剣 KENSAI
← Back to archive

Informe diario de amenazas

2026-03-27 · Viernes · S13
Compilado de BleepingComputer, The Hacker News, SecurityWeek y más fuentes
4
CVEs críticos
3
Brechas de datos
2
Exploits activos
6
Campañas de amenazas

🔓 Brechas de datos y filtraciones

Brecha de datos en Hightower Holding — 130.000 afectados

26 marSecurityWeek
ALTO IMPACTO

La compañía financiera Hightower reveló que hackers exfiltraron nombres, números de seguridad social y números de licencias de conducir de su entorno. Aproximadamente 130.000 personas se ven afectadas. La brecha resalta la continua focalización en empresas de servicios financieros que manejan grandes conjuntos de datos personales.

KENSAI Take: Los servicios financieros siguen siendo objetivos principales. Las empresas que manejan datos personales a gran escala necesitan monitorización continua de vulnerabilidades — exactamente lo que proporciona el escaneo automatizado de KENSAI.

securityweek.com

Ajax Amsterdam FC — Datos de aficionados expuestos, secuestro de entradas

26 marBleepingComputer
MEDIO

El club de fútbol holandés AFC Ajax reveló una brecha donde un hacker explotó vulnerabilidades en sus sistemas informáticos, accediendo a datos personales de varios cientos de aficionados. El acceso permitió capacidades de secuestro de entradas. Demuestra cómo incluso organizaciones «no tecnológicas» enfrentan ataques sofisticados cuando poseen datos de consumidores.

bleepingcomputer.com

Administrador de LeakBase arrestado en Rusia

25–26 marMúltiples fuentes
FUERZAS DEL ORDEN

La policía rusa arrestó a un residente de Taganrog que se cree es el propietario de LeakBase, un importante foro de cibercrimen para el comercio de bases de datos robadas y herramientas de hacking, operativo desde 2021. Se incautó equipo técnico. Por separado, el presunto administrador del infostealer RedLine, Hambardzum Minasyan, fue extraditado de Armenia a EE.UU. para enfrentar cargos criminales.

thehackernews.com

🚨 CVEs críticos y vulnerabilidades

CVE-2026-33017 — Langflow AI Framework RCE (CVSS 9.3)

ACTIVAMENTE EXPLOTADOCISA KEV
CRÍTICO 9.3

CISA añadió CVE-2026-33017 a su catálogo de vulnerabilidades explotadas conocidas. La falla afecta a Langflow ≤1.8.1, un popular framework de flujos de trabajo AI de código abierto (145K estrellas en GitHub). Permite ejecución remota de código no autenticada mediante una sola solicitud HTTP manipulada debido a ejecución de flujos sin sandbox. La explotación comenzó solo 20 horas después de la divulgación — sin PoC público existente; los atacantes aplicaron ingeniería inversa a los exploits solo a partir del aviso. Escaneo automatizado → explotación → recolección de datos (.env, .db) ocurrió en 24 horas.

KENSAI Take: La infraestructura AI se está convirtiendo en una superficie de ataque principal. Líneas temporales de explotación de 20 horas significan que las organizaciones necesitan escaneo automatizado continuo, no pentests trimestrales. Esta es la propuesta de valor fundamental de KENSAI.

bleepingcomputer.com

PolyShell — RCE no autenticada en Magento/Adobe Commerce

EXPLOTACIÓN MASIVA56,7% de tiendas vulnerables
CRÍTICO

Una nueva vulnerabilidad llamada PolyShell afecta a Magento Open Source y Adobe Commerce, permitiendo la carga de archivos no autenticada que lleva a RCE vía la API REST. En explotación masiva desde el 19 de marzo, con más de 50 IPs escaneando. Sansec reporta que el 56,7% de las tiendas vulnerables han sido atacadas. Un novedoso skimmer de pagos basado en WebRTC fue desplegado mediante este vector, eludiendo la Content Security Policy usando canales UDP cifrados con DTLS en lugar de HTTP. Parche disponible solo en beta (2.4.9-beta1).

KENSAI Take: Las plataformas de comercio electrónico son infraestructura crítica para los negocios. La técnica de exfiltración WebRTC elude las CSP tradicionales — las herramientas DAST que solo monitorizan HTTP fallarán completamente. El enfoque multivector de KENSAI detecta lo que los escáneres tradicionales omiten.

thehackernews.com

BIND DNS — Vulnerabilidades OOM de alta severidad

26 marSecurityWeek
ALTO

ISC publicó actualizaciones que corrigen vulnerabilidades de alta severidad en los resolutores BIND DNS. Dominios especialmente diseñados podían provocar condiciones de memoria insuficiente que llevan a fugas de memoria y potencial denegación de servicio. Los operadores de infraestructura DNS deben parchear inmediatamente.

securityweek.com

Cisco IOS — Múltiples vulnerabilidades corregidas

26 marSecurityWeek
ALTO

Cisco publicó parches para múltiples vulnerabilidades en el software IOS, abordando fallas que podrían llevar a denegación de servicio, evasión del arranque seguro, divulgación de información y escalada de privilegios. La infraestructura de red que ejecuta Cisco IOS debe ser actualizada.

securityweek.com

Apple iOS/macOS 26.4 — Parches de seguridad

26 marSecurityWeek
MEDIO

Apple publicó correcciones de seguridad para iOS/macOS 26.4, además de retroportaciones para versiones anteriores: iOS 18.7.7, iPadOS 18.7.7, macOS Sequoia 15.7.5 y macOS Sonoma 14.8.5. Actualice todos los dispositivos Apple de inmediato.

securityweek.com

☠️ Campañas de amenazas y malware

Red Menshen (China) — Infiltración profunda en la red troncal de telecomunicaciones vía BPFDoor

26 marThe Hacker News / Rapid7
APTPATROCINADO POR ESTADO

El actor de amenazas vinculado a China Red Menshen (Earth Bluecrow / DecisiveArchitect) ha integrado implantes a nivel de kernel y puertas traseras pasivas en el corazón de redes de telecomunicaciones en Oriente Medio y Asia desde 2021. Rapid7 describió estos como «algunas de las células durmientes digitales más sigilosas» jamás encontradas. Los implantes BPFDoor permiten espionaje persistente a largo plazo contra redes gubernamentales mediante la compromisión de infraestructura de telecomunicaciones.

KENSAI Take: Actores patrocinados por estados operan a nivel de kernel en las redes troncales de telecomunicaciones — el cumplimiento de NIS2 requiere que las organizaciones consideren exactamente estos riesgos de cadena de suministro. Los proveedores de telecomunicaciones en la región DACH deben evaluar su exposición.

thehackernews.com

Sandworm (Rusia) — Puertas traseras vía software pirata

26 marThe Hacker News
APTPATROCINADO POR ESTADO

El APT ruso Sandworm está distribuyendo puertas traseras (Tambur, Sumbur, Kalambur, DemiMur) mediante software pirata como «Microsoft.Office.2025x64». Utiliza Telegram como vector de distribución dirigido a usuarios ucranianos que buscan cracks de software. DemiMur fuerza la importación de certificados raíz falsificados en el almacén de confianza del SO, habilitando manipulación persistente de la cadena de confianza.

thehackernews.com

Coruna iOS Exploit Framework — Evolución de Operation Triangulation

26 marBleepingComputer
ZERO-CLICK

El kit de exploits Coruna ha sido identificado como una evolución del framework utilizado en la Operation Triangulation, la campaña de 2023 que atacó iPhones mediante exploits zero-click de iMessage. Esto representa el desarrollo continuo de capacidades sofisticadas de explotación móvil.

bleepingcomputer.com

Keenadu — Puerta trasera a nivel de firmware Android en expansión

26 marSophos / The Hacker News
FIRMWARE

Sophos detectó Keenadu, una puerta trasera de firmware integrada en libandroid_runtime.so de Android que se inyecta en el proceso Zygote (padre de todas las apps Android), dando a los atacantes control total del dispositivo. Más de 500 dispositivos comprometidos en ~50 modelos detectados, mayormente dispositivos de bajo costo de Allview, BLU, Dcode, DOOGEE y otros. Se envía preinstalado de fábrica.

thehackernews.com

TeamPCP — Compromiso de la cadena de suministro OSS multi-ecosistema

26 marSecurityWeek
CADENA DE SUMINISTRO

El grupo de amenazas TeamPCP se expandió desde la compromisión de tags de GitHub Action (inicialmente Trivy) a atacar NPM, Docker Hub, VS Code Extensions y PyPI. El grupo supuestamente se ha aliado con Lapsus$ para ataques más amplios a la cadena de suministro en múltiples ecosistemas de paquetes.

securityweek.com

TikTok for Business — Campaña de phishing con evasión anti-bot

26 marBleepingComputer
PHISHING

Nueva campaña de phishing dirigida a cuentas de TikTok for Business que utiliza técnicas anti-bot para impedir que las herramientas de seguridad analicen páginas maliciosas. Las cuentas empresariales en redes sociales siguen siendo objetivos de alto valor para el robo de credenciales.

bleepingcomputer.com

Reino Unido sanciona el marketplace Xinbi

26 marBleepingComputer
SANCIONES

El Reino Unido sancionó a Xinbi, un marketplace de criptomonedas en chino que vende datos robados y equipos de Internet satelital a redes de estafas en el sudeste asiático. Conectado con estafas «pig butchering» y otras operaciones de fraude organizado.

bleepingcomputer.com

🛡️ Herramientas de seguridad e industria

Conferencia RSAC 2026 — Anuncios del Día 2

26 marSecurityWeek
RSAC 2026

La RSAC 2026 está en marcha con importantes anuncios de proveedores. Los temas clave incluyen operaciones de seguridad impulsadas por IA, preparación para la criptografía post-cuántica y estrategias de defensa centradas en la identidad.

securityweek.com

Dell y HP — Seguridad de dispositivos resistente al quantum

26 marSecurityWeek
PQC

Tanto Dell como HP anunciaron nuevas capacidades de seguridad resistentes al quantum para PCs e impresoras, alineándose con la línea temporal de migración PQC 2029 recientemente publicada por Google. Google está integrando ML-DSA (Module-Lattice-Based Digital Signature Algorithm) en el proceso de arranque verificado de Android 17.

securityweek.com

GitHub — Detección de vulnerabilidades con IA

26 marThe Hacker News
AI SECURITY

GitHub anunció detecciones de seguridad impulsadas por IA en GitHub Code Security, complementando CodeQL para encontrar vulnerabilidades que el análisis estático tradicional omite. El modelo de detección híbrido muestra problemas y correcciones sugeridas dentro de los flujos de trabajo de pull request. Vista previa pública esperada para principios del Q2 2026.

thehackernews.com

Onit Security — 11 M$ para gestión de exposición

26 marSecurityWeek
FINANCIACIÓN

Onit Security recaudó 11 M$ para invertir en su plataforma de gestión de exposición, expandiéndose a nuevos sectores. El espacio de gestión de exposición sigue atrayendo inversión a medida que las organizaciones buscan visibilidad continua de su superficie de ataque.

securityweek.com

La FCC prohíbe routers de consumo fabricados en el extranjero

26 marSecurityWeek
REGULACIÓN

La FCC prohibió nuevos routers de consumo fabricados fuera de EE.UU., citando riesgos de seguridad nacional. La prohibición se alinea con una determinación de la Casa Blanca de que todos los routers de fabricación extranjera constituyen una amenaza de seguridad. Implicaciones significativas para la cadena de suministro de la industria de redes.

securityweek.com

📊 Patrones emergentes

1. La infraestructura AI es la nueva superficie de ataque

CVE-2026-33017 (Langflow) explotado en 20 horas. Las herramientas de flujo de trabajo AI están expuestas a Internet, frecuentemente sin parchear, y contienen claves API y credenciales de nube. Se esperan más CVEs específicos de AI a medida que la adopción se acelera. Las organizaciones que despliegan herramientas AI deben tratarlas como infraestructura crítica.

2. Evasión de CSP vía canales no-HTTP

El skimmer de pagos WebRTC representa un cambio de paradigma: los atacantes usan canales de datos UDP cifrados con DTLS para exfiltrar datos completamente invisibles para las herramientas de seguridad centradas en HTTP. La CSP sola ya no es suficiente. La monitorización de seguridad debe expandirse más allá de HTTP para cubrir WebRTC, WebSocket y otras APIs del navegador.

3. Los ataques a la cadena de suministro se vuelven multi-ecosistema

La expansión de TeamPCP de GitHub Actions → NPM → Docker Hub → VS Code → PyPI muestra que los atacantes tratan todo el ecosistema OSS como una única superficie de ataque. Comprometer un gestor de paquetes da puntos de apoyo en los demás. SBOM y la monitorización de dependencias son ahora esenciales, no opcionales.

4. El calendario de criptografía post-cuántica se cristaliza

El plazo de migración PQC 2029 de Google + los anuncios de hardware de Dell/HP + la integración ML-DSA de Android 17 señalan que PQC está pasando de teórico a práctico. Los ataques «almacenar ahora, descifrar después» hacen de esto una amenaza actual, no futura. Las organizaciones cubiertas por NIS2 deberían comenzar las evaluaciones de preparación PQC.

5. La identidad sigue siendo el eslabón más débil

La investigación de PwC confirma que la IA amplifica la velocidad y escala de los ataques, mientras que el robo de identidad evoluciona hacia una cadena de suministro cibercriminal completa. La extradición del admin de RedLine y el cierre de LeakBase muestran cuán industrializado se ha vuelto el robo de credenciales. Las técnicas de evasión de MFA continúan avanzando junto con los kits de phishing AITM.

6. Compromiso a nivel de firmware a gran escala

Keenadu enviado preinstalado en más de 500 dispositivos en 50 modelos muestra que los ataques a la cadena de suministro de firmware son reales y generalizados. Los dispositivos económicos siguen siendo vectores para la vigilancia masiva. Las organizaciones con políticas BYOD enfrentan mayor riesgo por hardware de consumo comprometido.