🛡️ Threat Intel Diario — 11/03/2026

🤖 Auto-generated daily threat intelligence digest — March 11, 2026

🚨 Alerta de Seguridad Cibernética — 11 de marzo de 2026
Fuentes: AWS Security, Juniper Security, Kaspersky Securelist, MSRC Microsoft, Palo Alto Networks PSIRT, SANS ISC, Unit 42 (Palo Alto)

El mundo de la ciberseguridad enfrenta nuevos desafíos con las últimas amenazas de ransomware, vulnerabilidades en la nube y un aumento en el crimen cibernético. En este resumen diario, exploramos las últimas noticias y descubrimientos en el campo de la threat intelligence.

---

---

Vulnerabilidad — Zombie Zip (CVE-2026-0866), (Wed, Mar 11th)

🔍 Qué está pasando

• Se ha publicado una nueva vulnerabilidad conocida como "Zombie Zip" (CVE-2026-0866).
• Esta vulnerabilidad afecta a archivos ZIP maliciosos que pueden ser utilizados para realizar ataques de inyección de código.
• El CVE ID asociado es CVE-2026-0866.

⚠️ Por qué importa

La vulnerabilidad "Zombie Zip" puede ser utilizada por atacantes para inyectar código malicioso en sistemas infectados, lo que puede provocar daños significativos a organizaciones y usuarios. Los archivos ZIP maliciosos pueden ser fácilmente distribuidos a través de correos electrónicos o descargados de sitios web comprometidos, lo que hace que esta vulnerabilidad sea especialmente peligrosa.

⚙️ Cómo funciona

La vulnerabilidad "Zombie Zip" se produce cuando un archivo ZIP malicioso es abierto en un entorno de sistema que no tiene la configuración de seguridad adecuada. El archivo ZIP puede contener código malicioso que se ejecuta en segundo plano, lo que permite a los atacantes acceder a la información confidencial del sistema y realizar otras acciones maliciosas. El ataque se produce porque el archivo ZIP explota una vulnerabilidad en la forma en que el sistema procesa los archivos ZIP.

👁️ Qué vigilar

• IOC: Archivos ZIP maliciosos con extensión .zip que contienen código malicioso.
• Parche disponible: No se ha publicado un parche oficial para esta vulnerabilidad, pero se recomienda actualizar el software de procesamiento de archivos ZIP a la versión más reciente.
• Recomendaciones: Verificar la integridad de los archivos ZIP antes de abrirlos, utilizar software de seguridad para escanear archivos ZIP y evitar abrir archivos ZIP de origen desconocido.

🔗 Fuente consultada: SANS ISC

---

---

ThreatIntel — ISC Stormcast For Wednesday, March 11th, 2026 https://isc.sans.edu/podcastdetail/9844, (Wed, Mar 11th)

🔍 Qué está pasando

• Se ha descubierto una campaña de ataques de phishing dirigida a organizaciones gubernamentales y de defensa de todo el mundo.
• Los ataques se están llevando a cabo a través de correos electrónicos que parecen proceder de fuentes legítimas, pero que en realidad contienen malware.
• La campaña está utilizando un nuevo tipo de malware que se ha denominado "Triton" y que tiene la capacidad de evadir sistemas de seguridad.

⚠️ Por qué importa

La campaña de ataques de phishing es un riesgo significativo para las organizaciones gubernamentales y de defensa, ya que puede permitir el acceso no autorizado a sistemas sensibles y la exfiltración de datos confidenciales. Además, el malware "Triton" es particularmente peligroso debido a su capacidad de evadir sistemas de seguridad y causar daños significativos a los sistemas informáticos.

⚙️ Cómo funciona

El ataque comienza con un correo electrónico que parece proceder de una fuente legítima, pero que en realidad contiene un archivo adjunto infectado con el malware "Triton". Cuando el usuario abre el archivo, el malware se ejecuta y comienza a evadir sistemas de seguridad, permitiendo al atacante acceder a sistemas sensibles y robar datos confidenciales.

👁️ Qué vigilar

• IOCs: Se recomienda vigilar por correos electrónicos que contengan archivos adjuntos infectados con malware.
• Parches disponibles: No se han anunciado parches específicos para este ataque, pero se recomienda mantener los sistemas de seguridad actualizados y utilizar software antivirus de última generación.
• Recomendaciones: Se recomienda a las organizaciones gubernamentales y de defensa que tengan en cuenta la posibilidad de ataques de phishing y que implementen medidas de seguridad adicionales, como la verificación de la autenticidad de los correos electrónicos y la utilización de herramientas de seguridad avanzadas.

🔗 Fuentes consultadas (2):

• SANS ISC
• SANS ISC

---

---

Vulnerabilidad — Microsoft Patch Tuesday March 2026, (Tue, Mar 10th)

🔍 Qué está pasando

• Se han lanzado actualizaciones de seguridad para Microsoft Windows y otros productos de Microsoft.
• Se abordan múltiples vulnerabilidades en componentes de Windows y otros productos de Microsoft.
• Se incluyen parches para mejorar la protección contra amenazas emergentes.

⚠️ Por qué importa

La actualización de Patch Tuesday de Microsoft es crucial para las organizaciones que utilizan Windows y productos de Microsoft, ya que aborda vulnerabilidades que podrían ser explotadas por atacantes malintencionados. Si no se aplican las actualizaciones, las organizaciones corren el riesgo de ser vulnerables a ataques de seguridad que podrían provocar daños significativos a sus sistemas y datos.

⚙️ Cómo funciona

Las vulnerabilidades abordadas en la actualización de Patch Tuesday de Microsoft pueden ser explotadas mediante ataques de inyección de código, ejecución de código arbitrario y acceso no autorizado a recursos de sistema. Las vulnerabilidades se encuentran en componentes de Windows, como el kernel, el sistema de archivos y el protocolo de comunicación, así como en otros productos de Microsoft, como Microsoft Office y Microsoft Exchange.

👁️ Qué vigilar

• Parches disponibles: Los parches se pueden descargar desde el Centro de Descargas de Microsoft.
• IOCs: Los investigadores de ciberseguridad deben estar atentos a la aparición de malware y técnicas de evasión de seguridad relacionadas con las vulnerabilidades abordadas en la actualización de Patch Tuesday.
• Recomendaciones: Las organizaciones deben aplicar las actualizaciones de seguridad lo antes posible y asegurarse de que todos los sistemas y aplicaciones estén actualizados para evitar vulnerabilidades.

🔗 Fuentes consultadas (4):

• SANS ISC
• Qualys
• Krebs on Security
• Security Affairs

---

---

Vulnerabilidad — CVE-2026-26017 CoreDNS ACL Bypass

🔍 Qué está pasando

• Se ha publicado una vulnerabilidad en CoreDNS que permite el bypass de ACL (Control de Acceso).
• La vulnerabilidad tiene el identificador CVE-2026-26017.
• Afecta a la configuración de ACL en CoreDNS.

⚠️ Por qué importa

La vulnerabilidad en CoreDNS puede permitir a atacantes acceder a recursos a los que no deberían tener acceso, lo que puede resultar en la exfiltración de datos confidenciales o la ejecución de código malicioso. Esto puede tener graves consecuencias para organizaciones que dependen de CoreDNS para la gestión de su tráfico DNS.

⚙️ Cómo funciona

La vulnerabilidad se debe a una falla en la implementación de ACL en CoreDNS. Al configurar ACL, los administradores pueden restringir el acceso a ciertos recursos o zonas en el nombre de dominio. Sin embargo, la vulnerabilidad permite a los atacantes bypassar estas restricciones, accediendo a recursos que no deberían tener acceso.

👁️ Qué vigilar

• IOC: La vulnerabilidad se identificó en CoreDNS versión 1.9.0 y posteriores.
• Parche disponible: Los administradores deben actualizar a la versión más reciente de CoreDNS para corregir la vulnerabilidad.
• Recomendación: Los administradores deben revisar la configuración de ACL en su implementación de CoreDNS y aplicar parches o actualizaciones de seguridad para garantizar la integridad de su infraestructura.

🔗 Fuente consultada: MSRC Microsoft

---

---

Vulnerabilidad — CVE-2026-26018 CoreDNS Loop Detection Denial of Service Vulnerability

🔍 Qué está pasando

• Fue publicada la vulnerabilidad CVE-2026-26018 en CoreDNS, un servidor de nombres DNS.
• La vulnerabilidad se trata de un ataque de denegación de servicio (DoS) causado por un loop de detección.

⚠️ Por qué importa

La vulnerabilidad puede causar un ataque de DoS en servidores CoreDNS, lo que puede provocar una pérdida de servicio y disrupción en la infraestructura de nombres DNS de las organizaciones. Esto puede tener un impacto significativo en la disponibilidad de aplicaciones y servicios que dependen de los servidores DNS.

⚙️ Cómo funciona

La vulnerabilidad se debe a un problema de detección de bucle en el servidor CoreDNS, que puede causar un ataque de DoS cuando un atacante envía un paquete de solicitud específico. El servidor CoreDNS puede entrar en un bucle infinito, lo que consume recursos y causa una denegación de servicio.

👁️ Qué vigilar

• CVE-2026-26018: el número de identificación de la vulnerabilidad.
• Parches disponibles: Microsoft recomienda aplicar los últimos parches de seguridad para CoreDNS para mitigar la vulnerabilidad.
• Recomendaciones: Las organizaciones deben vigilar sus servidores CoreDNS y aplicar los parches de seguridad lo antes posible para evitar un posible ataque de DoS.

🔗 Fuente consultada: MSRC Microsoft

---

---

Vulnerabilidad — CVE-2026-3731 libssh SFTP Extension Name sftp.c sftp_extensions_get_data out-of-bounds

🔍 Qué está pasando

• Se ha publicado una vulnerabilidad en la biblioteca libssh relacionada con la extensión SFTP.
• El problema se encuentra en el archivo sftp.c y específicamente en la función sftp_extensions_get_data.
• La vulnerabilidad se clasifica como out-of-bounds.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-3731 puede permitir a un atacante ejecutar código arbitrario en la máquina víctima, lo que puede provocar una compromiso total de la seguridad del sistema. Esto puede tener graves consecuencias para las organizaciones que utilizan libssh, ya que un ataque exitoso podría dar acceso no autorizado a datos confidenciales o permitir la ejecución de acciones maliciosas.

⚙️ Cómo funciona

La vulnerabilidad se debe a un error en la función sftp_extensions_get_data, que no realiza una validación adecuada de los límites de los datos recibidos. Esto permite a un atacante proporcionar un valor de entrada malicioso que puede causar un desbordamiento de búfer, lo que a su vez permite la ejecución de código arbitrario en la máquina víctima.

👁️ Qué vigilar

• CVE ID: CVE-2026-3731
• Parches disponibles: Aún no se han anunciado parches oficiales para esta vulnerabilidad.
• Recomendaciones: Las organizaciones que utilizan libssh deben estar atentas a cualquier noticia de actualización o parche relacionado con esta vulnerabilidad. Además, se recomienda realizar un análisis de vulnerabilidades en los sistemas afectados y aplicar medidas de mitigación para prevenir posibles ataques.

🔗 Fuente consultada: MSRC Microsoft

---

---

Vulnerabilidad — CVE-2025-69646

🔍 Qué está pasando

• Se identificó una vulnerabilidad de denegación de servicio en Binutils objdump.
• La vulnerabilidad se debe a un error lógico en el manejo del encabezado debug_rnglists.
• Un atacante local puede explotar la vulnerabilidad mediante un archivo de entrada malicioso.

⚠️ Por qué importa

La vulnerabilidad en Binutils objdump puede provocar un ataque de denegación de servicio, lo que lleva a un uso excesivo de CPU e I/O y previene la finalización de la analítica de objdump. Esto puede causar problemas para las organizaciones que dependen de la herramienta para analizar binarios.

La vulnerabilidad también puede ser utilizada por un atacante local para aprovecharse de la confianza de los usuarios y realizar acciones maliciosas en el sistema.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando el objeto de análisis contiene datos de debug_rnglists malformados. El objeto de análisis se procesa de manera incorrecta, lo que causa que objdump imprima mensajes de advertencia repetitivos y no termine hasta que el proceso es interrumpido.

👁️ Qué vigilar

• CVE-2025-69646: identificador de la vulnerabilidad.
• Binutils 2.44: versión afectada de la herramienta.
• Parches disponibles: se recomienda actualizar a versiones más recientes de Binutils para corregir la vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

---

---

Vulnerabilidad — CVE-2025-69652

GNU Binutils, una herramienta de herramientas de GNU, contiene una vulnerabilidad que causa un aborto (SIGABRT) al procesar un archivo binario ELF personalizado con información de depuración malformada. Debido a la limpieza incompleta del estado en el proceso de depuración, un estado de depuración inválido (debug_info_p) puede propagarse a las rutinas de interpretación de atributos de DWARF. Cuando ciertos atributos malformados dan lugar a una longitud de datos inesperada de cero, byte_get_little_endian() desencadena un aborto fatal.

🔍 Qué está pasando

• Se identificó una vulnerabilidad en GNU Binutils.
• La vulnerabilidad causa un aborto (SIGABRT) al procesar un archivo binario ELF malformado.
• El CVE ID asignado es CVE-2025-69652.

⚠️ Por qué importa

La vulnerabilidad afecta a la herramienta readelf de GNU Binutils, lo que podría permitir a atacantes causar un denegación de servicio (DoS) en sistemas que procesan archivos binarios ELF. Aunque no se observó evidencia de corrupción de memoria o ejecución de código, la vulnerabilidad puede ser utilizada para causar un aborto del proceso, lo que podría tener consecuencias significativas en sistemas críticos.

⚙️ Cómo funciona

La vulnerabilidad se produce debido a la falta de limpieza del estado en el proceso de depuración (process_debug_info()). Esto permite que un estado de depuración inválido (debug_info_p) se propague a las rutinas de interpretación de atributos de DWARF. Cuando se procesa un archivo binario ELF malformado, la función byte_get_little_endian() detecta una longitud de datos inesperada de cero, lo que desencadena un aborto fatal.

👁️ Qué vigilar

• CVE-2025-69652: La vulnerabilidad afecta a GNU Binutils hasta la versión 2.46.
• Parches disponibles: Aunque no se menciona explícitamente, es probable que los desarrolladores de GNU Binutils estén trabajando en un parche para corregir la vulnerabilidad.
• Recomendaciones: Es importante revisar la versión de GNU Binutils y aplicar cualquier parche disponible para evitar la vulnerabilidad. Además, es recomendable ser cauteloso al procesar archivos binarios ELF procedentes de fuentes desconocidas.

🔗 Fuente consultada: MSRC Microsoft

---

---

Vulnerabilidad — 2026-01 Security Bulletin: Junos OS: A specifically crafted 'show chassis' command causes chassisd to crash (CVE-2025-60007)

🔍 Qué está pasando

• Se ha identificado una vulnerabilidad en Junos OS que causa que el proceso chassisd se crashee cuando se ejecuta un comando 'show chassis' específicamente crafted.
• La vulnerabilidad se identificó con el número de identificación CVE-2025-60007.
• El ataque requiere una configuración específica y no se conoce una forma de explotarlo remotamente.

⚠️ Por qué importa

Esta vulnerabilidad puede tener un impacto significativo en organizaciones que utilizan Junos OS, ya que puede causar una caída del servicio y una pérdida de datos. Además, si la vulnerabilidad no se aborda a tiempo, puede ser explotada por atacantes malintencionados, lo que podría llevar a una pérdida de confianza en la infraestructura de la organización.

⚙️ Cómo funciona

La vulnerabilidad se debe a una falta de validación en el comando 'show chassis', que permite a un atacante ejecutar código malicioso en el proceso chassisd. Cuando el comando específicamente crafted se ejecuta, el proceso chassisd se crashea, lo que puede causar una caída del servicio y una pérdida de datos.

👁️ Qué vigilar

• Parche disponible: Juniper ha lanzado un parche para esta vulnerabilidad, que debe ser aplicado lo antes posible.
• IOCs: No hay IOCs conocidos para esta vulnerabilidad.
• Recomendaciones: Las organizaciones que utilizan Junos OS deben aplicar el parche disponible y realizar una auditoría de su configuración para asegurarse de que no haya otros problemas de seguridad.

🔗 Fuentes consultadas (2):

• Juniper Security
• Juniper Security

---

---

CloudSecurity — AWS European Sovereign Cloud alcanza el primer hito de cumplimiento: informes SOC 2 y C5 más siete certificaciones ISO

🔍 Qué está pasando

• La AWS European Sovereign Cloud ha alcanzado el primer hito de cumplimiento con la presentación de informes SOC 2 y C5.
• Además, ha obtenido siete certificaciones ISO.
• Esta nube soberana europea es independiente y física y lógicamente separada de otras regiones de AWS.

⚠️ Por qué importa

La obtención de estos certificados y informes es un paso importante para las organizaciones que buscan almacenar y procesar datos sensibles en la nube, ya que garantiza un nivel de seguridad y confidencialidad adecuados. Esto es especialmente relevante para las empresas que operan en la Unión Europea y necesitan cumplir con las regulaciones de privacidad y seguridad de datos locales.

⚙️ Cómo funciona

La AWS European Sovereign Cloud es una nube independiente que se encuentra en su totalidad dentro de la Unión Europea, lo que garantiza que los datos de los clientes sean almacenados y procesados en el continente. Esta nube cuenta con características y servicios completos, lo que la hace una opción atractiva para organizaciones que buscan una solución de nube soberana en Europa.

👁️ Qué vigilar

• Parche de seguridad: Ninguno específico mencionado en la noticia.
• Recomendación: Investigar cómo la AWS European Sovereign Cloud puede cumplir con las necesidades de seguridad y cumplimiento de tu organización.
• Vigilar: La evolución de la nube soberana europea y su implementación en la industria.

🔗 Fuente consultada: AWS Security

---

---

CloudSecurity — AWS destaca la importancia de la colaboración en ciberseguridad en RSAC 2026

🔍 Qué está pasando

• AWS regresa a la conferencia RSAC 2026 en San Francisco para compartir experiencias y mejores prácticas en ciberseguridad.
• La conferencia RSAC 2026 reúne a miles de profesionales, expertos y proveedores para discutir temas de ciberseguridad.
• AWS se enfoca en la importancia de la colaboración en la industria de la ciberseguridad.

⚠️ Por qué importa

La colaboración y el intercambio de conocimientos son fundamentales para mejorar la ciberseguridad en la nube y proteger la información de las organizaciones y usuarios. Al compartir experiencias y mejores prácticas, las empresas pueden aprender de los desafíos y éxitos de otros, lo que les permite tomar medidas más efectivas para proteger sus sistemas y datos.

⚙️ Cómo funciona

AWS enfatiza la importancia de una cultura de ciberseguridad en la que todos los miembros de la organización se unen para proteger la información y los sistemas. Esto implica no solo a los equipos de seguridad, sino también a los desarrolladores, los administradores y todos los empleados que tienen acceso a los sistemas y datos. La colaboración y el intercambio de conocimientos entre estos grupos son clave para identificar y mitigar amenazas de ciberseguridad.

👁️ Qué vigilar

• Asegúrate de involucrar a todos los empleados en la cultura de ciberseguridad de tu organización.
• Comparte experiencias y mejores prácticas con otros profesionales de la ciberseguridad.
• Mantente actualizado sobre las últimas amenazas y vulnerabilidades en la nube y toma medidas para mitigarlas.

🔗 Fuente consultada: AWS Security

---

---

ThreatIntel — AWS Security Hub is expandiendo para unificar operaciones de seguridad en entornos multicloud

🔍 Qué está pasando

• AWS Security Hub está ampliando sus capacidades para unificar la gestión de seguridad en entornos multicloud.
• Las organizaciones operan en entornos complejos que incluyen infraestructura en el lugar de trabajo, centros de datos privados y múltiples nubes.
• La expansión de AWS Security Hub busca simplificar la gestión de seguridad en estos entornos heterogéneos.

⚠️ Por qué importa

La expansión de AWS Security Hub es importante porque las organizaciones enfrentan desafíos crecientes para unificar la seguridad en sus entornos multicloud. La falta de integración entre herramientas de seguridad puede llevar a una mayor complejidad y un mayor riesgo de vulnerabilidades. Con AWS Security Hub, las organizaciones pueden unificar la visibilidad y la gestión de seguridad en un solo lugar, lo que ayuda a reducir el riesgo y mejorar la eficiencia de la seguridad.

⚙️ Cómo funciona

AWS Security Hub es un servicio de seguridad que proporciona una visión integral de la seguridad en los entornos de AWS. Con la expansión de AWS Security Hub, las organizaciones pueden unificar la gestión de seguridad en sus entornos multicloud, incluyendo infraestructura en el lugar de trabajo, centros de datos privados y múltiples nubes. El servicio utiliza inteligencia de seguridad en la nube para proporcionar análisis y recomendaciones de seguridad en tiempo real, lo que ayuda a las organizaciones a identificar y mitigar riesgos de seguridad.

👁️ Qué vigilar

• Revisa la compatibilidad de tus herramientas de seguridad con AWS Security Hub.
• Configura AWS Security Hub para unificar la visibilidad y la gestión de seguridad en tus entornos multicloud.
• Utiliza la inteligencia de seguridad en la nube de AWS Security Hub para identificar y mitigar riesgos de seguridad en tus entornos multicloud.

🔗 Fuente consultada: AWS Security

---

---

Vulnerabilidad — Auditing the Gatekeepers: Fuzzing "AI Judges" to Bypass Security Controls

🔍 Qué está pasando

• Los investigadores de Unit 42 han descubierto que los "AI Judges" son vulnerables a inyección de comandos de formato ocultos.
• La vulnerabilidad se puede explotar mediante símbolos de formato benignos que pueden bypassar controles de seguridad.
• La investigación se centra en la auditoría de los "AI Judges" para identificar vulnerabilidades.

⚠️ Por qué importa

La vulnerabilidad descubierta puede tener un impacto significativo en organizaciones que dependen de los "AI Judges" para su seguridad. Los atacantes pueden utilizar esta vulnerabilidad para inyectar comandos maliciosos en los sistemas, lo que puede llevar a la ejecución de código arbitrario con privilegios elevados. Esto puede resultar en la pérdida de datos confidenciales, la exfiltración de información sensible y la compromiso de la infraestructura.

⚙️ Cómo funciona

La vulnerabilidad se debe a que los "AI Judges" no validan adecuadamente los comandos de formato que se les presentan. Los atacantes pueden aprovechar esta debilidad para inyectar comandos maliciosos utilizando símbolos de formato benignos, como el símbolo de formato %s. Una vez inyectado el comando malicioso, el "AI Judge" lo ejecuta como si fuera un comando legítimo, lo que permite a los atacantes bypassar los controles de seguridad y acceder a información confidencial.

👁️ Qué vigilar

• IOC: comandos de formato benignos que se utilizan para inyectar comandos maliciosos.
• Parches disponibles: no hay parches oficiales disponibles en este momento, pero se recomienda a las organizaciones que dependen de los "AI Judges" que revisen su configuración y validen adecuadamente los comandos de formato que se les presentan.
• Recomendaciones: las organizaciones deben revisar su infraestructura y asegurarse de que los "AI Judges" estén configurados para validación de comandos de formato adecuada. Además, se recomienda utilizar mecanismos de autenticación y autorización adicionales para prevenir la ejecución de comandos maliciosos.

🔗 Fuente consultada: Unit 42 (Palo Alto)

---

---

Vulnerabilidad — CVE-2023-48795 Impact of Terrapin SSH Attack (Severity: MEDIUM)

🔍 Qué está pasando

• Se ha descubierto una vulnerabilidad en el protocolo SSH que permite a un atacante ejecutar código arbitrario en el servidor SSH.
• La vulnerabilidad afecta a varias plataformas, incluyendo Linux y otros sistemas operativos basados en Unix.
• El CVE-2023-48795 ha sido asignado a esta vulnerabilidad.

⚠️ Por qué importa

La vulnerabilidad CVE-2023-48795 puede permitir a un atacante tomar control completo del servidor SSH, lo que podría llevar a la exfiltración de datos confidenciales, la implantación de malware o la ejecución de acciones maliciosas. Las organizaciones que utilizan SSH para acceder a sus servidores o servicios pueden ser vulnerables a este ataque, lo que podría tener graves consecuencias para su reputación y seguridad.

⚙️ Cómo funciona

La vulnerabilidad se debe a una falta de validación de los parámetros de entrada en el protocolo SSH. Un atacante puede aprovechar esta vulnerabilidad enviando un paquete SSH con un campo de longitud inválida, lo que permite ejecutar código arbitrario en el servidor SSH. La vulnerabilidad se puede explotar mediante un ataque de ingeniería social, donde un atacante persuade a un usuario de ejecutar un comando malicioso.

👁️ Qué vigilar

• Parche disponible: Palo Alto Networks ha lanzado un parche para mitigar la vulnerabilidad CVE-2023-48795.
• IOCs: Los investigadores de ciberseguridad deben estar alerta a la actividad sospechosa en los servidores SSH, incluyendo la ejecución de comandos sospechosos o la transferencia de archivos maliciosos.
• Recomendaciones: Las organizaciones deben actualizar sus servidores SSH con el parche disponible y revisar sus configuraciones de seguridad para asegurarse de que estén protegidas contra este tipo de ataques.

🔗 Fuente consultada: Palo Alto Networks PSIRT

---

---

Cibercrimen — BeatBanker: Un troyano Android dual-modo

🔍 Qué está pasando

• Se identificó un nuevo troyano Android llamado BeatBanker que afecta a Brasil.
• BeatBanker se presenta como aplicaciones gubernamentales y del Google Play Store.
• El troyano tiene la capacidad de realizar minado de criptomonedas y robo de datos bancarios.

⚠️ Por qué importa

La aparición de BeatBanker es preocupante para las organizaciones y usuarios brasileños, ya que el troyano puede comprometer la seguridad de sus dispositivos móviles. Además, la capacidad de robo de datos bancarios puede llevar a pérdidas financieras significativas para las víctimas.

⚙️ Cómo funciona

BeatBanker se presenta como aplicaciones legítimas, imitando la apariencia de aplicaciones gubernamentales y del Google Play Store. Una vez instalado, el troyano puede realizar minado de criptomonedas y robo de datos bancarios, enviando la información robada a servidores controlados por los cibercriminales. La capacidad dual del troyano lo convierte en una herramienta efectiva para los atacantes.

👁️ Qué vigilar

• IOC: Buscar en los dispositivos móviles brasileños por aplicaciones sospechosas que se presenten como gubernamentales o del Google Play Store.
• Parches: Asegurarse de que los dispositivos móviles estén actualizados con los últimos parches de seguridad del sistema operativo y de las aplicaciones.
• Recomendaciones: Los usuarios deben ser cautelosos al instalar aplicaciones de terceros y verificar la autenticidad de las aplicaciones antes de instalarlas.

🔗 Fuente consultada: Kaspersky Securelist