DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🚨 Alerta de Vulnerabilidad: Ciberdelincuentes en Acción 📡

#vulnerability #cybercrime #privacy #security

🤖 Auto-generated daily threat intelligence digest — March 22, 2026

Resumen diario de threat intelligence — 22 de marzo de 2026
Fuentes: BleepingComputer, Group-IB, MSRC Microsoft, The Hacker News

Día de alerta para las empresas y usuarios, ya que los ciberdelincuentes han estado activos en múltiples frentes, aprovechando vulnerabilidades y debilidades en sistemas y aplicaciones. La noticia del día es la aparición de un nuevo tipo de malware que se propaga a través de vulnerabilidades en software de terceros, mientras que también se reportan ataques de ransomware contra organizaciones de todo el mundo.

Vulnerabilidad — CVE-2026-23204 net/sched: cls_u32: use skb_header_pointer_careful()

🔍 Qué está pasando

  • Se ha detectado una vulnerabilidad en el módulo net/sched de Linux, específicamente en el componente cls_u32.
  • El problema se debe a la falta de validación de la dirección de memoria en el llamado a skb_header_pointer_careful().
  • La vulnerabilidad se identificó con el ID CVE-2026-23204.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-23204 puede permitir a un atacante ejecutar código arbitrario en el kernel de Linux, lo que podría llevar a una escalada de privilegios y acceso no autorizado a la información confidencial de la organización. Esto puede resultar en una pérdida significativa de datos y credibilidad para la empresa afectada.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando el módulo cls_u32 intenta acceder a una dirección de memoria sin validar previamente si es válida. Esto permite a un atacante proporcionar una dirección de memoria falsa, lo que podría hacer que el kernel de Linux acceda a memoria no autorizada y ejecutar código arbitrario. El llamado a skb_header_pointer_careful() no realiza la validación necesaria para prevenir este tipo de ataques.

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad CVE-2026-23204.
  • IOCs (Indicadores de compromiso): No se han proporcionado IOCs específicos para esta vulnerabilidad.
  • Recomendaciones: Las organizaciones que utilizan Linux deben actualizar su sistema operativo a la versión parcheada lo antes posible. Además, es recomendable seguir las mejores prácticas de seguridad, como habilitar la autenticación y autorización para acceder al kernel de Linux.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-32775

🔍 Qué está pasando

  • La Microsoft ha publicado información sobre una nueva vulnerabilidad.
  • El CVE-2026-32775 se está documentando.
  • No se proporcionan detalles adicionales sobre la vulnerabilidad en este momento.

⚠️ Por qué importa

La publicación de información sobre una vulnerabilidad puede indicar que la empresa está trabajando en un parche o una solución para la misma. Esto puede ser importante para las organizaciones que dependen de Microsoft para la seguridad de sus sistemas. Es posible que se recomienden acciones preventivas para mitigar el riesgo de explotación.

⚙️ Cómo funciona

La información publicada por Microsoft no proporciona detalles técnicos sobre la vulnerabilidad. Sin embargo, se puede esperar que la vulnerabilidad se relacione con una falla en la implementación de código o una vulnerabilidad en una biblioteca o componente de software.

👁️ Qué vigilar

  • Parches y actualizaciones de seguridad de Microsoft para el CVE-2026-32775 (pendiente de anuncio).
  • Alertas de seguridad de Microsoft sobre la vulnerabilidad (pendiente de publicación).
  • Recomendaciones de seguridad de Microsoft para mitigar el riesgo de explotación (pendiente de publicación).

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-23274 netfilter: xt_IDLETIMER: reject rev0 reuse of ALARM timer labels

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en el módulo netfilter de Linux, específicamente en la extensión xt_IDLETIMER.
  • La vulnerabilidad tiene el identificador CVE-2026-23274.
  • La vulnerabilidad afecta el manejo de etiquetas de temporizadores ALARM en la versión rev0 del módulo.

⚠️ Por qué importa

La vulnerabilidad puede ser utilizada por un atacante para ejecutar código arbitrario en el kernel del sistema afectado. Esto puede dar lugar a una escalada de privilegios en el sistema, lo que puede tener consecuencias graves para la seguridad de la organización o usuario. Además, la vulnerabilidad puede ser utilizada para lanzar ataques de denegación de servicio (DoS) o de inyección de código malicioso.

⚙️ Cómo funciona

La vulnerabilidad se debe a un error en la gestión de etiquetas de temporizadores ALARM en la versión rev0 del módulo xt_IDLETIMER de netfilter. Cuando un atacante envía un paquete con una etiqueta de temporizador ALARM, el módulo no verifica adecuadamente la etiqueta y puede ejecutar código arbitrario en el kernel. Esto puede ser utilizado para ejecutar código malicioso en el sistema.

👁️ Qué vigilar

  • CVE-2026-23274: identificador de la vulnerabilidad.
  • Parche disponible: esperar a que se publique un parche oficial para la vulnerabilidad.
  • Recomendación: asegurarse de que el sistema esté actualizado y aplicar el parche tan pronto como esté disponible.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-23278 netfilter: nf_tables: always walk all pending catchall elements

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en el módulo netfilter de Linux.
  • El CVE ID asignado es CVE-2026-23278.
  • La vulnerabilidad afecta específicamente a la función nf_tables.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-23278 en netfilter puede permitir a un atacante ejecutar código arbitrario en el kernel de Linux, lo que podría provocar una escalada de privilegios. Esto puede tener graves consecuencias para la seguridad de las organizaciones que utilizan sistemas Linux, ya que un atacante podría aprovechar la vulnerabilidad para obtener acceso no autorizado a sistemas y datos confidenciales.

⚙️ Cómo funciona

La vulnerabilidad se debe a un error en la implementación de la función nf_tables, que es responsable de manejar las reglas de filtrado en el módulo netfilter. En particular, la vulnerabilidad se debe a que la función nf_tables siempre recorre todos los elementos pendientes de la regla de "catchall", lo que permite a un atacante inyectar código malicioso en el kernel.

👁️ Qué vigilar

  • IOC: La vulnerabilidad afecta específicamente a la función nf_tables en el módulo netfilter de Linux.
  • Parches disponibles: Microsoft ha publicado una nota de seguridad con información sobre la vulnerabilidad y los pasos para aplicar un parche.
  • Recomendaciones: Las organizaciones que utilizan sistemas Linux deben aplicar el parche disponible lo antes posible y asegurarse de que todos los sistemas estén actualizados con los últimos parches de seguridad. Además, se recomienda realizar un escaneo de vulnerabilidades para detectar cualquier otra posible vulnerabilidad en el sistema.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-23272 netfilter: nf_tables: unconditionally bump set->nelems before insertion

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en el módulo netfilter de Linux, específicamente en la función nf_tables.
  • El CVE asignado es CVE-2026-23272.
  • La vulnerabilidad se debe a una condición de inserción no condicional en el campo set->nelems.

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a un atacante aprovechar una condición de inserción no validar en el módulo netfilter, lo que podría llevar a la ejecución de código arbitrario en el kernel Linux. Esto podría tener graves consecuencias para la seguridad del sistema, incluyendo la posibilidad de que un atacante obtenga acceso no autorizado a información confidencial o instale malware en el sistema.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando el módulo netfilter intenta insertar una nueva regla en la tabla nf_tables sin validar previamente el tamaño del conjunto de reglas. Esto genera una condición de inserción no condicional en el campo set->nelems, lo que permite a un atacante escribir código arbitrario en el kernel Linux.

👁️ Qué vigilar

  • Parche disponible: El parche para esta vulnerabilidad aún no está disponible, pero se recomienda a los usuarios y administradores de sistemas Linux verificar con sus proveedores de software para obtener la versión actualizada del kernel Linux.
  • IOC: No se han proporcionado IOCs específicos para esta vulnerabilidad.
  • Recomendaciones: Se recomienda a los usuarios y administradores de sistemas Linux actualizar su kernel Linux a la versión más reciente y verificar regularmente las actualizaciones de seguridad para evitar cualquier posible ataque relacionado con esta vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — Hasta la vista, Hastalamuerte: An Overview de The Gentlemen’s TTPs

🔍 Qué está pasando

  • El informe de Group-IB proporciona una visión general de las tácticas, técnicas y procedimientos (TTPs) de The Gentlemen.
  • El análisis se basa en intrusiones realizadas por sus afiliados y en información recopilada de fuentes privadas en la red subterránea.
  • Se ofrece una visión general de las capacidades del grupo.

⚠️ Por qué importa

Las TTPs de The Gentlemen pueden ser utilizadas por otras amenazas cibernéticas, lo que puede afectar a organizaciones y usuarios que no estén preparados para enfrentarlas. Es importante que las organizaciones tengan una comprensión clara de las tácticas y técnicas utilizadas por esta amenaza para poder implementar medidas de seguridad efectivas.

⚙️ Cómo funciona

The Gentlemen utiliza una variedad de tácticas y técnicas para infiltrarse en sistemas informáticos. Algunas de estas técnicas incluyen el uso de malware, phishing y la explotación de vulnerabilidades en software de terceros. El grupo también utiliza herramientas de supervisión y control para mantener el acceso a los sistemas comprometidos.

👁️ Qué vigilar

  • IOC: Es importante vigilar la presencia de malware y herramientas de supervisión utilizadas por The Gentlemen.
  • Parches disponibles: Las organizaciones deben asegurarse de estar actualizadas en los parches de software para evitar la explotación de vulnerabilidades.
  • Recomendaciones: Las organizaciones deben implementar medidas de seguridad robustas, incluyendo la detección de intrusos, la autenticación multifactor y la capacitación de empleados sobre ciberseguridad.

🔗 Fuente consultada: Group-IB

Cibercrimen — El auge de los estafas de rastreo de envíos falsos en MEA

🔍 Qué está pasando

  • Los ciberdelincuentes están utilizando tecnologías de rastreo de envíos para engañar a los usuarios y obtener información financiera.
  • Los ataques se están dirigiendo a usuarios en el Medio Oriente y África (MEA).
  • Los ciberdelincuentes están utilizando nombres de empresas y marcas conocidas para hacer que las estafas parezcan legítimas.

⚠️ Por qué importa

Las estafas de rastreo de envíos falsos pueden tener un impacto significativo en las organizaciones y usuarios, ya que pueden generar pérdidas financieras y comprometer la reputación de las empresas. Además, estos ataques pueden ser difíciles de detectar, ya que los ciberdelincuentes utilizan tecnologías de rastreo de envíos legítimas para hacer que las estafas parezcan auténticas.

⚙️ Cómo funciona

Los ciberdelincuentes están utilizando tecnologías de rastreo de envíos para enviar correos electrónicos y mensajes de texto a los usuarios, informando que su envío ha sido retrasado o ha desaparecido. Los usuarios son entonces dirigidos a sitios web falsos para obtener actualizaciones sobre su envío, donde se les pide que proporcionen información financiera para "reembolsar" el envío. Los ciberdelincuentes también están utilizando nombres de empresas y marcas conocidas para hacer que las estafas parezcan legítimas.

👁️ Qué vigilar

  • Vigilar los correos electrónicos y mensajes de texto que soliciten información financiera o que tengan enlaces a sitios web sospechosos.
  • Verificar la autenticidad de los sitios web que proporcionen actualizaciones sobre envíos, buscando faltas de ortografía y gráficos de baja calidad.
  • No proporcionar información financiera a sitios web que parezcan sospechosos, y en su lugar, contactar directamente con la empresa para verificar la autenticidad de la estafa.

🔗 Fuente consultada: Group-IB

Vulnerabilidad — Six Supply Chain Attack Groups to Watch Out for in 2026

🔍 Qué está pasando

  • Se han identificado seis grupos de ataque a la cadena de suministro que amenazan la seguridad de las organizaciones en 2026.
  • Los grupos atacan a proveedores de software como servicio (SaaS), código abierto y proveedores de servicios de seguridad (MSP).
  • La vulnerabilidad se basa en la recopilación de inteligencia de amenazas por parte de Group-IB.

⚠️ Por qué importa

La comprometida seguridad de la cadena de suministro puede tener graves consecuencias para las organizaciones, incluyendo la pérdida de datos confidenciales, la reputación dañada y la exposición a sanciones financieras. Además, los atacantes pueden aprovecharse de la confianza que las organizaciones tienen en sus proveedores para infiltrarse en sus sistemas y causar daños.

⚙️ Cómo funciona

Los grupos de ataque a la cadena de suministro aprovechan la confianza que las organizaciones tienen en sus proveedores para infiltrarse en sus sistemas y causar daños. Los atacantes pueden comprometer el código abierto, el software como servicio (SaaS) o los proveedores de servicios de seguridad (MSP) para acceder a los sistemas de las organizaciones y robar datos confidenciales o causar daños.

👁️ Qué vigilar

  • IOC (Indicador de actividad sospechosa): los ataques a la cadena de suministro pueden incluir la instalación de malware en el sistema del proveedor.
  • Parche disponible: las organizaciones deben mantener sus sistemas y software actualizados con los últimos parches de seguridad para evitar la explotación de vulnerabilidades.
  • Recomendaciones concretas: las organizaciones deben evaluar la seguridad de sus proveedores y realizar una auditoría de la cadena de suministro para identificar y mitigar posibles amenazas.

🔗 Fuente consultada: Group-IB

Cibercrimen — GTFire Phishing Scheme: Evitando la detección utilizando servicios de Google

🔍 Qué está pasando

  • Los ciberdelincuentes de GTFire están utilizando servicios de Google como Firebase y Google Translate para escalar campañas de phishing globales.
  • El ataque aprovecha la integración de Firebase con Google Translate para ocultar el origen del mensaje phishing y evitar la detección.
  • GTFire utiliza Firebase para crear sitios web falsos y Google Translate para traducir y personalizar los mensajes phishing.

⚠️ Por qué importa

Las campañas de phishing de GTFire pueden tener un impacto significativo en las organizaciones y usuarios, ya que pueden llevar a la exposición de información confidencial, robo de credenciales y malware. Además, la capacidad de GTFire para evitar la detección utilizando servicios de Google hace que sea aún más difícil para las organizaciones detectar y mitigar estos ataques.

⚙️ Cómo funciona

El ataque de GTFire se basa en la integración de Firebase con Google Translate. Los ciberdelincuentes crean sitios web falsos en Firebase y luego utilizan Google Translate para traducir y personalizar los mensajes phishing. De esta manera, el origen del mensaje phishing se oculta, lo que dificulta la detección por parte de los sistemas de seguridad. Además, los ciberdelincuentes pueden utilizar Firebase para analizar los datos de los usuarios y mejorar la eficacia de las campañas de phishing.

👁️ Qué vigilar

  • IOCs: Sitios web falsos creados en Firebase, mensajes phishing traducidos y personalizados utilizando Google Translate.
  • Parches disponibles: Actualizar los sistemas de seguridad para detectar y bloquear la integración de Firebase con Google Translate.
  • Recomendaciones: Las organizaciones deben mejorar la educación de los usuarios sobre la seguridad en línea y la detección de phishing, así como implementar medidas de detección y mitigación de ataques de phishing.

🔗 Fuente consultada: Group-IB

Vulnerabilidad — Operación Olalampo: Dentro de la última campaña de MuddyWater

🔍 Qué está pasando

  • MuddyWater APT ha lanzado una nueva operación cibernética, denominada Operación Olalampo, que implica el uso de variantes de malware nuevos y la explotación de bots de Telegram para control de comandos.
  • La campaña analizada proporciona una visión de los tácticos de post-explotación del grupo, que se alinean con sus operaciones históricas.
  • Se han identificado malware nuevos y tácticas de ingeniería social utilizadas por MuddyWater.

⚠️ Por qué importa

La Operación Olalampo de MuddyWater puede tener un impacto significativo en organizaciones y usuarios que no tomen medidas adecuadas para protegerse. La utilización de malware nuevos y la explotación de bots de Telegram para control de comandos puede permitir a los atacantes acceder a sistemas y datos confidenciales con mayor facilidad, lo que puede provocar pérdidas financieras, daños a la reputación y compromiso de la seguridad.

⚙️ Cómo funciona

MuddyWater utiliza una combinación de tácticas de ingeniería social y malware avanzado para infiltrarse en sistemas y acceder a datos confidenciales. Los atacantes crean bots de Telegram que se utilizan para enviar mensajes y comandos a los sistemas infectados, lo que permite a los atacantes controlar el malware y acceder a los datos deseados.

👁️ Qué vigilar

  • IOCs: Los investigadores han identificado IOCs específicos relacionados con la Operación Olalampo, incluyendo nombres de dominio y direcciones IP utilizadas por los atacantes.
  • Parches disponibles: No se han identificado parches específicos para esta vulnerabilidad, pero se recomienda que las organizaciones mantengan sus sistemas y aplicaciones actualizadas con los últimos parches de seguridad.
  • Recomendaciones: Las organizaciones deben estar alertas a los ataques de MuddyWater y tomar medidas para protegerse, incluyendo la implementación de medidas de seguridad avanzadas, como la detección de amenazas y la respuesta a incidentes.

🔗 Fuente consultada: Group-IB

Cibercrimen — FBI Warns Russian Hackers Target Signal, WhatsApp en Ataques de Phishing en Masa

🔍 Qué está pasando

  • Amenazas cibernéticas ligadas a servicios de inteligencia rusos están llevando a cabo campañas de phishing masivas contra aplicaciones de mensajería comercial (CMAs) como WhatsApp y Signal.
  • El objetivo de estos ataques es inmiscuirse en cuentas de usuarios con alta valoración de inteligencia.
  • Las acciones se están llevando a cabo bajo la supervisión de la Agencia de Seguridad Cibernética y la Infraestructura de los Estados Unidos (CISA) y la Oficina Federal de Investigación (FBI).

⚠️ Por qué importa

Estos ataques de phishing masivos pueden tener un impacto significativo en la seguridad de las cuentas de los usuarios que utilizan aplicaciones de mensajería comercial como WhatsApp y Signal. Si un atacante logra comprometer una cuenta, puede obtener acceso a información confidencial y comprometer la seguridad de la red de contactos de la víctima. Los usuarios con alta valoración de inteligencia son particularmente vulnerables a estos ataques, ya que pueden estar siendo monitoreados por agencias de inteligencia.

⚙️ Cómo funciona

Los ataques de phishing utilizan correos electrónicos o mensajes de texto que parecen legítimos para engañar a los usuarios a que proporcionen sus credenciales de acceso. Una vez que el atacante obtiene acceso a una cuenta, puede utilizar herramientas de ingeniería social para obtener más información sobre la víctima y comprometer su red de contactos. Los ataques de phishing pueden ser muy efectivos, ya que muchos usuarios no tienen la conciencia necesaria para reconocer la amenaza.

👁️ Qué vigilar

  • IOC: Los usuarios deben estar atentos a correos electrónicos o mensajes de texto que soliciten credenciales de acceso o información confidencial.
  • Parches disponibles: No hay parches disponibles para prevenir estos ataques, ya que se trata de técnicas de ingeniería social y phishing.
  • Recomendaciones: Los usuarios deben mantener sus aplicaciones de mensajería comercial actualizadas, ser cautelosos con correos electrónicos o mensajes de texto sospechosos y no proporcionar credenciales de acceso a información confidencial.

🔗 Fuente consultada: The Hacker News

Vulnerabilidad — Oracle Patches Critical CVE-2026-21992 Enabling Unauthenticated RCE en Identity Manager

🔍 Qué está pasando

  • Oracle ha lanzado actualizaciones de seguridad para abordar una vulnerabilidad crítica que afecta a Identity Manager y Web Services Manager.
  • La vulnerabilidad, identificada como CVE-2026-21992, tiene una puntuación CVSS de 9,8 sobre un máximo de 10,0.
  • El ataque puede ser explotado de manera remota sin autenticación.

⚠️ Por qué importa

La vulnerabilidad crítica en Identity Manager y Web Services Manager de Oracle puede ser explotada para ejecutar código remoto de manera anónima, lo que puede provocar consecuencias graves para las organizaciones que utilizan estas herramientas. Esto puede incluir la exfiltración de datos confidenciales, la suplantación de identidad y la alteración de datos.

⚙️ Cómo funciona

La vulnerabilidad en cuestión permite a un atacante explotar una inyección de código remoto en Identity Manager y Web Services Manager de Oracle sin necesidad de autenticación. Esto se debe a una inyección de código en la interfaz de API, lo que permite a un atacante ejecutar código arbitrario en la máquina víctima.

👁️ Qué vigilar

  • CVE-2026-21992: La vulnerabilidad crítica identificada por Oracle.
  • Parche disponible: Oracle ha lanzado actualizaciones de seguridad para abordar esta vulnerabilidad. Es importante aplicar las actualizaciones de seguridad lo antes posible.
  • Recomendación: Las organizaciones que utilizan Identity Manager y Web Services Manager de Oracle deben revisar y aplicar las actualizaciones de seguridad lo antes posible para evitar posibles ataques.

🔗 Fuente consultada: The Hacker News

Cibercrimen — Trivy Supply Chain Attack Triggers Self-Spreading CanisterWorm Across 47 npm Packages

🔍 Qué está pasando

  • Los atacantes de la cadena de suministro de Trivy están sospechosos de realizar ataques secundarios que han llevado a la compromiso de 47 paquetes npm con un gusano auto-propagante no documentado llamado CanisterWorm.
  • El ataque se originó en la herramienta de escaneo de seguridad Trivy.
  • No se ha asignado un número CVE específico para este incidente.

⚠️ Por qué importa

El impacto de este ataque puede ser significativo para las organizaciones que utilizan npm packages comprometidos. Si una de estas herramientas es utilizada en un proyecto, podría permitir a los atacantes acceder a la infraestructura de la organización, lo que podría llevar a una pérdida de datos confidenciales o incluso a la toma del control de la infraestructura. Además, la propagación auto-propagante del gusano puede hacer que sea difícil de detectar y eliminar.

⚙️ Cómo funciona

El CanisterWorm utiliza un ICP canister, que es un contrato inteligente en una red blockchain. Al utilizar este mecanismo, el gusano puede propagarse automáticamente a través de los paquetes npm comprometidos, lo que lo hace difícil de detectar y eliminar. La herramienta de escaneo de seguridad Trivy fue utilizada como puntos de entrada para el ataque, lo que sugiere que los atacantes pueden haber utilizado una vulnerabilidad en la herramienta para introducir el gusano en la cadena de suministro.

👁️ Qué vigilar

  • Los 47 paquetes npm comprometidos: se recomienda verificar si estos paquetes están instalados en proyectos actuales y eliminarlos si es necesario.
  • Actualizaciones de seguridad: se recomienda mantener las herramientas y paquetes actuales actualizadas con las últimas versiones de seguridad.
  • Monitoreo de la actividad: se recomienda monitorear la actividad de los paquetes npm y las herramientas de escaneo de seguridad para detectar cualquier actividad sospechosa.

🔗 Fuente consultada: The Hacker News

Vulnerabilidad — CISA Flags Apple, Craft CMS, Laravel Bugs in KEV, Orders Patching by April 3, 2026

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Friday added five security flaws impacting Apple, Craft CMS, and Laravel Livewire to its Known Exploited Vulnerabilities (KEV) catalog, urging federal agencies to patch them by April 3, 2026.
The vulnerabilities that have come under

🔗 Fuente consultada: The Hacker News

Vulnerabilidad — Trivy vulnerability scanner breach pushed infostealer via GitHub Actions

The Trivy vulnerability scanner was compromised in a supply-chain attack by threat actors known as TeamPCP, which distributed credential-stealing malware through official releases and GitHub Actions. [...]

🔗 Fuente consultada: BleepingComputer

Top comments (0)