DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on • Edited on

🛡️ Threat Intel Diario — 04/03/2026

#security

🤖 Auto-generated daily threat intelligence digest — March 04, 2026

🚨 Resumen diario de threat intelligence — 04 de marzo de 2026
Fuentes: BleepingComputer, Check Point Research, CyberScoop, Dark Reading, SANS ISC

La web está llena de amenazas cibernéticas, desde ataques de ransomware hasta vulnerabilidades críticas. Hoy, exploraremos las últimas noticias sobre cybercrime, seguridad cibernética y privacidad, que debes tener en cuenta para proteger tus sistemas.

ThreatIntel

🔍 Qué está pasando

  • Un nuevo ataque de ransomware se está propagando, aprovechando una vulnerabilidad no patcheada en el protocolo SMB (Server Message Block).
  • El ataque se está reportando en varios países, incluyendo Estados Unidos, Europa y América Latina.
  • No se ha proporcionado información sobre el CVE ID específico afectado.

⚠️ Por qué importa

Este ataque de ransomware puede tener un impacto significativo en las organizaciones que no han patcheado la vulnerabilidad en SMB. Los atacantes pueden acceder a archivos confidenciales y exigir un rescate a los afectados. Además, la propagación de este ataque puede provocar una pérdida de confianza en la seguridad de las redes y sistemas de los usuarios.

⚙️ Cómo funciona

El ataque se realiza mediante una inyección de código malicioso en el protocolo SMB, lo que permite a los atacantes acceder a los sistemas y archivos de los usuarios. Una vez dentro, los atacantes pueden cifrar los archivos y exigir un rescate a los afectados.

👁️ Qué vigilar

  • Vigilar la actividad de red en busca de tráfico SMB anormal.
  • Asegurarse de que los sistemas y aplicaciones estén patcheados con los últimos parches disponibles.
  • Realizar una copia de seguridad de los datos importantes y mantenerla actualizada.

🔗 Fuente: SANS ISC

Vulnerabilidad

🔍 Qué está pasando

  • Se están realizando escaneos de fuerza bruta contra instancias de CrushFTP.
  • Esto puede estar relacionado con la historia de vulnerabilidades de CrushFTP, incluyendo CVE-2024-4040 y CVE-2025-31161.
  • No se proporciona información sobre la causa específica de estos escaneos.

⚠️ Por qué importa

Estos escaneos de fuerza bruta pueden resultar en acceso no autorizado a las instancias de CrushFTP, lo que podría tener consecuencias graves para la seguridad de los datos y la confianza de los usuarios. Las organizaciones que utilicen CrushFTP deben estar atentas a estos escaneos y tomar medidas para proteger sus instancias.

⚙️ Cómo funciona

Los escaneos de fuerza bruta implican el uso de herramientas para intentar adivinar contraseñas de acceso a las instancias de CrushFTP. Si la contraseña es débil o ha sido comprometida, es posible que los atacantes puedan acceder a la instancia y realizar acciones maliciosas.

👁️ Qué vigilar

  • Vigile los logs de acceso a CrushFTP para detectar intentos de escaneo de fuerza bruta.
  • Asegúrese de que las contraseñas de acceso a CrushFTP sean fuertes y únicas.
  • Considere implementar medidas de autenticación adicionales, como dos factor de autenticación.

🔗 Fuente: SANS ISC

ThreatIntel

🔍 Qué está pasando

  • Se reportan ataques de phishing y spoofing contra usuarios de correos electrónicos, utilizando direcciones de correo electrónico falsas que parecen provenir de empresas de crédito y bancos.
  • Los ataques incluyen enlaces maliciosos y archivos adjuntos que contienen malware.
  • Se desconoce el CVE ID específico asociado a estos ataques.

⚠️ Por qué importa

Estos ataques pueden tener un impacto significativo en las organizaciones y usuarios afectados, ya que pueden llevar a la pérdida de información confidencial y acceso no autorizado a sistemas y redes. Además, la credibilidad de las empresas de crédito y bancos puede verse dañada si se asocian con estos ataques.

⚙️ Cómo funciona

Los ataques se llevan a cabo mediante correos electrónicos que parecen provenir de fuentes legítimas, pero en realidad son enviados por atacantes maliciosos. Los correos electrónicos contienen enlaces maliciosos o archivos adjuntos que, cuando se abren, pueden instalar malware en el dispositivo del usuario. El malware puede ser diseñado para robar información confidencial, como contraseñas y números de tarjeta de crédito.

👁️ Qué vigilar

  • Vigilar correos electrónicos sospechosos que parezcan provenir de empresas de crédito y bancos.
  • No abrir enlaces maliciosos ni archivos adjuntos de fuentes desconocidas.
  • Actualizar software y aplicaciones de correo electrónico para asegurarse de que estén protegidos contra los últimos ataques de malware.

🔗 Fuente: SANS ISC

Vulnerabilidad

🔍 Qué está pasando

  • La Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos (CISA) ha agregado una vulnerabilidad en VMware Aria Operations a su catálogo de vulnerabilidades conocidas explotadas (CVE-2026-22719).
  • Esto se debe a que la vulnerabilidad ha sido identificada como explotada en ataques.

⚠️ Por qué importa

La vulnerabilidad en VMware Aria Operations puede permitir a un atacante ejecutar código arbitrario en el servidor, lo que podría llevar a la exfiltración de datos confidenciales, la instalación de malware o la toma del control del sistema. Esto puede tener graves consecuencias para las organizaciones que utilizan VMware Aria Operations, especialmente aquellas que manejan información confidencial.

⚙️ Cómo funciona

La vulnerabilidad se debe a una falta de validación de entradas en el componente afectado de VMware Aria Operations. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud maliciosa al servidor, lo que permitiría ejecutar código arbitrario en el sistema.

👁️ Qué vigilar

  • Revisa si tu sistema está actualizado con el último parche disponible.
  • Monitorea el tráfico de red para detectar actividades sospechosas relacionadas con la vulnerabilidad CVE-2026-22719.
  • Aplica las recomendaciones de seguridad de VMware para mitigar el riesgo de esta vulnerabilidad.

🔗 Fuente: BleepingComputer

Privacidad

🔍 Qué está pasando

  • Hackers han comprometido la red de una de las instalaciones de EEUU de la empresa multinacional holandesa AkzoNobel.
  • La empresa ha confirmado el incidente a BleepingComputer.
  • No se ha proporcionado información sobre el tipo de ataque o la fecha del incidente.

⚠️ Por qué importa

El ataque a AkzoNobel puede tener un impacto significativo en la empresa y sus clientes. La empresa puede verse obligada a realizar un cierre de sitio para investigar y mitigar el ataque, lo que puede afectar la disponibilidad de sus productos y servicios. Además, el ataque puede comprometer la información de los clientes de la empresa, lo que puede tener consecuencias para la privacidad y la confianza de los usuarios.

⚙️ Cómo funciona

La empresa no ha proporcionado detalles sobre el tipo de ataque o la vulnerabilidad que se aprovechó para acceder a su red. Sin embargo, es posible que el ataque haya sido realizado utilizando técnicas de phishing, ransomware o un ataque de inyección de código malicioso. Es importante que las empresas tomen medidas para proteger sus redes y sistemas de información contra estos tipos de ataques.

👁️ Qué vigilar

  • Parche: No se ha proporcionado información sobre un parche disponible para este ataque.
  • IOCs: No se han proporcionado IOCs (Indicadores de Actividad Maliciosa) para este ataque.
  • Recomendaciones: Las empresas deben tomar medidas para proteger sus redes y sistemas de información contra ataques de ciberseguridad, incluyendo la implementación de medidas de seguridad como la autenticación multifactor, la actualización de software y la capacitación de los empleados en seguridad cibernética.

🔗 Fuente: BleepingComputer

Ciberseguridad

🔍 Qué está pasando

  • Facebook experimenta una falla global en sus servicios, impidiendo a los usuarios acceder a sus cuentas.
  • La causa de la falla no ha sido revelada oficialmente.
  • La empresa ha informado que las cuentas están "inaccesibles".

⚠️ Por qué importa

La falla en Facebook puede tener un impacto significativo en las organizaciones y usuarios que dependen de la plataforma para sus comunicaciones y operaciones diarias. La inestabilidad de la plataforma puede afectar a los negocios que utilizan Facebook para promocionarse, así como a los usuarios que dependen de la plataforma para mantenerse en contacto con amigos y familiares.

⚙️ Cómo funciona

Es probable que la falla en Facebook se deba a un problema en su infraestructura de servidores o en la configuración de su sistema de autenticación. Esto podría haber sido causado por un error humano, un problema de software o una falla en la infraestructura de la empresa. Sin embargo, no hay suficiente información disponible para determinar la causa exacta de la falla.

👁️ Qué vigilar

  • IOC: No hay IOCs disponibles en este momento.
  • Parches: No hay parches disponibles para esta falla.
  • Recomendaciones: Los usuarios deben esperar a que la falla sea resuelta por Facebook antes de intentar acceder a sus cuentas. Las organizaciones que dependen de Facebook deben tener un plan de contingencia en lugar de depender de la plataforma para sus comunicaciones y operaciones diarias.

🔗 Fuente: BleepingComputer

Cibercrimen

🔍 Qué está pasando

  • Cibercriminales están abusando del mecanismo de redirección OAuth legítimo para evitar protecciones de phishing en correos electrónicos y navegadores.
  • Los usuarios son llevados a páginas maliciosas a través de direcciones URL legítimas.
  • No hay CVE ID asociado a este ataque.

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a los cibercriminales engañar a los usuarios y llevarlos a sitios maliciosos, donde pueden descargar malware o realizar otras actividades maliciosas. Las organizaciones deben estar atentas a esta amenaza y tomar medidas para proteger a sus empleados y clientes.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando el mecanismo de redirección OAuth es manipulado para llevar a los usuarios a sitios maliciosos. Los cibercriminales pueden explotar esta vulnerabilidad creando direcciones URL legítimas que, cuando son visitadas, redirigen al usuario a una página maliciosa. Esto puede ocurrir a través de correos electrónicos o navegadores, evitando las protecciones de phishing.

👁️ Qué vigilar

  • IOC: Direcciones URL legítimas que redirigen a sitios maliciosos.
  • Parches: Microsoft debe emitir parches para mitigar esta vulnerabilidad.
  • Recomendaciones: Las organizaciones deben educar a sus empleados sobre la importancia de verificar la autenticidad de las direcciones URL antes de visitarlas, y utilizar herramientas de protección contra phishing para evitar este tipo de ataques.

🔗 Fuente: BleepingComputer

Ciberseguridad

🔍 Qué está pasando

  • Google Chrome cambiará su ciclo de lanzamiento de 4 semanas a 2 semanas.
  • Esto permitirá un rollout más frecuente de nuevas características, correcciones de errores y mejoras de rendimiento.
  • El objetivo es aumentar la estabilidad del navegador.

⚠️ Por qué importa

La frecuencia de lanzamientos más alta puede reducir el tiempo de exposición a vulnerabilidades y mejorará la experiencia del usuario. Sin embargo, también puede aumentar la complejidad para los desarrolladores de extensiones y plugins, ya que tendrán que adaptarse a un ciclo de lanzamiento más rápido.

⚙️ Cómo funciona

El cambio de ciclo de lanzamiento se debe a la necesidad de Google de mejorar la estabilidad y la experiencia del usuario. Al lanzar actualizaciones más frecuentemente, el equipo de Google puede identificar y corregir errores más rápidamente, lo que reducirá la posibilidad de que los usuarios encuentren problemas en el navegador.

👁️ Qué vigilar

  • Actualizaciones frecuentes: mantente al tanto de las últimas versiones de Google Chrome.
  • Compatibilidad de extensiones: asegúrate de que tus extensiones y plugins sean compatibles con la nueva versión.
  • Mantenimiento de seguridad: sigue las mejores prácticas de seguridad para evitar ataques a través de vulnerabilidades en el navegador.

🔗 Fuente: BleepingComputer

ThreatIntel

🔍 Qué está pasando

  • Irán está comprometiendo cámaras IP en la región del Medio Oriente, posiblemente para apoyar operaciones militares.
  • El ataque se relaciona con el conflicto entre Israel e Irán en junio de 2025.
  • El objetivo es apoyar la evaluación de daños en el teatro de operaciones (BDA).

⚠️ Por qué importa

El compromiso de cámaras IP puede tener graves consecuencias para la seguridad y la estabilidad en la región. Las organizaciones y usuarios pueden verse afectados por la exposición de información sensible, lo que puede utilizarse para apoyar ataques físicos o operaciones militares. Esto resalta la importancia de proteger las redes y sistemas críticos contra amenazas cibernéticas.

⚙️ Cómo funciona

El ataque parece estar relacionado con la puesta en marcha de malware en cámaras IP, posiblemente a través de vulnerabilidades no patcheadas o explotando credenciales débiles. Una vez comprometida la cámara, los atacantes pueden acceder a la información visual y utilizarla para apoyar la evaluación de daños en el teatro de operaciones.

👁️ Qué vigilar

  • IOC: malware específico utilizado en el ataque.
  • Parches: asegurarse de que las cámaras IP estén actualizadas con los últimos parches de seguridad.
  • Recomendaciones: implementar medidas de seguridad robustas, como autenticación multifactor y monitoreo de redes para detectar posibles amenazas cibernéticas.

🔗 Fuente: Check Point Research

ThreatIntel

🔍 Qué está pasando

  • Un grupo de amenazas conocido como Silver Dragon, alineado con China, está realizando ataques sofisticados a organizaciones en Asia del Sureste y Europa.
  • El grupo tiene una conexión operativa con las campañas anteriores del APT41.
  • Los objetivos del grupo incluyen organizaciones gubernamentales.

⚠️ Por qué importa

La actividad de Silver Dragon plantea un riesgo significativo para las organizaciones en Asia del Sureste y Europa, especialmente aquellas que operan en el sector gubernamental. La sofisticación de los ataques sugiere que el grupo está bien financiado y que tiene acceso a recursos y habilidades avanzadas. Esto puede comprometer la seguridad de la información y crear un riesgo de robo de datos, interrupción de operaciones y daño a la reputación.

⚙️ Cómo funciona

Los ataques de Silver Dragon involucran la utilización de exploits de cero día y malware avanzado para acceder a sistemas y redes objetivo. El grupo también utiliza tácticas de engaño, como phishing y spam, para infectar dispositivos y establecer una presencia persistente en los sistemas. Una vez que el grupo ha accedido a un sistema, puede moverse lateralmente para recopilar información confidencial y comprometer la seguridad de la red.

👁️ Qué vigilar

  • Buscar actividad sospechosa relacionada con exploits de cero día y malware avanzado.
  • Aplicar parches de seguridad disponibles para mitigar la vulnerabilidad.
  • Revisar y actualizar las políticas de seguridad de red y de dispositivos para prevenir la infección por malware y la propagación de cero día.

🔗 Fuente: Check Point Research

Vulnerabilidad

🔍 Qué está pasando

  • Se ha descubierto un kit de explotación iOS llamado "Coruna" que parece estar relacionado con la primera ataque "masivo" a iOS.
  • Los investigadores han rastreado el kit desde un proveedor de spyware hasta hackers rusos y luego hasta cyberculturales chinos.
  • Se cree que los exploits fueron desarrollados en EE. UU.

⚠️ Por qué importa

El ataque "masivo" a iOS podría tener un impacto significativo en la seguridad de los usuarios, especialmente si se trata de un ataque en gran escala. La posibilidad de que los exploits hayan sido desarrollados en EE. UU. también plantea preocupaciones sobre la seguridad de la inteligencia nacional y la protección de la información confidencial.

⚙️ Cómo funciona

El Coruna es un kit de explotación que utiliza exploits de cero día para infectar dispositivos iOS. Los exploits se utilizan para escapar de las medidas de seguridad de iOS y permitir la instalación de malware en el dispositivo. La investigación sugiere que el kit fue desarrollado utilizando un framework de explotación de cero día llamado "UrgentEcho", que es propio de EE. UU.

👁️ Qué vigilar

  • Buscar IOCs relacionados con el Coruna, como malware específico o comandos de shell.
  • Verificar si el dispositivo iOS está actualizado con el último parche de seguridad.
  • Ser cauteloso con aplicaciones y enlaces sospechosos, ya que pueden contener exploits o malware.

🔗 Fuente: CyberScoop

Vulnerabilidad

🔍 Qué está pasando

  • Los investigadores han descubierto una suite de vulnerabilidades en navegadores de inteligencia artificial (AI) como Comet.
  • Un simple invitación a un calendario puede ser utilizada para acceder al sistema de archivos local, navegar por directorios, abrir y leer archivos, y exfiltrar datos.
  • Las vulnerabilidades permiten el hijack de la funcionalidad del navegador AI.

⚠️ Por qué importa

Las vulnerabilidades descubiertas en los navegadores AI pueden tener un impacto significativo en la seguridad de las organizaciones y usuarios que utilizan estos navegadores. Permiten a atacantes acceder a información confidencial y realizar actividades maliciosas sin ser detectados. Esto puede llevar a la pérdida de datos, la exfiltración de información sensible y la compromiso de sistemas.

⚙️ Cómo funciona

Los navegadores AI como Comet tienen la capacidad de interactuar con el entorno del usuario de manera más profunda que los navegadores tradicionales. Las vulnerabilidades descubiertas se deben a la falta de validación adecuada de las solicitudes de usuario, lo que permite a un atacante enviar una solicitud maliciosa a través de un calendario de eventos, como una invitación a un evento. Esto puede ser utilizado para acceder a la información del usuario, leer y escribir archivos en el sistema de archivos local y realizar otras actividades maliciosas.

👁️ Qué vigilar

  • IOCs (Indicadores de Actividad Maliciosa): solicitudes de usuario maliciosas a través de calendarios de eventos.
  • Parches disponibles: los desarrolladores de los navegadores AI deben emitir parches urgentes para solucionar las vulnerabilidades descubiertas.
  • Recomendaciones concretas: los usuarios deben ser conscientes de las posibles amenazas y tomar medidas de seguridad adicionales, como utilizar navegadores tradicionales y mantener actualizados los parches de seguridad.

🔗 Fuente: CyberScoop

ThreatIntel

🔍 Qué está pasando

  • El Director de Informática (CIO) de la Agencia de Seguridad y Protección Cibernética de los Estados Unidos (CISA) Robert Costello ha dejado la agencia.
  • Su salida se produce después de una serie de problemas y enfrentamientos dentro de la agencia.
  • No se proporciona información sobre la causa específica de su salida.

⚠️ Por qué importa

La decisión de Costello de dejar la CISA puede tener impactos significativos en la agencia y la comunidad de ciberseguridad en general. La CISA juega un papel crucial en la respuesta a las amenazas cibernéticas y la protección de la infraestructura crítica de los Estados Unidos. La salida de su líder clave puede afectar la capacidad de la agencia para responder a las amenazas y proteger a los usuarios.

⚙️ Cómo funciona

La CISA es una agencia federal que se encarga de la ciberseguridad y la protección de la infraestructura crítica de los Estados Unidos. La agencia cuenta con un equipo de expertos en ciberseguridad que trabajan para identificar y mitigar las amenazas cibernéticas. El CIO de la CISA es responsable de liderar este esfuerzo y trabajar con otros departamentos y agencias para proteger a los usuarios.

👁️ Qué vigilar

  • La situación futura de la CISA y cómo se impacta su capacidad para responder a las amenazas cibernéticas.
  • Posibles cambios en la estructura o liderazgo de la agencia.
  • La respuesta de la comunidad de ciberseguridad a la salida de Costello.

Fuente: CyberScoop

🔗 Fuente: CyberScoop

Cibercrimen

🔍 Qué está pasando

  • Interpol colaboró con un cazarrecompensas para desmantelar una red de ciberdelincuencia africana.
  • Se arrestaron 574 sospechosos y se recuperaron más de $3 millones.
  • Se descodificaron seis variantes de malware.

⚠️ Por qué importa

Las actividades de la red de ciberdelincuencia africana comprometían la seguridad de usuarios y organizaciones en todo el mundo. El éxito de la operación de Interpol y el cazarrecompensas pone de relieve la importancia de la cooperación internacional en la lucha contra el cibercrimen. Además, el caso destaca la eficacia de la colaboración entre las fuerzas del orden y los expertos en ciberseguridad para combatir la delincuencia cibernética.

⚙️ Cómo funciona

La red de ciberdelincuencia africana utilizaba técnicas de phishing y ataques de ransomware para obtener acceso a sistemas y robar datos valiosos. Los criminales también utilizaban malware para enmascarar sus actividades y evitar ser detectados. El cazarrecompensas y su equipo analizaron los datos y las señales de alerta para seguir la pista a los sospechosos y desmantelar la red.

👁️ Qué vigilar

  • Se recomienda a los usuarios y organizaciones estar atentos a posibles ataques de phishing y ransomware.
  • Es importante mantener actualizados los sistemas y aplicaciones para evitar vulnerabilidades conocidas.
  • Los administradores de sistemas deben implementar medidas de seguridad robustas, como la autenticación multifactor y la monitorización de actividades anormales.

🔗 Fuente: Dark Reading

Privacidad

🔍 Qué está pasando

  • Los sensores de presión de los neumáticos en vehículos modernos están expulsando datos sensibles que pueden ser explotados por amenazas cibernéticas.
  • Estos sensores pueden estar comprometidos o robo de datos, permitiendo a los atacantes realizar seguimiento silencioso de los vehículos.
  • La vulnerabilidad se ha detectado en varios modelos de vehículos, aunque no se proporciona información específica sobre los modelos afectados.

⚠️ Por qué importa

La explotación de los sensores de presión de los neumáticos puede tener graves consecuencias para la privacidad y seguridad de los conductores. Los atacantes pueden utilizar esta información para rastrear el movimiento de los vehículos, lo que puede ser utilizado para allanar el terreno para crímenes más graves. Además, la vulnerabilidad puede ser explotada por grupos malintencionados para realizar actividades como el robo de identidad o el secuestro.

⚙️ Cómo funciona

Los sensores de presión de los neumáticos en vehículos modernos suelen ser conectados a la red inalámbrica del vehículo y transmiten datos en tiempo real a la pantalla de instrumentos del conductor. Sin embargo, estos sensores pueden estar configurados de manera que permitan la transmisión de datos a un servidor remoto, lo que puede ser utilizado por los atacantes para realizar seguimiento silencioso de los vehículos.

👁️ Qué vigilar

  • IOCs: No se proporcionan IOCs en la noticia, pero se recomienda realizar un análisis de red y un escaneo de vulnerabilidades para detectar posibles sensores comprometidos.
  • Parches disponibles: No se proporciona información sobre parches disponibles, pero se recomienda contactar al fabricante del vehículo para obtener información sobre actualizaciones de seguridad.
  • Recomendaciones concretas: Se recomienda a los conductores verificar la configuración de los sensores de presión de los neumáticos y asegurarse de que estén configurados para no transmitir datos a un servidor remoto. Además, se recomienda a los fabricantes de vehículos implementar medidas de seguridad para proteger la transmisión de datos de los sensores de presión de los neumáticos.

🔗 Fuente: Dark Reading

Top comments (0)