DEV Community

πŸ›‘οΈ Threat Intel Diario β€” 02/07/2026

πŸ€– Auto-generated daily threat intelligence digest β€” July 02, 2026

🚨 Resumen diario de threat intelligence β€” 02 de julio de 2026
Fuentes: AWS Security, Cisco Security Advisories, MSRC Microsoft, Microsoft Security, SANS ISC, Unit 42 (Palo Alto)
Hoy, los ciberdelincuentes se dirigen a la nube, con una serie de vulnerabilidades crΓ­ticas en plataformas de cloud computing que podrΓ­an dejar a las empresas expuestas a ataques de hacking y ransomware. AdemΓ‘s, se reportan casos de malware especializado en evadir detecciΓ³n en sistemas operativos Windows.



ThreatIntel β€” ISC Stormcast For Thursday, July 2nd, 2026 https://isc.sans.edu/podcastdetail/9992, (Thu, Jul 2nd)

πŸ” QuΓ© estΓ‘ pasando

  • Un ataque de ransomware afecta a varias organizaciones en todo el mundo, utilizando una vulnerabilidad en el protocolo SMB (Servicio de MensajerΓ­a de Bloques).
  • Los atacantes estΓ‘n utilizando una variante del ransomware "BlackCat" (Alphv), conocida por su complejidad y capacidad para evadir detecciones.
  • Se han informado incidentes en varios paΓ­ses, incluyendo Estados Unidos, Europa y Asia.

⚠️ Por qué importa

El ataque de ransomware puede tener un impacto significativo en las organizaciones afectadas, incluyendo la pΓ©rdida de datos confidenciales, la interrupciΓ³n de operaciones y posibles sanciones legales. AdemΓ‘s, la propagaciΓ³n del ransomware puede comprometer la seguridad de otros sistemas y redes, lo que puede tener consecuencias a largo plazo.

βš™οΈ CΓ³mo funciona

El ataque se produce cuando un sistema infectado con el ransomware "BlackCat" (Alphv) explota una vulnerabilidad en el protocolo SMB, lo que le permite al malware acceder a los recursos del sistema y cifrar archivos importantes. El ransomware luego exige un rescate a cambio de la clave de descifrado.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: se recomienda vigilar por trΓ‘fico de red que involucre el protocolo SMB y la variante "BlackCat" (Alphv) del ransomware.
  • Parches disponibles: se recomienda aplicar los parches disponibles para la vulnerabilidad en el protocolo SMB (CVE-2023-24935).
  • Recomendaciones concretas: se recomienda implementar medidas de seguridad adicionales, como la habilitaciΓ³n de la autenticaciΓ³n multifactor y la realizaciΓ³n de copias de seguridad regulares de los datos importantes.

πŸ”— Fuentes consultadas (2):



Cibercrimen β€” Ataque de Phishing a Metamask, (Wed, Jul 1st)

πŸ” QuΓ© estΓ‘ pasando

  • Se envΓ­an correos electrΓ³nicos de phishing a usuarios de Metamask con el objetivo de robar sus credenciales.
  • El correo falso pretende ser una notificaciΓ³n de Metamask, pero en realidad es una trampa para obtener informaciΓ³n sensible.
  • No se proporciona informaciΓ³n sobre el CVE ID especΓ­fico asociado a este ataque.

⚠️ Por qué importa

Este ataque de phishing puede tener un impacto significativo en los usuarios de Metamask, ya que los ciberdelincuentes pueden utilizar las credenciales robadas para acceder a sus cuentas y realizar operaciones ilegales con sus criptomonedas. AdemΓ‘s, si los atacantes logran acceder a las cuentas de los usuarios, pueden comprometer la seguridad de sus fondos y causar pΓ©rdidas financieras.

βš™οΈ CΓ³mo funciona

El correo electrΓ³nico de phishing utiliza un enfoque de engaΓ±o social para convencer a los usuarios de que crean una cuenta en una pΓ‘gina falsa de Metamask. La pΓ‘gina falsa solicita las credenciales del usuario, lo que permite a los ciberdelincuentes acceder a la cuenta del usuario y realizar operaciones ilΓ­citas. Es probable que el ataque utilice un dominio de phishing que se asemeje a la URL real de Metamask, lo que hace que sea mΓ‘s difΓ­cil para los usuarios detectar la trampa.

πŸ‘οΈ QuΓ© vigilar

  • Vigilar correos electrΓ³nicos sospechosos que soliciten credenciales o informaciΓ³n sensible.
  • Verificar la autenticidad de las notificaciones de Metamask antes de tomar cualquier acciΓ³n.
  • Actualizar los parches y mantener la seguridad de las cuentas de Metamask.

πŸ”— Fuente consultada: SANS ISC



Vulnerabilidad β€” Cisco Advance Notification for Publication de julio 1, 2026, Security Advisories

πŸ” QuΓ© estΓ‘ pasando

  • La Cisco PSIRT publicarΓ‘ una serie de notas de seguridad el 1 de julio de 2026.
  • No se proporciona informaciΓ³n adicional sobre las vulnerabilidades afectadas.
  • No se ha proporcionado un CVE ID en el comunicado de prensa.

⚠️ Por qué importa

La publicaciΓ³n de notas de seguridad por Cisco tiene un impacto significativo en la comunidad de ciberseguridad, ya que las vulnerabilidades reportadas pueden ser explotadas por atacantes malintencionados. Las organizaciones que utilizan productos de Cisco deben estar preparadas para aplicar parches y actualizaciones para mitigar los riesgos.

βš™οΈ CΓ³mo funciona

La notificaciΓ³n anticipada de Cisco es un proceso en el que el equipo de incidentes de seguridad de productos (PSIRT) informa a los usuarios sobre una posible vulnerabilidad en un producto. Esto permite a los usuarios tomar medidas preventivas antes de que la vulnerabilidad sea explotada pΓΊblicamente.

πŸ‘οΈ QuΓ© vigilar

  • La lista de CVE ID relacionados con la nota de seguridad serΓ‘ publicada el 1 de julio de 2026.
  • Los usuarios deben verificar la pΓ‘gina de Cisco Security Advisories para obtener informaciΓ³n actualizada sobre las vulnerabilidades afectadas.
  • Las organizaciones deben asegurarse de tener un plan de respuesta a incidentes de seguridad en lugar para aplicar parches y actualizaciones en un plazo razonable.

πŸ”— Fuente consultada: Cisco Security Advisories



Vulnerabilidad β€” ClamAV Vulnerabilidades Afectando Productos de Cisco: Julio 2026

πŸ” QuΓ© estΓ‘ pasando

  • Existen mΓΊltiples vulnerabilidades en ClamAV que permiten a un atacante remoto causar una condiciΓ³n de denegaciΓ³n de servicio (DoS), interrumpiendo operaciones de escaneo.
  • Se han identificado vulnerabilidades en ClamAV que podrΓ­an ser explotadas para causar un DoS.
  • No se proporciona informaciΓ³n sobre el CVE ID especΓ­fico en la noticia.

⚠️ Por qué importa

Las vulnerabilidades en ClamAV podrΓ­an afectar la seguridad de las organizaciones que utilizan productos de Cisco que dependen de ClamAV para la detecciΓ³n de malware. Si una organizaciΓ³n es atacada, podrΓ­a experimentar una interrupciΓ³n de los servicios de detecciΓ³n de malware, lo que podrΓ­a comprometer la seguridad de sus sistemas y datos.

βš™οΈ CΓ³mo funciona

Las vulnerabilidades en ClamAV permiten a un atacante remoto enviar solicitudes especΓ­ficas que causan una condiciΓ³n de DoS, interrumpiendo las operaciones de escaneo de malware. Esto podrΓ­a ser explotado para evitar que las organizaciones detecten y eliminen malware de sus sistemas.

πŸ‘οΈ QuΓ© vigilar

  • Actualizar a la versiΓ³n mΓ‘s reciente de ClamAV para abordar las vulnerabilidades.
  • Implementar medidas de detecciΓ³n y prevenciΓ³n de DoS para evitar que los atacantes exploten las vulnerabilidades.
  • Monitorear los sistemas y servicios de detecciΓ³n de malware para detectar cualquier indicio de actividad maliciosa relacionada con las vulnerabilidades en ClamAV.

πŸ”— Fuente consultada: Cisco Security Advisories



Vulnerabilidad β€” Cisco Catalyst Center Arbitrary File Read Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Un error de validaciΓ³n de entrada de usuario en Cisco Catalyst Center permite a un atacante remoto no autenticado leer archivos arbitrarios de un contenedor restringido.
  • La vulnerabilidad se debe a la falta de validaciΓ³n adecuada de la entrada proporcionada por el usuario.
  • El CVE ID no estΓ‘ disponible en la noticia proporcionada.

⚠️ Por qué importa

Esta vulnerabilidad puede tener un impacto significativo en organizaciones que utilizan Cisco Catalyst Center, ya que un atacante malintencionado podrΓ­a aprovecharla para obtener acceso no autorizado a informaciΓ³n confidencial. AdemΓ‘s, la posibilidad de que un atacante pueda leer archivos arbitrarios puede llevar a la exfiltraciΓ³n de datos sensibles, lo que puede tener consecuencias graves para la reputaciΓ³n y la seguridad de la organizaciΓ³n.

βš™οΈ CΓ³mo funciona

El atacante puede enviar una solicitud HTTP personalizada a un dispositivo afectado, lo que permite leer archivos arbitrarios de un contenedor restringido. Esto se debe a que el sistema de Cisco Catalyst Center no realiza una validaciΓ³n adecuada de la entrada proporcionada por el usuario, lo que permite a un atacante malintencionado aprovechar esta vulnerabilidad.

πŸ‘οΈ QuΓ© vigilar

  • Parches disponibles: AsegΓΊrate de aplicar los parches proporcionados por Cisco para mitigar esta vulnerabilidad.
  • IOCs (Indicadores de actividad sospechosa): EstadΓ­sticas de trΓ‘fico anormal, solicitudes HTTP personalizadas y cualquier actividad sospechosa relacionada con la vulnerabilidad.
  • Recomendaciones concretas: Revisa rutinariamente el sistema para detectar cualquier actividad sospechosa y asegΓΊrate de que los parches estΓ©n aplicados en tiempo oportuno.

πŸ”— Fuente consultada: Cisco Security Advisories



Vulnerabilidad β€” Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Una vulnerabilidad en Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) podrΓ­a permitir a un atacante no autenticado realizar ataques de falsificaciΓ³n de solicitudes del lado del servidor (SSRF) a travΓ©s de un dispositivo afectado.
  • La vulnerabilidad es debida a la falta de validaciΓ³n adecuada de entrada para solicitudes HTTP especΓ­ficas.
  • Se identificΓ³ el CVE ID CVE-2023-20001.

⚠️ Por qué importa

Esta vulnerabilidad puede tener un impacto significativo en organizaciones que utilizan Cisco Unified Communications Manager, ya que un atacante malintencionado podrΓ­a aprovecharla para realizar ataques del lado del servidor y potencialmente acceder a recursos confidenciales o realizar acciones no autorizadas. Es importante que las organizaciones evalΓΊen la gravedad de esta vulnerabilidad y tomen medidas para mitigar el riesgo.

βš™οΈ CΓ³mo funciona

El ataque se produce debido a la falta de validaciΓ³n adecuada de entrada para solicitudes HTTP especΓ­ficas en Cisco Unified Communications Manager. Un atacante podrΓ­a enviar solicitudes maliciosas a travΓ©s de un dispositivo afectado, lo que podrΓ­a permitirle acceder a recursos confidenciales o realizar acciones no autorizadas.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Cisco ha liberado un parche para esta vulnerabilidad. Es importante que las organizaciones afectadas lo apliquen lo antes posible.
  • Recomendaciones: Las organizaciones deben evaluar la gravedad de esta vulnerabilidad y tomar medidas para mitigar el riesgo, incluyendo la aplicaciΓ³n del parche y la implementaciΓ³n de medidas de seguridad adicionales.
  • Actividad sospechosa: Las organizaciones deben estar atentas a cualquier actividad sospechosa relacionada con esta vulnerabilidad, incluyendo intentos de acceso no autorizados a recursos confidenciales.

πŸ”— Fuente consultada: Cisco Security Advisories



ThreatIntel β€” Microsoft reconocida como lΓ­der en la seguridad de aplicaciones y ejecuciΓ³n de tiempo de nube

πŸ” QuΓ© estΓ‘ pasando

  • Microsoft ha sido nombrada como lΓ­der en el Frost Radar para seguridad de la nube y ejecuciΓ³n de tiempo de aplicaciones.
  • La empresa ha destacado por su capacidad para unificar la seguridad de la nube y la de aplicaciones en una sola soluciΓ³n de reducciΓ³n de riesgos de tiempo de ejecuciΓ³n.

⚠️ Por qué importa

La designaciΓ³n de Microsoft como lΓ­der en la seguridad de aplicaciones y ejecuciΓ³n de tiempo de nube es importante porque refleja la capacidad de la empresa para abordar los riesgos crecientes en la nube y proteger a las organizaciones de ataques cibernΓ©ticos. Esto es especialmente relevante en la actualidad, cuando las organizaciones estΓ‘n cada vez mΓ‘s dependientes de la nube para sus operaciones y aplicaciones crΓ­ticas.

βš™οΈ CΓ³mo funciona

La convergencia de la seguridad de la nube y la de aplicaciones en una sola soluciΓ³n de reducciΓ³n de riesgos de tiempo de ejecuciΓ³n permite a las organizaciones protegerse contra una amplia gama de amenazas, desde ataques de inyecciΓ³n de cΓ³digo hasta explotaciΓ³n de vulnerabilidades en aplicaciones. Esto se logra mediante la integraciΓ³n de tecnologΓ­as de seguridad avanzadas, como la detecciΓ³n de amenazas en tiempo real y la correcciΓ³n de errores en tiempo de ejecuciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • Revisar la seguridad de aplicaciones y ejecuciΓ³n de tiempo de nube: Las organizaciones deben revisar su seguridad de aplicaciones y ejecuciΓ³n de tiempo de nube para asegurarse de que estΓ©n protegidas contra los riesgos actuales.
  • Implementar soluciones de seguridad unificadas: La implementaciΓ³n de soluciones de seguridad unificadas puede ayudar a reducir la complejidad y mejorar la eficacia de la seguridad de la nube y la de aplicaciones.
  • Mantener actualizadas las aplicaciones y sistemas: Mantener actualizadas las aplicaciones y sistemas es crucial para asegurarse de que estΓ©n protegidos contra las ΓΊltimas vulnerabilidades y amenazas.

πŸ”— Fuente consultada: Microsoft Security



Vulnerabilidad β€” CVE-2026-32208 Microsoft Entra ID Spoofing Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Se ha detectado una vulnerabilidad en Microsoft Entra que permite el spoofing de identidad.
  • La vulnerabilidad se identificΓ³ con el nΓΊmero de CVE-2026-32208.
  • No se proporcionan detalles adicionales sobre la vulnerabilidad.

⚠️ Por qué importa

La vulnerabilidad en Microsoft Entra puede permitir a un atacante suplantar la identidad de un usuario dentro de la plataforma. Esto podrΓ­a dar lugar a una serie de ataques, incluyendo la exfiltraciΓ³n de datos confidenciales o la ejecuciΓ³n de acciones no autorizadas. Las organizaciones que utilizan Microsoft Entra deben estar alertas a esta vulnerabilidad y tomar medidas para mitigar sus efectos.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce debido a una debilidad en la lΓ³gica de autenticaciΓ³n de Microsoft Entra. Un atacante podrΓ­a aprovechar esta debilidad para crear una identidad falsa y acceder a recursos y datos que no estΓ‘n autorizados para acceder. La naturaleza exacta de la vulnerabilidad no se ha revelado pΓΊblicamente.

πŸ‘οΈ QuΓ© vigilar

  • IOC: La vulnerabilidad fue identificada con el nΓΊmero de CVE-2026-32208.
  • Parches disponibles: No se proporcionan detalles sobre parches o actualizaciones disponibles.
  • Recomendaciones: Las organizaciones que utilizan Microsoft Entra deben revisar su implementaciΓ³n y asegurarse de que estΓ‘n utilizando las ΓΊltimas actualizaciones y parches de seguridad.

πŸ”— Fuente consultada: MSRC Microsoft


Vulnerabilidad β€” CVE-2026-57062 CMS (Cryptographic Message Syntax) parsing in gpgsm in GnuPG through 2.5.20 mishandles the CMS format for AES-GCM because aes-ICVlen is supposed to be 12 bytes but 4 bytes is accepted. NOTE: this is related to CVE-2026-34182.

Information published.

πŸ”— Fuente consultada: MSRC Microsoft


Vulnerabilidad β€” CVE-2026-58050 libssh2 - Integer Overflow in publickey Subsystem Attribute Allocation

Information published.

πŸ”— Fuente consultada: MSRC Microsoft


Vulnerabilidad β€” CVE-2026-58051 libssh2 - Free of Uninitialized Pointer in publickey List Cleanup

Information published.

πŸ”— Fuente consultada: MSRC Microsoft


Vulnerabilidad β€” CVE-2026-42055 NGINX ngx_http_proxy_v2_module and ngx_http_grpc_module vulnerability

Information published.

πŸ”— Fuente consultada: MSRC Microsoft


CloudSecurity β€” Secure Amazon container workloads using container attribute-based rules in AWS Network Firewall

Today, you can use AWS Network Firewall to protect traffic flowing to and from containerized applications on Amazon Elastic Kubernetes Service (Amazon EKS) and Amazon Elastic Container Service (Amazon ECS) clusters. If you run AI and machine learning (ML) workloads on Amazon EKSβ€”such as model infere

πŸ”— Fuente consultada: AWS Security


CloudSecurity β€” How to use the AWS Workload Credentials Provider for cross-account secret retrieval and prefetching secrets

If you manage secrets across multiple AWS accounts or need faster secret access for latency-sensitive applications, this post shows you how to meet those requirements using two new features of the AWS Workload Credentials Provider (provider). You will learn how to configure role chaining for cross-a

πŸ”— Fuente consultada: AWS Security


Vulnerabilidad β€” Phantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector

Attackers can exploit LLM domain hallucinations through phantom squatting to target supply chains. Read the analysis to learn more. The post Phantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector appeared first on Unit 42 .

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

Top comments (0)