剣 KENSAI
← Back to archive

Inteligencia de Amenazas Diaria

2026-03-24 — Martes — 04:00 CET
2 CVEs Críticos Ataque a Cadena de Suministro Cadena 0-Day en iOS Actividad Estatal Phishing Masivo
3
Filtraciones de Datos
4
CVEs Críticos
1
Ransomware
5
Actividad Estatal

⛓️ Ataque a la Cadena de Suministro — Escáner Trivy Comprometido

Escáner de Vulnerabilidades Trivy con Backdoor — Propagación vía Docker y GitHub

Cadena de Suministro Explotación Activa

El grupo de hackers TeamPCP comprometió el popular escáner de vulnerabilidades de código abierto Trivy de Aqua Security. Versiones maliciosas (0.69.4–0.69.6) fueron publicadas en Docker Hub conteniendo malware de robo de información. El ataque se expandió más allá de Docker — TeamPCP secuestró la organización de GitHub de Aqua Security para manipular docenas de repositorios. La última versión limpia conocida es la 0.69.3. Las imágenes maliciosas fueron eliminadas, pero el radio de impacto en entornos de desarrollo sigue siendo significativo.

Relevancia KENSAI

Este es exactamente el tipo de compromiso de cadena de suministro que el análisis SBOM y el escaneo de dependencias de KENSAI pueden detectar. Si tu CI/CD descargó imágenes de Trivy durante la ventana comprometida, necesitas una auditoría inmediata. Las organizaciones que usan el monitoreo continuo de KENSAI habrían sido alertadas ante los cambios inesperados en los binarios.

Fuentes: BleepingComputer, The Hacker News, SecurityWeek — Mar 23

TeamPCP Despliega Wiper para Kubernetes Dirigido a Irán

Hacktivista Wiper

El mismo grupo TeamPCP detrás del compromiso de Trivy también está atacando clústeres de Kubernetes con un wiper destructivo. El script malicioso detecta si los sistemas están configurados para infraestructura basada en Irán y destruye todas las máquinas si se cumple la condición. Esto representa una escalada significativa del robo de datos a la capacidad destructiva total dentro de entornos contenedorizados.

Fuente: BleepingComputer — Mar 23

🔴 Vulnerabilidades Críticas

CVE-2026-21992 — RCE en Oracle Identity Manager (Parche de Emergencia)

CVE Crítico Posiblemente Explotado

Oracle publicó un parche de emergencia fuera de ciclo para CVE-2026-21992, una vulnerabilidad crítica en Oracle Identity Manager. La falla permite ejecución remota de código sin autenticación y podría haber sido explotada activamente. Las organizaciones que ejecutan Oracle Identity Manager deben aplicar el parche de inmediato — se trata de RCE pre-autenticación en un sistema de gestión de identidades, lo que lo convierte en un objetivo de altísimo valor para los atacantes.

Fuente: SecurityWeek — Mar 23

CVE-2025-32975 (CVSS 10.0) — Quest KACE SMA Bajo Ataque Activo

CVSS 10.0 Explotación Activa

Una vulnerabilidad de severidad máxima en Quest KACE Systems Management Appliance está siendo explotada activamente, particularmente contra el sector educativo. Arctic Wolf observó actividad de explotación a partir de la semana del 9 de marzo en sistemas SMA sin parchear expuestos a internet. Dado el puntaje CVSS 10.0 y la explotación confirmada, esto exige parcheo inmediato.

Fuente: The Hacker News, SecurityWeek — Mar 23

Cadena de Exploits DarkSword para iOS — Añadido al KEV de CISA

6 CVEs Encadenados Explotación Activa Patrocinado por Estado

CISA añadió tres vulnerabilidades DarkSword (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520) a su catálogo de Vulnerabilidades Explotadas Conocidas. DarkSword es un sofisticado kit de exploits para iOS que encadena 6 vulnerabilidades para escape de sandbox, escalada de privilegios y RCE en iPhones (iOS 18.4–18.7). Vinculado al proveedor de vigilancia comercial turco PARS Defense (UNC6748) y al grupo de espionaje ruso UNC6353. Se despliegan tres familias de malware: GhostBlade, GhostKnife, GhostSaber. Las agencias federales tienen hasta el 3 de abril para parchear.

Fuente: BleepingComputer, CISA — Mar 23

QNAP Parchea Cuatro Vulnerabilidades de Pwn2Own

Pwn2Own

QNAP parcheó cuatro vulnerabilidades que fueron demostradas en Pwn2Own, permitiendo divulgación de información, ejecución de código y comportamiento inesperado en dispositivos NAS. Dado el historial de QNAP como objetivo de ransomware, el parcheo inmediato es esencial.

Fuente: SecurityWeek — Mar 23

💾 Filtraciones de Datos

Crunchyroll Investiga Filtración — 6,8M de Usuarios Supuestamente Robados

Filtración de Datos

La popular plataforma de streaming de anime Crunchyroll (propiedad de Sony) está investigando después de que hackers afirmaran haber robado datos personales de aproximadamente 6,8 millones de usuarios. La filtración está bajo investigación activa — el alcance y la autenticidad aún se están verificando.

Fuente: BleepingComputer — Mar 23

Mazda Revela Filtración de Datos de Empleados y Socios

Filtración de Datos

Mazda Motor Corporation confirmó un incidente de seguridad detectado inicialmente en diciembre de 2025 que expuso datos de empleados y socios comerciales. La divulgación se produjo en marzo de 2026, evidenciando la brecha continua entre la detección y la divulgación pública en el sector automotriz.

Fuente: BleepingComputer — Mar 23

Subsidiaria de Semiconductores Trio-Tech Afectada por Ransomware

Ransomware Filtración de Datos

La empresa de servicios de chips Trio-Tech International reveló que una subsidiaria en Singapur fue afectada por ransomware de cifrado de archivos. La cadena de suministro de semiconductores sigue siendo un objetivo, con empresas de manufactura y servicios de chips enfrentando una presión creciente de ransomware.

Fuente: SecurityWeek — Mar 23

🕵️ Actividad Estatal y APT

FBI/CISA: Hackers Rusos Realizan Phishing Masivo contra Usuarios de Signal y WhatsApp

Rusia / Inteligencia Phishing Masivo

El FBI y CISA emitieron una alerta conjunta advirtiendo que los Servicios de Inteligencia Rusos están realizando campañas de phishing a gran escala contra cuentas de Signal y WhatsApp de individuos de alto valor — funcionarios gubernamentales, personal militar, figuras políticas y periodistas. Miles de cuentas han sido comprometidas a nivel global. Una vez dentro, los atacantes leen mensajes, exfiltran contactos y realizan phishing adicional desde identidades de confianza.

Fuente: The Hacker News, FBI — Mar 21–23

FBI Alerta sobre Hackers Iraníes Handala Usando Telegram para Distribuir Malware

Irán / MOIS

El FBI advirtió que hackers iraníes vinculados al Ministerio de Inteligencia y Seguridad (MOIS) — conocidos como Handala — están utilizando Telegram para distribuir malware. EE.UU. ha confirmado el vínculo de Handala con el gobierno iraní e incautó varios dominios utilizados en sus operaciones psicológicas cibernéticas.

Fuente: BleepingComputer, SecurityWeek — Mar 23

Hackers Norcoreanos Abusan de VS Code para Distribuir Malware StoatWaffle

Corea del Norte / WaterPlum

El actor de amenazas Contagious Interview (WaterPlum) está distribuyendo el malware StoatWaffle a través de proyectos maliciosos de VS Code. El ataque abusa de la función de ejecución automática tasks.json de VS Code — una táctica relativamente nueva adoptada desde diciembre de 2025. Esto apunta a desarrolladores que abren proyectos de VS Code aparentemente legítimos, ejecutando malware automáticamente.

Fuente: The Hacker News — Mar 23

🎣 Phishing e Ingeniería Social

Plataforma PhaaS Tycoon2FA Vuelve a Plena Capacidad Tras Disrupción Policial

Phishing-as-a-Service

La plataforma de phishing Tycoon2FA que Europol interrumpió el 4 de marzo ya ha regresado a niveles de actividad previos a la disrupción. Los volúmenes de ataque y las tácticas permanecen sin cambios, demostrando la resiliencia de la infraestructura cibercriminal frente a las acciones policiales. La plataforma se especializa en evadir la autenticación de dos factores.

Fuente: BleepingComputer, SecurityWeek — Mar 23

Microsoft: Phishing de Temporada Fiscal del IRS Afecta a 29.000 Usuarios

Campaña de Phishing

Microsoft advirtió sobre campañas de phishing a gran escala que explotan la urgencia de la temporada fiscal en EE.UU. Más de 29.000 usuarios fueron atacados con notificaciones falsas de reembolso del IRS, formularios de nómina y recordatorios de declaración. Las campañas despliegan malware de Monitoreo y Gestión Remota (RMM) y aprovechan plataformas PhaaS. Los objetivos incluyen tanto individuos como profesionales fiscales con acceso a datos financieros sensibles.

Fuente: The Hacker News, Microsoft — Mar 23

📊 Tendencias Emergentes e Investigación

M-Trends 2026: La Transferencia de Acceso Inicial Cae a 22 Segundos

Investigación / Mandiant

El informe M-Trends 2026 de Mandiant, basado en más de 500.000 horas de respuesta a incidentes, revela que el tiempo entre el compromiso del broker de acceso inicial y la transferencia a operadores de ransomware se ha reducido de horas a apenas 22 segundos. Esto reduce drásticamente la ventana para que los defensores detecten y respondan a las intrusiones antes del despliegue del ransomware.

Relevancia KENSAI

Tiempos de transferencia de 22 segundos significan que el triaje manual del SOC ya no es viable para la detección de acceso inicial. El escaneo automatizado y continuo — como el enfoque de KENSAI — se convierte en la única defensa realista. Las organizaciones sin capacidades de respuesta automatizada están esencialmente indefensas ante esta velocidad de ataque.

Fuente: SecurityWeek / Mandiant — Mar 23

Ocho Vectores de Ataque Descubiertos en AWS Bedrock

Investigación en Seguridad de IA

El equipo de investigación de amenazas de XM Cyber mapeó ocho vectores de ataque validados en la plataforma de IA AWS Bedrock: manipulación de logs, compromiso de base de conocimientos, secuestro de agentes, inyección de flujos, degradación de guardrails e inyección de prompts. A medida que los agentes de IA obtienen acceso a datos empresariales (Salesforce, Lambda, SharePoint), se convierten en superficies de ataque de alto valor con permisos y alcance hacia activos críticos.

Relevancia KENSAI

La seguridad de la infraestructura de IA es una frontera emergente. A medida que las empresas conectan agentes de IA a sistemas de producción, la superficie de ataque se expande drásticamente. Esto se alinea con el posicionamiento de KENSAI en seguridad de IA — escaneando y asegurando la infraestructura que impulsa los sistemas de IA.

Fuente: The Hacker News / XM Cyber — Mar 23

Ataques Basados en Navegador Evaden Controles de Seguridad Tradicionales

Investigación / Push Security

Un nuevo informe de Push Security documenta cómo los ataques basados en navegador — phishing AITM, ClickFix, aplicaciones OAuth maliciosas y secuestro de sesiones — están impulsando las mayores brechas actuales y evadiendo los controles de seguridad tradicionales. El navegador es cada vez más la superficie de ataque principal.

Fuente: BleepingComputer / Push Security — Mar 23

💰 Industria y Financiación

Cape Recauda $100M para Seguridad Celular

Financiación

Cape, un operador de red virtual móvil (MVNO) enfocado en privacidad, recaudó $100 millones para protección contra amenazas de seguridad celular — atendiendo a consumidores, empresas y clientes gubernamentales.

Fuente: SecurityWeek — Mar 23

Eclypsium Recauda $25M para Seguridad de Cadena de Suministro de Dispositivos

Financiación

Eclypsium aseguró $25 millones para expandir su plataforma de seguridad de cadena de suministro de dispositivos y hacer crecer sus alianzas de canal. Oportuno dado el ataque a la cadena de suministro de Trivy que domina las noticias de hoy.

Fuente: SecurityWeek — Mar 23

3 Hombres Acusados de Contrabandear Hardware de IA a China

Controles de Exportación

Tres hombres fueron acusados de conspirar para violar los controles de exportación de EE.UU. desviando cantidades masivas de servidores de IA de alto rendimiento ensamblados en EE.UU. hacia China. Refleja la continua tensión geopolítica en torno al acceso a hardware de IA.

Fuente: SecurityWeek — Mar 23

📋 Cumplimiento y Regulación

Reino Unido Endurece los Requisitos de Reporte de Ciberincidentes

Regulación

El Reino Unido está fortaleciendo los requisitos obligatorios de reporte de ciberincidentes. Junto con la aplicación de NIS2 que se intensifica en toda la UE, las organizaciones enfrentan una red cada vez más compleja de obligaciones de reporte. La generación automatizada de informes de cumplimiento — un diferenciador de KENSAI — se vuelve esencial.

Fuente: SecurityWeek — Mar 23