft. Los correos advierten sobre cargos no autorizados, atrayendo a las víctimas a llamar a números telefónicos controlados por los atacantes.

Fuente: BleepingComputer

📱 Actualizaciones de plataformas y herramientas

Google Android «Advanced Flow» — Espera de 24h para sideloading

Android

Google anunció un nuevo mecanismo de sideloading para Android: las aplicaciones de desarrolladores no verificados ahora requieren un período de espera obligatorio de 24 horas antes de la instalación. Parte del mandato de verificación de desarrolladores para reducir la distribución de malware y aplicaciones fraudulentas.

Fuente: The Hacker News

Operación Alice — 373.000 sitios de la dark web desactivados

fuerzas del orden

Una operación internacional de fuerzas del orden cerró más de 373.000 sitios de la dark web que ofrecían paquetes falsos de material ilegal.

Fuente: BleepingComputer

Reino Unido endurece los requisitos de notificación de incidentes cibernéticos

regulación

El Reino Unido está endureciendo las obligaciones de notificación de incidentes cibernéticos para las organizaciones, uniéndose a la tendencia NIS2 de la UE de requisitos más estrictos de divulgación de brechas.

Fuente: SecurityWeek

💰 Financiación de la industria de seguridad

Oasis Security — 120 M$ para gestión de acceso agéntico

Expansión de I+D para gestión de acceso a frameworks de IA y escalamiento go-to-market.

Cape — 100 M$ para seguridad celular

MVNO centrado en privacidad para consumidores, empresas y gobiernos.

Eclypsium — 25 M$ para seguridad de la cadena de suministro de dispositivos

Expansión de capacidades de la plataforma de seguridad de firmware y cadena de suministro.

1stProtect — 20 M$ (salida de modo sigiloso) para seguridad de endpoints

Monitorización conductual y verificación de intención del usuario para detener ataques en tiempo real.

Allure Security — 17 M$ para protección de marca online

Expansión de la plataforma de protección de marca digital.

📊 Patrones de amenazas emergentes

Tendencias clave esta semana

1. Los ataques a la cadena de suministro se aceleran: Trivy/CanisterWorm muestra que los atacantes encadenan compromisos — una brecha lleva a gusanos autopropagados a través de ecosistemas enteros. El C2 basado en blockchain (canisters ICP) hace el desmantelamiento casi imposible.

2. El tiempo de explotación se desploma: Langflow CVE-2026-33017 fue explotada en 20 horas desde la divulgación. La ventana de parche es efectivamente cero para servicios expuestos a internet.

3. Creciente sofisticación del phishing potenciado por IA: El análisis conductual se vuelve esencial ya que la IA genera phishing personalizado que evade la detección tradicional. Los ataques AITM basados en navegador y las técnicas ClickFix impulsan brechas importantes.

4. Estados-nación atacan apps de mensajería: Los servicios de inteligencia rusos ejecutan campañas a escala industrial contra mensajería cifrada (Signal, WhatsApp). Las cadenas de confianza son explotadas — cuentas comprometidas se usan para phishing de contactos.

5. La escala de botnets IoT alcanza niveles de infraestructura: 31,4 Tbps de capacidad DDoS desde dispositivos de consumo comprometidos. Incluso después de los desmantelamientos, la población de dispositivos infectados persiste.

6. El endurecimiento regulatorio continúa: El Reino Unido adopta mandatos de notificación al estilo NIS2. La carga de cumplimiento aumenta para organizaciones de la UE/UK.

🇪🇺 NIS2 y relevancia de KENSAI

Qué significa esto para los clientes de KENSAI

Monitorización de la cadena de suministro: El compromiso de Trivy/npm refuerza por qué importa el escaneo continuo de dependencias. El análisis SBOM y las verificaciones de dependencias de KENSAI detectan exactamente estos patrones.

Urgencia en la gestión de parches: Con ventanas de explotación de CVE reduciéndose a horas (Langflow) y CISA exigiendo parches el mismo día (Cisco), el escaneo automatizado de vulnerabilidades ya no es opcional — es supervivencia.

Notificación NIS2: Las reglas de notificación endurecidas del Reino Unido reflejan el Artículo 23 de NIS2. Las organizaciones DACH enfrentan las mismas obligaciones. Las capacidades de informes de cumplimiento de KENSAI abordan directamente esta necesidad.

Seguridad de mensajería: La campaña rusa de Signal/WhatsApp es una llamada de atención para cualquier organización que dependa de mensajería de consumo para comunicaciones sensibles.