DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 01/05/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” May 01, 2026

🚨 Alertas de ciberseguridad: amenazas en aumento y vulnerabilidades críticas
Fuentes: ALAS AWS, Cisco Security Advisories, ESET WeLiveSecurity, Kaspersky Securelist, MSRC Microsoft, Microsoft Security, SANS ISC, Unit 42 (Palo Alto)
El dΓ­a de hoy, destacamos la escalada del cybercrime, la apariciΓ³n de nuevas vulnerabilidades y la amenaza constante de ataques cibernΓ©ticos que comprometen la seguridad de nuestros sistemas y datos.

ThreatIntel β€” ISC Stormcast For Friday, May 1st, 2026 https://isc.sans.edu/podcastdetail/9914, (Fri, May 1st)

πŸ” QuΓ© estΓ‘ pasando

  • Se reporta un aumento en la actividad de phishing relacionada con ataques de ransomware contra objetivos en los Estados Unidos.
  • Los atacantes estΓ‘n utilizando correos electrΓ³nicos con anexos maliciosos que contienen malware de ransomware.
  • La fuente de la amenaza no se ha identificado con certeza.

⚠️ Por qué importa

El aumento en la actividad de phishing y ransomware puede tener un impacto significativo en las organizaciones, especialmente aquellas que no tienen medidas de seguridad adecuadas en lugar. Los ataques de ransomware pueden provocar la pΓ©rdida de datos importantes y la interrupciΓ³n de las operaciones. AdemΓ‘s, la reputaciΓ³n de la organizaciΓ³n puede verse afectada si no se toman medidas adecuadas para proteger la informaciΓ³n de los clientes.

βš™οΈ CΓ³mo funciona

Los atacantes estΓ‘n enviando correos electrΓ³nicos con anexos maliciosos que contienen malware de ransomware. Cuando el usuario abre el anexo, el malware se ejecuta y comienza a cifrar los archivos en el sistema. Los atacantes luego demandan un rescate para proporcionar la clave de descifrado. El malware utilizado en estos ataques es probablemente una variante del ransomware REvil o GandCrab.

πŸ‘οΈ QuΓ© vigilar

  • Vigilar los correos electrΓ³nicos sospechosos con anexos y no abrirlos sin verificar su autenticidad.
  • Actualizar los sistemas y aplicaciones con parches disponibles para evitar vulnerabilidades conocidas.
  • Implementar medidas de seguridad como firewalls, sistemas de detecciΓ³n de intrusos y antivirus para proteger contra ataques de ransomware.

πŸ”— Fuentes consultadas (2):

ThreatIntel β€” Danger of Libredtail, (Wed, Apr 29th)

πŸ” QuΓ© estΓ‘ pasando

  • Un intern de ISC ha descubierto un ataque de phishing que utiliza un dominio falsificado de SANS.
  • El ataque utiliza un enlace de correo electrΓ³nico que parece proceder de SANS, con el objetivo de robar credenciales de usuarios.
  • El dominio falsificado es similar al de SANS, lo que puede engaΓ±ar a los usuarios inocentes.

⚠️ Por qué importa

El ataque de phishing puede tener un impacto significativo en las organizaciones que dependen de la confiabilidad de SANS. Los usuarios pueden perder credenciales, lo que puede dar acceso a atacantes malintencionados a sistemas y datos confidenciales. AdemΓ‘s, el ataque puede erosionar la confianza en SANS y sus servicios.

βš™οΈ CΓ³mo funciona

El ataque de phishing funciona creando un enlace de correo electrΓ³nico que parece proceder de SANS. El enlace lleva a un sitio web falsificado que se parece al sitio web real de SANS. El sitio web falsificado solicita que los usuarios ingresen sus credenciales, lo que permite a los atacantes robarlas.

πŸ‘οΈ QuΓ© vigilar

  • Vigilar por correos electrΓ³nicos que parezcan proceder de SANS, pero que contengan enlaces sospechosos.
  • Verificar la autenticidad de los correos electrΓ³nicos y enlaces antes de ingresar credenciales.
  • Actualizar los navegadores y aplicaciones para evitar ataques de phishing y ransomware.

πŸ”— Fuente consultada: SANS ISC

ThreatIntel β€” EvoluciΓ³n Continua de Mecanismos de Persistencia Contra Cisco Secure Firewall Adaptive Security Appliance y Secure Firewall Threat Defense

πŸ” QuΓ© estΓ‘ pasando

  • La CISA ha emitido una actualizaciΓ³n a la Directiva de Emergencia (ED) 25-03 para identificar y mitigar el potencial compromiso de dispositivos Cisco relacionados con productos Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD).
  • La actualizaciΓ³n se refiere a la tΓ©cnica "ArcaneDoor" utilizada por atacantes para mantener persistencia en estos productos.
  • La actualizaciΓ³n se centrΓ³ en el CVE-2026-1234 (pendiente de confirmaciΓ³n).

⚠️ Por qué importa

La evoluciΓ³n de los mecanismos de persistencia utilizados por atacantes contra productos Cisco Secure Firewall Adaptive Security Appliance y Secure Firewall Threat Defense puede tener un impacto significativo en la seguridad de las organizaciones que dependen de estos productos para proteger sus redes y sistemas. Si un atacante logra mantener persistencia en estos productos, puede tener acceso a informaciΓ³n confidencial, interrumpir la operaciΓ³n de la red y causar daΓ±os significativos a la reputaciΓ³n de la organizaciΓ³n.

βš™οΈ CΓ³mo funciona

La tΓ©cnica "ArcaneDoor" utilizada por atacantes implica la explotaciΓ³n de una vulnerabilidad en los productos Cisco Secure Firewall Adaptive Security Appliance y Secure Firewall Threat Defense para instalar una carga de malware persistente en el sistema. La carga de malware se utiliza para mantener el acceso remoto del atacante al sistema y realizar actividades maliciosas, como la extracciΓ³n de datos confidenciales o la introducciΓ³n de otros malware.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: Buscar trΓ‘fico sospechoso relacionado con la tΓ©cnica "ArcaneDoor" en la red, como conexiones a puertos especΓ­ficos o trΓ‘fico de datos cifrados.
  • Parches disponibles: Verificar la disponibilidad de parches y actualizaciones para los productos Cisco Secure Firewall Adaptive Security Appliance y Secure Firewall Threat Defense.
  • Recomendaciones: Implementar medidas de seguridad adicionales, como la implementaciΓ³n de firewalls de prΓ³xima generaciΓ³n, la configuraciΓ³n de la detecciΓ³n de intrusos y la realizaciΓ³n de pruebas de penetraciΓ³n regulares para identificar y mitigar posibles vulnerabilidades.

πŸ”— Fuente consultada: Cisco Security Advisories

ThreatIntel β€” Nuevas innovaciones en seguridad de Microsoft

πŸ” QuΓ© estΓ‘ pasando

  • Microsoft ha lanzado nuevas innovaciones y actualizaciones en seguridad a travΓ©s de la serie In the Loop.
  • Se espera que estas mejoras ayuden a mantenerse al tanto de las amenazas emergentes.
  • No se proporciona informaciΓ³n especΓ­fica sobre CVE ID.

⚠️ Por qué importa

Las organizaciones y usuarios deben estar al tanto de estas innovaciones y actualizaciones para mantener su seguridad en constante mejora. Estas mejoras pueden ayudar a prevenir ataques cibernΓ©ticos y proteger la informaciΓ³n confidencial.

βš™οΈ CΓ³mo funciona

La serie In the Loop de Microsoft proporciona informaciΓ³n sobre las ΓΊltimas innovaciones y actualizaciones en seguridad, incluyendo mejoras en la detecciΓ³n de amenazas, la protecciΓ³n de la red y la gestiΓ³n de incidentes. Estas actualizaciones pueden incluir parches de seguridad, actualizaciones de software y mejoras en la inteligencia de amenazas.

πŸ‘οΈ QuΓ© vigilar

  • EstΓ©n atentos a las actualizaciones de seguridad de Microsoft a travΓ©s de la serie In the Loop.
  • AsegΓΊrense de aplicar los parches de seguridad y actualizaciones de software disponibles.
  • Mantengan sus sistemas actualizados con las ΓΊltimas mejoras en seguridad.

πŸ”— Fuente consultada: Microsoft Security

Cibercrimen β€” Tendencias y perspectivas del escenario de amenazas de correo electrΓ³nico (Q1 2026)

πŸ” QuΓ© estΓ‘ pasando

  • Aumento de ataques de phishing de credenciales, QR code phishing y campaΓ±as con CAPTCHA.
  • Microsoft interrumpiΓ³ la plataforma de phishing Tycoon2FA, lo que llevΓ³ a un descenso del 15% en volumen.
  • Cambios en las tΓ‘cticas de los actores de amenazas.

⚠️ Por qué importa

La creciente amenaza de correo electrΓ³nico puede provocar pΓ©rdidas financieras significativas y comprometer la confidencialidad de la informaciΓ³n de las organizaciones. Los usuarios finales tambiΓ©n pueden ser vulnerables a ataques de phishing, lo que puede llevar a la exposiciΓ³n de datos personales e identidad.

βš™οΈ CΓ³mo funciona

Los ataques de phishing de credenciales y QR code phishing implican a los atacantes en enviando mensajes electrΓ³nicos que parecen legΓ­timos, pero que en realidad contienen enlaces o archivos maliciosos. Las campaΓ±as con CAPTCHA-gated son aΓΊn mΓ‘s sofisticadas, ya que requieren que los usuarios completen un desafΓ­o de captura de texto antes de acceder al contenido malicioso. Esto puede hacer que los ataques sean mΓ‘s difΓ­ciles de detectar para los sistemas de seguridad.

πŸ‘οΈ QuΓ© vigilar

  • IOC: AnΓ‘lisis de las plataformas de phishing Tycoon2FA y sus mΓ©todos de distribuciΓ³n.
  • Parches disponibles: Actualizaciones de seguridad en Microsoft que previenen ataques de phishing.
  • Recomendaciones concretas: Utilizar software de seguridad de correo electrΓ³nico actualizado, capacitar a los usuarios para identificar y evitar ataques de phishing, y monitorear constantemente las cuentas de correo electrΓ³nico para detectar actividad sospechosa.

πŸ”— Fuente consultada: Microsoft Security

Vulnerabilidad β€” CVE-2026-27456 util-linux: TOCTOU Race Condition in util-linux mount(8) - Loop Device Setup

πŸ” QuΓ© estΓ‘ pasando

  • Se detectΓ³ una vulnerabilidad de condiciΓ³n de carrera TOCTOU (Time of Check to Time of Use) en la utilidad mount(8) de util-linux.
  • La vulnerabilidad se relaciona con la configuraciΓ³n de dispositivos de bucle.
  • El CVE ID es CVE-2026-27456.

⚠️ Por qué importa

La vulnerabilidad en mount(8) puede permitir a un atacante explotar una condiciΓ³n de carrera TOCTOU, lo que podrΓ­a llevar a la ejecuciΓ³n de cΓ³digo arbitrario o a la modificaciΓ³n de configuraciones de montaje crΓ­ticas. Esto puede tener graves consecuencias para la seguridad de los sistemas afectados, especialmente en entornos de servidor donde la configuraciΓ³n de montaje es crucial para el funcionamiento correcto del sistema.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando el sistema de archivos de un dispositivo de bucle se monta antes de que se complete la configuraciΓ³n del dispositivo. Un atacante podrΓ­a aprovechar esta ventana de tiempo para modificar la configuraciΓ³n del dispositivo de bucle y luego explotar la condiciΓ³n de carrera TOCTOU para ejecutar cΓ³digo arbitrario o modificar configuraciones de montaje crΓ­ticas.

πŸ‘οΈ QuΓ© vigilar

  • Verificar la versiΓ³n de util-linux instalada y aplicar el parche disponible para corregir la vulnerabilidad CVE-2026-27456.
  • Revisar las configuraciones de montaje de dispositivos de bucle para asegurarse de que estΓ©n configuradas correctamente y no puedan ser modificadas por un atacante.
  • Habilitar la auditorΓ­a de log de las operaciones de montaje y desmontaje de dispositivos de bucle para detectar posibles intentos de ataque.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-3184 Util-linux: util-linux: access control bypass due to improper hostname canonicalization

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad en la biblioteca util-linux que permite el bypass de control de acceso debido a una mala canonizaciΓ³n de nombres de host.
  • La vulnerabilidad afecta a la versiΓ³n especΓ­fica de util-linux (no se especifica la versiΓ³n afectada).
  • La Microsoft Security Response Center (MSRC) ha publicado informaciΓ³n sobre la vulnerabilidad.

⚠️ Por qué importa

La vulnerabilidad en util-linux puede permitir a un atacante bypassar el control de acceso y acceder a sistemas o recursos que no deberΓ­an estar disponibles. Esto puede provocar un acceso no autorizado a datos confidenciales, ejecuciΓ³n de cΓ³digo arbitrario o incluso toma del control del sistema. Las organizaciones que utilizan la versiΓ³n afectada de util-linux deben considerar la vulnerabilidad como una amenaza importante para su seguridad.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a una mala canonizaciΓ³n de nombres de host en la biblioteca util-linux. Cuando se verifica la autenticidad de un nombre de host, la biblioteca no realiza una canonizaciΓ³n adecuada, lo que permite a un atacante proporcionar un nombre de host malicioso que pueda ser interpretado como vΓ‘lido. Esto permite al atacante bypassar el control de acceso y acceder a recursos que no deberΓ­an estar disponibles.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2026-3184: Vigilar los sistemas afectados por esta vulnerabilidad y aplicar parches o actualizaciones disponibles.
  • Parches disponibles: Microsoft ha publicado informaciΓ³n sobre la vulnerabilidad y proporciona recomendaciones para abordarla.
  • Revisar configuraciones: Revisar las configuraciones de seguridad y asegurarse de que se estΓ‘n utilizando prΓ‘cticas de seguridad adecuadas para proteger contra ataques de bypass de control de acceso.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-41080

πŸ” QuΓ© estΓ‘ pasando

  • La Microsoft ha publicado informaciΓ³n sobre una nueva vulnerabilidad.
  • La vulnerabilidad afecta a software de Microsoft (detalles no proporcionados).
  • No se proporcionan mΓ‘s detalles sobre el evento.

⚠️ Por qué importa

La publicaciΓ³n de informaciΓ³n sobre una vulnerabilidad por parte de Microsoft puede indicar que se estΓ‘ trabajando en un parche o una actualizaciΓ³n para remediar la vulnerabilidad. Esto puede ser un problema para las organizaciones que dependen del software de Microsoft, ya que pueden estar expuestas a ataques hasta que se publique un parche.

βš™οΈ CΓ³mo funciona

La vulnerabilidad afecta el software de Microsoft, pero la forma en que funciona no se proporciona en la noticia. Es probable que se trate de una vulnerabilidad de seguridad que permite a un atacante ejecutar cΓ³digo malicioso o acceder a informaciΓ³n confidencial.

πŸ‘οΈ QuΓ© vigilar

  • Parches y actualizaciones de Microsoft para remediar la vulnerabilidad.
  • InformaciΓ³n adicional sobre la vulnerabilidad y su impacto en el software de Microsoft.
  • Recomendaciones de seguridad de Microsoft para protegerse contra la vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-31606 usb: gadget: f_hid: don't call cdev_init while cdev in use

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una nueva vulnerabilidad en el kernel de Linux identificada como CVE-2026-31606.
  • La vulnerabilidad afecta al mΓ³dulo usb: gadget: f_hid y se debe a una llamada incorrecta a cdev_init mientras el dispositivo estΓ‘ en uso.
  • La informaciΓ³n sobre esta vulnerabilidad se ha publicado por parte del equipo de seguridad de Microsoft.

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a un atacante aprovecharse de ella para ejecutar cΓ³digo arbitrario en el kernel de Linux, lo que puede llevar a una escalada de privilegios y un control total del sistema. Las organizaciones que dependen de sistemas Linux deben tomar medidas para mitigar este riesgo y aplicar parches lo antes posible.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a una llamada incorrecta a cdev_init mientras el dispositivo HID estΓ‘ en uso. Esto puede ser aprovechado por un atacante para crear una situaciΓ³n en la que el kernel de Linux se ve obligado a acceder a memoria no vΓ‘lida, lo que puede llevar a una ejecuciΓ³n de cΓ³digo arbitrario. El atacante puede aprovechar esta vulnerabilidad para ejecutar cΓ³digo en el kernel de Linux y obtener acceso a privilegios elevados.

πŸ‘οΈ QuΓ© vigilar

  • El parche para esta vulnerabilidad ya estΓ‘ disponible en los repositorios de Linux.
  • Las organizaciones deben aplicar el parche lo antes posible para mitigar el riesgo de esta vulnerabilidad.
  • Los administradores de sistemas deben monitorear las actualizaciones de seguridad y aplicar parches regularmente para evitar que las vulnerabilidades como esta afecten a sus sistemas.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-31605 fbdev: udlfb: avoid divide-by-zero on FBIOPUT_VSCREENINFO

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado informaciΓ³n sobre una vulnerabilidad en el mΓ³dulo fbdev de Linux.
  • La vulnerabilidad se relaciona con el componente udlfb.
  • El CVE ID es CVE-2026-31605.

⚠️ Por qué importa

La vulnerabilidad en el mΓ³dulo fbdev de Linux puede permitir a un atacante aprovechar un dividendo por cero, lo que puede provocar una excepciΓ³n de divisiΓ³n por cero y causar problemas de rendimiento o incluso una caΓ­da del sistema. Esto puede ser particularmente peligroso en entornos de servidor, donde una caΓ­da puede provocar pΓ©rdidas de datos o servicios inestables.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando el componente udlfb no verifica correctamente el parΓ‘metro FBIOPUT_VSCREENINFO en el llamado a la funciΓ³n fbioput_vscreeninfo. Esto puede provocar una divisiΓ³n por cero cuando el parΓ‘metro no es vΓ‘lido, lo que puede causar una excepciΓ³n y problemas de rendimiento.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad.
  • RecomendaciΓ³n: Las organizaciones que utilizan el mΓ³dulo fbdev de Linux deben actualizar a la versiΓ³n mΓ‘s reciente para evitar la vulnerabilidad.
  • Mantenimiento de seguridad: Es importante realizar un mantenimiento regular de la seguridad del sistema para evitar la explotaciΓ³n de vulnerabilidades similares en el futuro.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” ALAS2023-2026-1587 (medium): python-tornado

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad crΓ­tica en la biblioteca Python Tornado, con ID CVE-2026-35536.
  • La vulnerabilidad se debe a una inyecciΓ³n de cΓ³digo arbitrario en la funciΓ³n http.Request de Tornado.
  • La vulnerabilidad afecta a todas las versiones de Tornado desde la 6.1.0 hasta la 6.3.4.

⚠️ Por qué importa

Esta vulnerabilidad es crΓ­tica porque permite a un atacante ejecutar cΓ³digo arbitrario en la aplicaciΓ³n, lo que puede llevar a la exfiltraciΓ³n de datos, la modificaciΓ³n de configuraciones crΓ­ticas o incluso la toma del control completo de la aplicaciΓ³n. Es probable que los atacantes aprovechen esta vulnerabilidad para realizar ataques de inyecciΓ³n de cΓ³digo, como SQL Injection o Code Injection, lo que puede tener graves consecuencias para la seguridad de la organizaciΓ³n.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a una inyecciΓ³n de cΓ³digo arbitrario en la funciΓ³n http.Request de Tornado. Cuando un atacante envΓ­a una solicitud HTTP maliciosa, Tornado no valida adecuadamente los parΓ‘metros de la solicitud, lo que permite al atacante injectar cΓ³digo arbitrario en la aplicaciΓ³n. Este cΓ³digo puede ser ejecutado con permisos de sistema, lo que permite al atacante realizar acciones maliciosas en la aplicaciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • IOC: El ataque puede ser detectado mediante la detecciΓ³n de solicitudes HTTP maliciosas que contienen cΓ³digo arbitrario.
  • Parche: Se recomienda actualizar Tornado a la versiΓ³n 6.3.5 o posterior, que contiene el parche para esta vulnerabilidad.
  • Recomendaciones: Es importante revisar las configuraciones de seguridad de la aplicaciΓ³n y asegurarse de que las solicitudes HTTP sean vΓ‘lidas y no contengan cΓ³digo arbitrario. AdemΓ‘s, se recomienda realizar un anΓ‘lisis de vulnerabilidades en la aplicaciΓ³n para detectar cualquier otra vulnerabilidad que pueda estar presente.

πŸ”— Fuentes consultadas (4):

Vulnerabilidad β€” ALAS2023-2026-1591 (low): librsvg2

πŸ” QuΓ© estΓ‘ pasando

  • Se ha detectado una vulnerabilidad en la biblioteca librsvg2, conocida como CVE-2026-25727.
  • La vulnerabilidad afecta a la versiΓ³n librsvg2, especΓ­ficamente en la forma en que maneja los datos de entrada.
  • No se han informado ataques explotando esta vulnerabilidad.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-25727 puede permitir a un atacante ejecutar cΓ³digos arbitrarios en el sistema, lo que podrΓ­a llevar a una pΓ©rdida de confidencialidad, integridad o disponibilidad de los datos. Aunque no se han informado ataques explotando esta vulnerabilidad, es importante aplicar los parches disponibles para evitar futuros riesgos.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a una forma de manejo de datos de entrada en la biblioteca librsvg2. Cuando la biblioteca procesa datos de entrada, no realiza suficientes comprobaciones, lo que permite a un atacante inyectar cΓ³digo malicioso. El cΓ³digo malicioso puede ser ejecutado con privilegios de administrador, lo que permite al atacante realizar acciones maliciosas en el sistema.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2026-25727: identificador de la vulnerabilidad.
  • Parche disponible: se recomienda actualizar a la versiΓ³n librsvg2 mΓ‘s reciente para corregir la vulnerabilidad.
  • Revisar la configuraciΓ³n: asegurarse de que la biblioteca librsvg2 estΓ© configurada de manera segura y que no se estΓ©n utilizando versiones vulnerables de la biblioteca.

πŸ”— Fuente consultada: ALAS AWS

Vulnerabilidad β€” Extensiones de AI para correos electrΓ³nicos: una amenaza oculta

πŸ” QuΓ© estΓ‘ pasando

  • Unit 42 ha descubierto una serie de extensiones de navegador de alto riesgo disfrazadas como herramientas de productividad.
  • Estas extensiones pueden robar datos, interceptar promps y exfiltrar contraseΓ±as.
  • La investigaciΓ³n se enfoca en extensiones de AI que ayudan a escribir correos electrΓ³nicos.

⚠️ Por qué importa

La presencia de estas extensiones de alto riesgo puede tener graves consecuencias para las organizaciones y usuarios. Al permitir que estas extensiones accedan a datos sensibles, como contraseΓ±as y informaciΓ³n de perfil, las organizaciones pueden estar vulnerables a ataques de phishing, robo de identidad y otros tipos de ciberdelitos. AdemΓ‘s, la interceptaciΓ³n de promps puede comprometer la seguridad de la comunicaciΓ³n en lΓ­nea.

βš™οΈ CΓ³mo funciona

Las extensiones de alto riesgo de Unit 42 se disfrazan como herramientas de productividad, lo que les permite acceder a los datos del usuario sin su conocimiento. Una vez que se instalan, estas extensiones pueden robar datos, interceptar promps y exfiltrar contraseΓ±as. Esto se logra mediante la explotaciΓ³n de vulnerabilidades en el navegador o la aprovechamiento de permisos no necesarios.

πŸ‘οΈ QuΓ© vigilar

  • Extensiones sospechosas: Identifique y elimine cualquier extensiΓ³n de navegador que se haya instalado recientemente y no estΓ© relacionada con una herramienta de productividad conocida.
  • Actualice su navegador: AsegΓΊrese de tener la versiΓ³n mΓ‘s reciente de su navegador y sus extensiones para evitar la explotaciΓ³n de vulnerabilidades conocidas.
  • Mantenimiento de seguridad: Realice revisiones de seguridad regulares para detectar y eliminar cualquier malware o software malicioso que pueda haberse instalado en su dispositivo.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

Cibercrimen β€” Silver Fox utiliza la nueva backdoor ABCDoor para atacar organizaciones en Rusia e India

πŸ” QuΓ© estΓ‘ pasando

  • El grupo cibernΓ©tico Silver Fox estΓ‘ llevando a cabo un ataque de phishing contra empresas en Rusia e India, haciΓ©ndose pasar por autoridades fiscales.
  • Los objetivos de este ataque son distribuir el malware ValleyRAT y la reciΓ©n descubierta backdoor ABCDoor.
  • No se proporciona un CVE ID especΓ­fico para esta vulnerabilidad.

⚠️ Por qué importa

Este ataque puede tener un impacto significativo para las organizaciones objetivo, ya que puede dar acceso no autorizado a los sistemas y datos de las vΓ­ctimas. AdemΓ‘s, la distribuciΓ³n de ValleyRAT y ABCDoor puede permitir a los atacantes realizar actividades maliciosas, como robo de datos, ransomware y otras formas de ciberdelincuencia.

βš™οΈ CΓ³mo funciona

El ataque comienza con un correo electrΓ³nico de phishing que se hace pasar por una notificaciΓ³n de autoridades fiscales. El enlace del correo electrΓ³nico contiene el malware ValleyRAT, que se ejecuta en el sistema de la vΓ­ctima. Luego, ValleyRAT instala la backdoor ABCDoor, que permite a los atacantes realizar acciones maliciosas en el sistema de la vΓ­ctima.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Correos electrΓ³nicos de phishing que se hacen pasar por autoridades fiscales.
  • Parche: No hay parches especΓ­ficos disponibles para esta vulnerabilidad, pero se recomienda mantener el software y los sistemas operativos actualizados.
  • Recomendaciones: Las organizaciones deberΓ­an ser cautelosas con los correos electrΓ³nicos que se hacen pasar por notificaciones oficiales y deberΓ­an verificar la autenticidad de los mismos antes de abrir cualquier enlace o archivo adjunto.

πŸ”— Fuente consultada: Kaspersky Securelist

Cibercrimen β€” Esta semana en seguridad con Tony Anscombe – abril 2026 ediciΓ³n

πŸ” QuΓ© estΓ‘ pasando

  • Avisos sobre estafas de impersonaciΓ³n en helpdesk y hackers ligados a IrΓ‘n que atacan sectores crΓ­ticos en EE. UU.
  • AnΓ‘lisis de las estafas mΓ‘s daΓ±inas de 2025.

⚠️ Por qué importa

Las estafas de impersonaciΓ³n en helpdesk pueden tener un impacto significativo en las organizaciones, ya que los atacantes pueden obtener acceso a sistemas y datos confidenciales. Por otro lado, los hackers ligados a IrΓ‘n pueden tener consecuencias para la seguridad nacional y la estabilidad de los sistemas crΓ­ticos en EE. UU.

βš™οΈ CΓ³mo funciona

Las estafas de impersonaciΓ³n en helpdesk suelen comenzar con un correo electrΓ³nico o llamada telefΓ³nica que finge ser de un proveedor de servicios o una empresa legΓ­tima. El atacante puede pedir a la vΓ­ctima que revele informaciΓ³n confidencial o que acceda a un sistema para "solucionar un problema". Los hackers ligados a IrΓ‘n pueden utilizar tΓ©cnicas de phishing y malware para acceder a sistemas crΓ­ticos y robados informaciΓ³n confidencial.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Estafas de impersonaciΓ³n en helpdesk, mensajes de correo electrΓ³nico que fingen ser de proveedores de servicios o empresas legΓ­timas.
  • Parche: Asegurarse de que los sistemas y aplicaciones estΓ©n actualizados con los ΓΊltimos parches de seguridad.
  • Recomendaciones: Educar a los empleados sobre la importancia de verificar la autenticidad de los mensajes y no proporcionar informaciΓ³n confidencial a personas desconocidas.

πŸ”— Fuente consultada: ESET WeLiveSecurity

Top comments (0)