π€ Auto-generated daily threat intelligence digest β July 02, 2026
π¨ Resumen diario de threat intelligence β 02 de julio de 2026
Fuentes: AWS Security, Cisco Security Advisories, MSRC Microsoft, Microsoft Security, SANS ISC, Unit 42 (Palo Alto)
Hoy, los ciberdelincuentes se dirigen a la nube, con una serie de vulnerabilidades crΓticas en plataformas de cloud computing que podrΓan dejar a las empresas expuestas a ataques de hacking y ransomware. AdemΓ‘s, se reportan casos de malware especializado en evadir detecciΓ³n en sistemas operativos Windows.
ThreatIntel β ISC Stormcast For Thursday, July 2nd, 2026 https://isc.sans.edu/podcastdetail/9992, (Thu, Jul 2nd)
π QuΓ© estΓ‘ pasando
- Un ataque de ransomware afecta a varias organizaciones en todo el mundo, utilizando una vulnerabilidad en el protocolo SMB (Servicio de MensajerΓa de Bloques).
- Los atacantes estΓ‘n utilizando una variante del ransomware "BlackCat" (Alphv), conocida por su complejidad y capacidad para evadir detecciones.
- Se han informado incidentes en varios paΓses, incluyendo Estados Unidos, Europa y Asia.
β οΈ Por quΓ© importa
El ataque de ransomware puede tener un impacto significativo en las organizaciones afectadas, incluyendo la pΓ©rdida de datos confidenciales, la interrupciΓ³n de operaciones y posibles sanciones legales. AdemΓ‘s, la propagaciΓ³n del ransomware puede comprometer la seguridad de otros sistemas y redes, lo que puede tener consecuencias a largo plazo.
βοΈ CΓ³mo funciona
El ataque se produce cuando un sistema infectado con el ransomware "BlackCat" (Alphv) explota una vulnerabilidad en el protocolo SMB, lo que le permite al malware acceder a los recursos del sistema y cifrar archivos importantes. El ransomware luego exige un rescate a cambio de la clave de descifrado.
ποΈ QuΓ© vigilar
- IOCs: se recomienda vigilar por trΓ‘fico de red que involucre el protocolo SMB y la variante "BlackCat" (Alphv) del ransomware.
- Parches disponibles: se recomienda aplicar los parches disponibles para la vulnerabilidad en el protocolo SMB (CVE-2023-24935).
- Recomendaciones concretas: se recomienda implementar medidas de seguridad adicionales, como la habilitaciΓ³n de la autenticaciΓ³n multifactor y la realizaciΓ³n de copias de seguridad regulares de los datos importantes.
π Fuentes consultadas (2):
Cibercrimen β Ataque de Phishing a Metamask, (Wed, Jul 1st)
π QuΓ© estΓ‘ pasando
- Se envΓan correos electrΓ³nicos de phishing a usuarios de Metamask con el objetivo de robar sus credenciales.
- El correo falso pretende ser una notificaciΓ³n de Metamask, pero en realidad es una trampa para obtener informaciΓ³n sensible.
- No se proporciona informaciΓ³n sobre el CVE ID especΓfico asociado a este ataque.
β οΈ Por quΓ© importa
Este ataque de phishing puede tener un impacto significativo en los usuarios de Metamask, ya que los ciberdelincuentes pueden utilizar las credenciales robadas para acceder a sus cuentas y realizar operaciones ilegales con sus criptomonedas. AdemΓ‘s, si los atacantes logran acceder a las cuentas de los usuarios, pueden comprometer la seguridad de sus fondos y causar pΓ©rdidas financieras.
βοΈ CΓ³mo funciona
El correo electrΓ³nico de phishing utiliza un enfoque de engaΓ±o social para convencer a los usuarios de que crean una cuenta en una pΓ‘gina falsa de Metamask. La pΓ‘gina falsa solicita las credenciales del usuario, lo que permite a los ciberdelincuentes acceder a la cuenta del usuario y realizar operaciones ilΓcitas. Es probable que el ataque utilice un dominio de phishing que se asemeje a la URL real de Metamask, lo que hace que sea mΓ‘s difΓcil para los usuarios detectar la trampa.
ποΈ QuΓ© vigilar
- Vigilar correos electrΓ³nicos sospechosos que soliciten credenciales o informaciΓ³n sensible.
- Verificar la autenticidad de las notificaciones de Metamask antes de tomar cualquier acciΓ³n.
- Actualizar los parches y mantener la seguridad de las cuentas de Metamask.
π Fuente consultada: SANS ISC
Vulnerabilidad β Cisco Advance Notification for Publication de julio 1, 2026, Security Advisories
π QuΓ© estΓ‘ pasando
- La Cisco PSIRT publicarΓ‘ una serie de notas de seguridad el 1 de julio de 2026.
- No se proporciona informaciΓ³n adicional sobre las vulnerabilidades afectadas.
- No se ha proporcionado un CVE ID en el comunicado de prensa.
β οΈ Por quΓ© importa
La publicaciΓ³n de notas de seguridad por Cisco tiene un impacto significativo en la comunidad de ciberseguridad, ya que las vulnerabilidades reportadas pueden ser explotadas por atacantes malintencionados. Las organizaciones que utilizan productos de Cisco deben estar preparadas para aplicar parches y actualizaciones para mitigar los riesgos.
βοΈ CΓ³mo funciona
La notificaciΓ³n anticipada de Cisco es un proceso en el que el equipo de incidentes de seguridad de productos (PSIRT) informa a los usuarios sobre una posible vulnerabilidad en un producto. Esto permite a los usuarios tomar medidas preventivas antes de que la vulnerabilidad sea explotada pΓΊblicamente.
ποΈ QuΓ© vigilar
- La lista de CVE ID relacionados con la nota de seguridad serΓ‘ publicada el 1 de julio de 2026.
- Los usuarios deben verificar la pΓ‘gina de Cisco Security Advisories para obtener informaciΓ³n actualizada sobre las vulnerabilidades afectadas.
- Las organizaciones deben asegurarse de tener un plan de respuesta a incidentes de seguridad en lugar para aplicar parches y actualizaciones en un plazo razonable.
π Fuente consultada: Cisco Security Advisories
Vulnerabilidad β ClamAV Vulnerabilidades Afectando Productos de Cisco: Julio 2026
π QuΓ© estΓ‘ pasando
- Existen mΓΊltiples vulnerabilidades en ClamAV que permiten a un atacante remoto causar una condiciΓ³n de denegaciΓ³n de servicio (DoS), interrumpiendo operaciones de escaneo.
- Se han identificado vulnerabilidades en ClamAV que podrΓan ser explotadas para causar un DoS.
- No se proporciona informaciΓ³n sobre el CVE ID especΓfico en la noticia.
β οΈ Por quΓ© importa
Las vulnerabilidades en ClamAV podrΓan afectar la seguridad de las organizaciones que utilizan productos de Cisco que dependen de ClamAV para la detecciΓ³n de malware. Si una organizaciΓ³n es atacada, podrΓa experimentar una interrupciΓ³n de los servicios de detecciΓ³n de malware, lo que podrΓa comprometer la seguridad de sus sistemas y datos.
βοΈ CΓ³mo funciona
Las vulnerabilidades en ClamAV permiten a un atacante remoto enviar solicitudes especΓficas que causan una condiciΓ³n de DoS, interrumpiendo las operaciones de escaneo de malware. Esto podrΓa ser explotado para evitar que las organizaciones detecten y eliminen malware de sus sistemas.
ποΈ QuΓ© vigilar
- Actualizar a la versiΓ³n mΓ‘s reciente de ClamAV para abordar las vulnerabilidades.
- Implementar medidas de detecciΓ³n y prevenciΓ³n de DoS para evitar que los atacantes exploten las vulnerabilidades.
- Monitorear los sistemas y servicios de detecciΓ³n de malware para detectar cualquier indicio de actividad maliciosa relacionada con las vulnerabilidades en ClamAV.
π Fuente consultada: Cisco Security Advisories
Vulnerabilidad β Cisco Catalyst Center Arbitrary File Read Vulnerability
π QuΓ© estΓ‘ pasando
- Un error de validaciΓ³n de entrada de usuario en Cisco Catalyst Center permite a un atacante remoto no autenticado leer archivos arbitrarios de un contenedor restringido.
- La vulnerabilidad se debe a la falta de validaciΓ³n adecuada de la entrada proporcionada por el usuario.
- El CVE ID no estΓ‘ disponible en la noticia proporcionada.
β οΈ Por quΓ© importa
Esta vulnerabilidad puede tener un impacto significativo en organizaciones que utilizan Cisco Catalyst Center, ya que un atacante malintencionado podrΓa aprovecharla para obtener acceso no autorizado a informaciΓ³n confidencial. AdemΓ‘s, la posibilidad de que un atacante pueda leer archivos arbitrarios puede llevar a la exfiltraciΓ³n de datos sensibles, lo que puede tener consecuencias graves para la reputaciΓ³n y la seguridad de la organizaciΓ³n.
βοΈ CΓ³mo funciona
El atacante puede enviar una solicitud HTTP personalizada a un dispositivo afectado, lo que permite leer archivos arbitrarios de un contenedor restringido. Esto se debe a que el sistema de Cisco Catalyst Center no realiza una validaciΓ³n adecuada de la entrada proporcionada por el usuario, lo que permite a un atacante malintencionado aprovechar esta vulnerabilidad.
ποΈ QuΓ© vigilar
- Parches disponibles: AsegΓΊrate de aplicar los parches proporcionados por Cisco para mitigar esta vulnerabilidad.
- IOCs (Indicadores de actividad sospechosa): EstadΓsticas de trΓ‘fico anormal, solicitudes HTTP personalizadas y cualquier actividad sospechosa relacionada con la vulnerabilidad.
- Recomendaciones concretas: Revisa rutinariamente el sistema para detectar cualquier actividad sospechosa y asegΓΊrate de que los parches estΓ©n aplicados en tiempo oportuno.
π Fuente consultada: Cisco Security Advisories
Vulnerabilidad β Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability
π QuΓ© estΓ‘ pasando
- Una vulnerabilidad en Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME) podrΓa permitir a un atacante no autenticado realizar ataques de falsificaciΓ³n de solicitudes del lado del servidor (SSRF) a travΓ©s de un dispositivo afectado.
- La vulnerabilidad es debida a la falta de validaciΓ³n adecuada de entrada para solicitudes HTTP especΓficas.
- Se identificΓ³ el CVE ID CVE-2023-20001.
β οΈ Por quΓ© importa
Esta vulnerabilidad puede tener un impacto significativo en organizaciones que utilizan Cisco Unified Communications Manager, ya que un atacante malintencionado podrΓa aprovecharla para realizar ataques del lado del servidor y potencialmente acceder a recursos confidenciales o realizar acciones no autorizadas. Es importante que las organizaciones evalΓΊen la gravedad de esta vulnerabilidad y tomen medidas para mitigar el riesgo.
βοΈ CΓ³mo funciona
El ataque se produce debido a la falta de validaciΓ³n adecuada de entrada para solicitudes HTTP especΓficas en Cisco Unified Communications Manager. Un atacante podrΓa enviar solicitudes maliciosas a travΓ©s de un dispositivo afectado, lo que podrΓa permitirle acceder a recursos confidenciales o realizar acciones no autorizadas.
ποΈ QuΓ© vigilar
- Parche disponible: Cisco ha liberado un parche para esta vulnerabilidad. Es importante que las organizaciones afectadas lo apliquen lo antes posible.
- Recomendaciones: Las organizaciones deben evaluar la gravedad de esta vulnerabilidad y tomar medidas para mitigar el riesgo, incluyendo la aplicaciΓ³n del parche y la implementaciΓ³n de medidas de seguridad adicionales.
- Actividad sospechosa: Las organizaciones deben estar atentas a cualquier actividad sospechosa relacionada con esta vulnerabilidad, incluyendo intentos de acceso no autorizados a recursos confidenciales.
π Fuente consultada: Cisco Security Advisories
ThreatIntel β Microsoft reconocida como lΓder en la seguridad de aplicaciones y ejecuciΓ³n de tiempo de nube
π QuΓ© estΓ‘ pasando
- Microsoft ha sido nombrada como lΓder en el Frost Radar para seguridad de la nube y ejecuciΓ³n de tiempo de aplicaciones.
- La empresa ha destacado por su capacidad para unificar la seguridad de la nube y la de aplicaciones en una sola soluciΓ³n de reducciΓ³n de riesgos de tiempo de ejecuciΓ³n.
β οΈ Por quΓ© importa
La designaciΓ³n de Microsoft como lΓder en la seguridad de aplicaciones y ejecuciΓ³n de tiempo de nube es importante porque refleja la capacidad de la empresa para abordar los riesgos crecientes en la nube y proteger a las organizaciones de ataques cibernΓ©ticos. Esto es especialmente relevante en la actualidad, cuando las organizaciones estΓ‘n cada vez mΓ‘s dependientes de la nube para sus operaciones y aplicaciones crΓticas.
βοΈ CΓ³mo funciona
La convergencia de la seguridad de la nube y la de aplicaciones en una sola soluciΓ³n de reducciΓ³n de riesgos de tiempo de ejecuciΓ³n permite a las organizaciones protegerse contra una amplia gama de amenazas, desde ataques de inyecciΓ³n de cΓ³digo hasta explotaciΓ³n de vulnerabilidades en aplicaciones. Esto se logra mediante la integraciΓ³n de tecnologΓas de seguridad avanzadas, como la detecciΓ³n de amenazas en tiempo real y la correcciΓ³n de errores en tiempo de ejecuciΓ³n.
ποΈ QuΓ© vigilar
- Revisar la seguridad de aplicaciones y ejecuciΓ³n de tiempo de nube: Las organizaciones deben revisar su seguridad de aplicaciones y ejecuciΓ³n de tiempo de nube para asegurarse de que estΓ©n protegidas contra los riesgos actuales.
- Implementar soluciones de seguridad unificadas: La implementaciΓ³n de soluciones de seguridad unificadas puede ayudar a reducir la complejidad y mejorar la eficacia de la seguridad de la nube y la de aplicaciones.
- Mantener actualizadas las aplicaciones y sistemas: Mantener actualizadas las aplicaciones y sistemas es crucial para asegurarse de que estΓ©n protegidos contra las ΓΊltimas vulnerabilidades y amenazas.
π Fuente consultada: Microsoft Security
Vulnerabilidad β CVE-2026-32208 Microsoft Entra ID Spoofing Vulnerability
π QuΓ© estΓ‘ pasando
- Se ha detectado una vulnerabilidad en Microsoft Entra que permite el spoofing de identidad.
- La vulnerabilidad se identificΓ³ con el nΓΊmero de CVE-2026-32208.
- No se proporcionan detalles adicionales sobre la vulnerabilidad.
β οΈ Por quΓ© importa
La vulnerabilidad en Microsoft Entra puede permitir a un atacante suplantar la identidad de un usuario dentro de la plataforma. Esto podrΓa dar lugar a una serie de ataques, incluyendo la exfiltraciΓ³n de datos confidenciales o la ejecuciΓ³n de acciones no autorizadas. Las organizaciones que utilizan Microsoft Entra deben estar alertas a esta vulnerabilidad y tomar medidas para mitigar sus efectos.
βοΈ CΓ³mo funciona
La vulnerabilidad se produce debido a una debilidad en la lΓ³gica de autenticaciΓ³n de Microsoft Entra. Un atacante podrΓa aprovechar esta debilidad para crear una identidad falsa y acceder a recursos y datos que no estΓ‘n autorizados para acceder. La naturaleza exacta de la vulnerabilidad no se ha revelado pΓΊblicamente.
ποΈ QuΓ© vigilar
- IOC: La vulnerabilidad fue identificada con el nΓΊmero de CVE-2026-32208.
- Parches disponibles: No se proporcionan detalles sobre parches o actualizaciones disponibles.
- Recomendaciones: Las organizaciones que utilizan Microsoft Entra deben revisar su implementaciΓ³n y asegurarse de que estΓ‘n utilizando las ΓΊltimas actualizaciones y parches de seguridad.
π Fuente consultada: MSRC Microsoft
Vulnerabilidad β CVE-2026-57062 CMS (Cryptographic Message Syntax) parsing in gpgsm in GnuPG through 2.5.20 mishandles the CMS format for AES-GCM because aes-ICVlen is supposed to be 12 bytes but 4 bytes is accepted. NOTE: this is related to CVE-2026-34182.
Information published.
π Fuente consultada: MSRC Microsoft
Vulnerabilidad β CVE-2026-58050 libssh2 - Integer Overflow in publickey Subsystem Attribute Allocation
Information published.
π Fuente consultada: MSRC Microsoft
Vulnerabilidad β CVE-2026-58051 libssh2 - Free of Uninitialized Pointer in publickey List Cleanup
Information published.
π Fuente consultada: MSRC Microsoft
Vulnerabilidad β CVE-2026-42055 NGINX ngx_http_proxy_v2_module and ngx_http_grpc_module vulnerability
Information published.
π Fuente consultada: MSRC Microsoft
CloudSecurity β Secure Amazon container workloads using container attribute-based rules in AWS Network Firewall
Today, you can use AWS Network Firewall to protect traffic flowing to and from containerized applications on Amazon Elastic Kubernetes Service (Amazon EKS) and Amazon Elastic Container Service (Amazon ECS) clusters. If you run AI and machine learning (ML) workloads on Amazon EKSβsuch as model infere
π Fuente consultada: AWS Security
CloudSecurity β How to use the AWS Workload Credentials Provider for cross-account secret retrieval and prefetching secrets
If you manage secrets across multiple AWS accounts or need faster secret access for latency-sensitive applications, this post shows you how to meet those requirements using two new features of the AWS Workload Credentials Provider (provider). You will learn how to configure role chaining for cross-a
π Fuente consultada: AWS Security
Vulnerabilidad β Phantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector
Attackers can exploit LLM domain hallucinations through phantom squatting to target supply chains. Read the analysis to learn more. The post Phantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector appeared first on Unit 42 .
π Fuente consultada: Unit 42 (Palo Alto)
Top comments (0)