Inteligencia de Amenazas Diaria
⛓️ Ataque a la Cadena de Suministro — Escáner Trivy Comprometido
Escáner de Vulnerabilidades Trivy con Backdoor — Propagación vía Docker y GitHub
El grupo de hackers TeamPCP comprometió el popular escáner de vulnerabilidades de código abierto Trivy de Aqua Security. Versiones maliciosas (0.69.4–0.69.6) fueron publicadas en Docker Hub conteniendo malware de robo de información. El ataque se expandió más allá de Docker — TeamPCP secuestró la organización de GitHub de Aqua Security para manipular docenas de repositorios. La última versión limpia conocida es la 0.69.3. Las imágenes maliciosas fueron eliminadas, pero el radio de impacto en entornos de desarrollo sigue siendo significativo.
Este es exactamente el tipo de compromiso de cadena de suministro que el análisis SBOM y el escaneo de dependencias de KENSAI pueden detectar. Si tu CI/CD descargó imágenes de Trivy durante la ventana comprometida, necesitas una auditoría inmediata. Las organizaciones que usan el monitoreo continuo de KENSAI habrían sido alertadas ante los cambios inesperados en los binarios.
Fuentes: BleepingComputer, The Hacker News, SecurityWeek — Mar 23
TeamPCP Despliega Wiper para Kubernetes Dirigido a Irán
El mismo grupo TeamPCP detrás del compromiso de Trivy también está atacando clústeres de Kubernetes con un wiper destructivo. El script malicioso detecta si los sistemas están configurados para infraestructura basada en Irán y destruye todas las máquinas si se cumple la condición. Esto representa una escalada significativa del robo de datos a la capacidad destructiva total dentro de entornos contenedorizados.
Fuente: BleepingComputer — Mar 23
🔴 Vulnerabilidades Críticas
CVE-2026-21992 — RCE en Oracle Identity Manager (Parche de Emergencia)
Oracle publicó un parche de emergencia fuera de ciclo para CVE-2026-21992, una vulnerabilidad crítica en Oracle Identity Manager. La falla permite ejecución remota de código sin autenticación y podría haber sido explotada activamente. Las organizaciones que ejecutan Oracle Identity Manager deben aplicar el parche de inmediato — se trata de RCE pre-autenticación en un sistema de gestión de identidades, lo que lo convierte en un objetivo de altísimo valor para los atacantes.
Fuente: SecurityWeek — Mar 23
CVE-2025-32975 (CVSS 10.0) — Quest KACE SMA Bajo Ataque Activo
Una vulnerabilidad de severidad máxima en Quest KACE Systems Management Appliance está siendo explotada activamente, particularmente contra el sector educativo. Arctic Wolf observó actividad de explotación a partir de la semana del 9 de marzo en sistemas SMA sin parchear expuestos a internet. Dado el puntaje CVSS 10.0 y la explotación confirmada, esto exige parcheo inmediato.
Fuente: The Hacker News, SecurityWeek — Mar 23
Cadena de Exploits DarkSword para iOS — Añadido al KEV de CISA
CISA añadió tres vulnerabilidades DarkSword (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520) a su catálogo de Vulnerabilidades Explotadas Conocidas. DarkSword es un sofisticado kit de exploits para iOS que encadena 6 vulnerabilidades para escape de sandbox, escalada de privilegios y RCE en iPhones (iOS 18.4–18.7). Vinculado al proveedor de vigilancia comercial turco PARS Defense (UNC6748) y al grupo de espionaje ruso UNC6353. Se despliegan tres familias de malware: GhostBlade, GhostKnife, GhostSaber. Las agencias federales tienen hasta el 3 de abril para parchear.
Fuente: BleepingComputer, CISA — Mar 23
QNAP Parchea Cuatro Vulnerabilidades de Pwn2Own
QNAP parcheó cuatro vulnerabilidades que fueron demostradas en Pwn2Own, permitiendo divulgación de información, ejecución de código y comportamiento inesperado en dispositivos NAS. Dado el historial de QNAP como objetivo de ransomware, el parcheo inmediato es esencial.
Fuente: SecurityWeek — Mar 23
💾 Filtraciones de Datos
Crunchyroll Investiga Filtración — 6,8M de Usuarios Supuestamente Robados
La popular plataforma de streaming de anime Crunchyroll (propiedad de Sony) está investigando después de que hackers afirmaran haber robado datos personales de aproximadamente 6,8 millones de usuarios. La filtración está bajo investigación activa — el alcance y la autenticidad aún se están verificando.
Fuente: BleepingComputer — Mar 23
Mazda Revela Filtración de Datos de Empleados y Socios
Mazda Motor Corporation confirmó un incidente de seguridad detectado inicialmente en diciembre de 2025 que expuso datos de empleados y socios comerciales. La divulgación se produjo en marzo de 2026, evidenciando la brecha continua entre la detección y la divulgación pública en el sector automotriz.
Fuente: BleepingComputer — Mar 23
Subsidiaria de Semiconductores Trio-Tech Afectada por Ransomware
La empresa de servicios de chips Trio-Tech International reveló que una subsidiaria en Singapur fue afectada por ransomware de cifrado de archivos. La cadena de suministro de semiconductores sigue siendo un objetivo, con empresas de manufactura y servicios de chips enfrentando una presión creciente de ransomware.
Fuente: SecurityWeek — Mar 23
🕵️ Actividad Estatal y APT
FBI/CISA: Hackers Rusos Realizan Phishing Masivo contra Usuarios de Signal y WhatsApp
El FBI y CISA emitieron una alerta conjunta advirtiendo que los Servicios de Inteligencia Rusos están realizando campañas de phishing a gran escala contra cuentas de Signal y WhatsApp de individuos de alto valor — funcionarios gubernamentales, personal militar, figuras políticas y periodistas. Miles de cuentas han sido comprometidas a nivel global. Una vez dentro, los atacantes leen mensajes, exfiltran contactos y realizan phishing adicional desde identidades de confianza.
Fuente: The Hacker News, FBI — Mar 21–23
FBI Alerta sobre Hackers Iraníes Handala Usando Telegram para Distribuir Malware
El FBI advirtió que hackers iraníes vinculados al Ministerio de Inteligencia y Seguridad (MOIS) — conocidos como Handala — están utilizando Telegram para distribuir malware. EE.UU. ha confirmado el vínculo de Handala con el gobierno iraní e incautó varios dominios utilizados en sus operaciones psicológicas cibernéticas.
Fuente: BleepingComputer, SecurityWeek — Mar 23
Hackers Norcoreanos Abusan de VS Code para Distribuir Malware StoatWaffle
El actor de amenazas Contagious Interview (WaterPlum) está distribuyendo el malware StoatWaffle a través de proyectos maliciosos de VS Code. El ataque abusa de la función de ejecución automática tasks.json de VS Code — una táctica relativamente nueva adoptada desde diciembre de 2025. Esto apunta a desarrolladores que abren proyectos de VS Code aparentemente legítimos, ejecutando malware automáticamente.
Fuente: The Hacker News — Mar 23
🎣 Phishing e Ingeniería Social
Plataforma PhaaS Tycoon2FA Vuelve a Plena Capacidad Tras Disrupción Policial
La plataforma de phishing Tycoon2FA que Europol interrumpió el 4 de marzo ya ha regresado a niveles de actividad previos a la disrupción. Los volúmenes de ataque y las tácticas permanecen sin cambios, demostrando la resiliencia de la infraestructura cibercriminal frente a las acciones policiales. La plataforma se especializa en evadir la autenticación de dos factores.
Fuente: BleepingComputer, SecurityWeek — Mar 23
Microsoft: Phishing de Temporada Fiscal del IRS Afecta a 29.000 Usuarios
Microsoft advirtió sobre campañas de phishing a gran escala que explotan la urgencia de la temporada fiscal en EE.UU. Más de 29.000 usuarios fueron atacados con notificaciones falsas de reembolso del IRS, formularios de nómina y recordatorios de declaración. Las campañas despliegan malware de Monitoreo y Gestión Remota (RMM) y aprovechan plataformas PhaaS. Los objetivos incluyen tanto individuos como profesionales fiscales con acceso a datos financieros sensibles.
Fuente: The Hacker News, Microsoft — Mar 23
📊 Tendencias Emergentes e Investigación
M-Trends 2026: La Transferencia de Acceso Inicial Cae a 22 Segundos
El informe M-Trends 2026 de Mandiant, basado en más de 500.000 horas de respuesta a incidentes, revela que el tiempo entre el compromiso del broker de acceso inicial y la transferencia a operadores de ransomware se ha reducido de horas a apenas 22 segundos. Esto reduce drásticamente la ventana para que los defensores detecten y respondan a las intrusiones antes del despliegue del ransomware.
Tiempos de transferencia de 22 segundos significan que el triaje manual del SOC ya no es viable para la detección de acceso inicial. El escaneo automatizado y continuo — como el enfoque de KENSAI — se convierte en la única defensa realista. Las organizaciones sin capacidades de respuesta automatizada están esencialmente indefensas ante esta velocidad de ataque.
Fuente: SecurityWeek / Mandiant — Mar 23
Ocho Vectores de Ataque Descubiertos en AWS Bedrock
El equipo de investigación de amenazas de XM Cyber mapeó ocho vectores de ataque validados en la plataforma de IA AWS Bedrock: manipulación de logs, compromiso de base de conocimientos, secuestro de agentes, inyección de flujos, degradación de guardrails e inyección de prompts. A medida que los agentes de IA obtienen acceso a datos empresariales (Salesforce, Lambda, SharePoint), se convierten en superficies de ataque de alto valor con permisos y alcance hacia activos críticos.
La seguridad de la infraestructura de IA es una frontera emergente. A medida que las empresas conectan agentes de IA a sistemas de producción, la superficie de ataque se expande drásticamente. Esto se alinea con el posicionamiento de KENSAI en seguridad de IA — escaneando y asegurando la infraestructura que impulsa los sistemas de IA.
Fuente: The Hacker News / XM Cyber — Mar 23
Ataques Basados en Navegador Evaden Controles de Seguridad Tradicionales
Un nuevo informe de Push Security documenta cómo los ataques basados en navegador — phishing AITM, ClickFix, aplicaciones OAuth maliciosas y secuestro de sesiones — están impulsando las mayores brechas actuales y evadiendo los controles de seguridad tradicionales. El navegador es cada vez más la superficie de ataque principal.
Fuente: BleepingComputer / Push Security — Mar 23
💰 Industria y Financiación
Cape Recauda $100M para Seguridad Celular
Cape, un operador de red virtual móvil (MVNO) enfocado en privacidad, recaudó $100 millones para protección contra amenazas de seguridad celular — atendiendo a consumidores, empresas y clientes gubernamentales.
Fuente: SecurityWeek — Mar 23
Eclypsium Recauda $25M para Seguridad de Cadena de Suministro de Dispositivos
Eclypsium aseguró $25 millones para expandir su plataforma de seguridad de cadena de suministro de dispositivos y hacer crecer sus alianzas de canal. Oportuno dado el ataque a la cadena de suministro de Trivy que domina las noticias de hoy.
Fuente: SecurityWeek — Mar 23
3 Hombres Acusados de Contrabandear Hardware de IA a China
Tres hombres fueron acusados de conspirar para violar los controles de exportación de EE.UU. desviando cantidades masivas de servidores de IA de alto rendimiento ensamblados en EE.UU. hacia China. Refleja la continua tensión geopolítica en torno al acceso a hardware de IA.
Fuente: SecurityWeek — Mar 23
📋 Cumplimiento y Regulación
Reino Unido Endurece los Requisitos de Reporte de Ciberincidentes
El Reino Unido está fortaleciendo los requisitos obligatorios de reporte de ciberincidentes. Junto con la aplicación de NIS2 que se intensifica en toda la UE, las organizaciones enfrentan una red cada vez más compleja de obligaciones de reporte. La generación automatizada de informes de cumplimiento — un diferenciador de KENSAI — se vuelve esencial.
Fuente: SecurityWeek — Mar 23