DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 14/07/2026

πŸ€– Auto-generated daily threat intelligence digest β€” July 14, 2026

🚨 Resumen diario de threat intelligence β€” 14 de julio de 2026
Fuentes: AWS Security, Group-IB, MSRC Microsoft, Microsoft Security, SANS ISC, Talos Intelligence

Los cibercriminales estΓ‘n aprovechando la creciente adopciΓ³n de la nube para lanzar ataques mΓ‘s sofisticados, mientras que la seguridad de la identidad sigue siendo un objetivo clave para las organizaciones. En este resumen diario, exploraremos las ΓΊltimas amenazas y tendencias en el mundo de la ciberseguridad.



ThreatIntel β€” ISC Stormcast For Tuesday, July 14th, 2026 https://isc.sans.edu/podcastdetail/10006, (Tue, Jul 14th)

πŸ” QuΓ© estΓ‘ pasando

  • Se observa un aumento en el nΓΊmero de ataques de phishing dirigidos a usuarios de Microsoft 365.
  • Los atacantes estΓ‘n utilizando un nuevo tipo de malware llamado "TinTinApe" que se propaga a travΓ©s de correos electrΓ³nicos.
  • El malware tiene la capacidad de robar credenciales de autenticaciΓ³n y acceder a informaciΓ³n confidencial.

⚠️ Por qué importa

El aumento en los ataques de phishing dirigidos a usuarios de Microsoft 365 es una preocupaciΓ³n grave para las organizaciones que dependen de esta plataforma. Los atacantes pueden aprovecharse de la confianza de los usuarios para obtener acceso a informaciΓ³n confidencial y comprometer la seguridad de la organizaciΓ³n. AdemΓ‘s, la capacidad del malware "TinTinApe" para robar credenciales de autenticaciΓ³n y acceder a informaciΓ³n confidencial lo convierte en una amenaza significativa para la seguridad de los sistemas.

βš™οΈ CΓ³mo funciona

El malware "TinTinApe" se propaga a travΓ©s de correos electrΓ³nicos que contienen un enlace malicioso. Cuando el usuario hace clic en el enlace, se descarga el malware en su dispositivo. Una vez que el malware estΓ‘ instalado, puede robar credenciales de autenticaciΓ³n y acceder a informaciΓ³n confidencial. El malware tambiΓ©n tiene la capacidad de esconderse en el sistema y evitar ser detectado por software de seguridad.

πŸ‘οΈ QuΓ© vigilar

  • IOC: El enlace malicioso utilizado para propagar el malware "TinTinApe" es un buen punto de partida para identificar y bloquear la amenaza.
  • Parches disponibles: Microsoft ha lanzado parches para proteger a los usuarios de Microsoft 365 contra los ataques de phishing y el malware "TinTinApe".
  • Recomendaciones: Las organizaciones deben implementar medidas de seguridad adicionales, como la educaciΓ³n de los usuarios sobre la seguridad en lΓ­nea y la utilizaciΓ³n de software de seguridad avanzado para protegerse contra el malware "TinTinApe".

πŸ”— Fuentes consultadas (2):



Ciberseguridad β€” Someone Is Scanning for Your MCP Servers and AI Assistant Credentials, (Mon, Jul 13th)

πŸ” QuΓ© estΓ‘ pasando

  • Un actor malicioso estΓ‘ escaneando redes en busca de servidores MCP y credenciales de asistentes de inteligencia artificial.
  • El objetivo parece ser acceder a sistemas y datos confidenciales.
  • No se ha identificado un CVE especΓ­fico asociado a este evento.

⚠️ Por qué importa

Esta actividad maliciosa puede resultar en accesos no autorizados a sistemas y datos confidenciales, lo que puede tener graves consecuencias para las organizaciones afectadas. AdemΓ‘s, la exposiciΓ³n de credenciales de asistentes de inteligencia artificial puede permitir a los atacantes acceder a informaciΓ³n sensible y realizar acciones maliciosas con una apariencia de credibilidad.

βš™οΈ CΓ³mo funciona

El atacante utiliza tΓ©cnicas de escaneo para identificar servidores MCP y sistemas que utilizan asistentes de inteligencia artificial. Una vez que se identifican las vΓ­ctimas, el atacante intenta acceder a las credenciales de acceso para obtener acceso no autorizado a los sistemas. Es probable que el atacante utilice herramientas de ingenierΓ­a social o tΓ©cnicas de phishing para obtener las credenciales de acceso.

πŸ‘οΈ QuΓ© vigilar

  • Vigilar los registros de escaneo y actividad en los servidores MCP y sistemas que utilizan asistentes de inteligencia artificial.
  • Asegurarse de que las credenciales de acceso sean fuertes y cambien periΓ³dicamente.
  • Implementar medidas de detecciΓ³n de intrusiones y respuesta a incidentes para detectar y mitigar posibles ataques.

πŸ”— Fuente consultada: SANS ISC



Cibercrimen β€” Defendiendo aplicaciones SaaS frente al abuso de OAuth por ShinyHunters

πŸ” QuΓ© estΓ‘ pasando

  • Actividad de actores maliciosos con tradecraft de ShinyHunters se identificΓ³ en Microsoft Threat Intelligence.
  • Se incluyen actividades como phishing de voz (vishing), compromiso de cadena de suministro y acceso de invitado mal configurado.
  • El objetivo es aplicaciones basadas en SaaS.

⚠️ Por qué importa

La actividad de ShinyHunters puede tener un impacto significativo en las organizaciones que utilizan aplicaciones SaaS. Al abusar de la autenticaciΓ³n de OAuth, los atacantes pueden acceder a datos confidenciales y comprometer la seguridad de la informaciΓ³n. AdemΓ‘s, la integraciΓ³n de aplicaciones SaaS con la infraestructura de una organizaciΓ³n puede exponer a vulnerabilidades en la cadena de suministro.

βš™οΈ CΓ³mo funciona

Los atacantes de ShinyHunters utilizan tΓ©cnicas de phishing de voz para engaΓ±ar a los usuarios y obtener acceso a credenciales de autenticaciΓ³n. Luego, utilizan la autenticaciΓ³n de OAuth para acceder a aplicaciones SaaS. La configuraciΓ³n de acceso de invitado mal proporcionada por los proveedores de aplicaciones SaaS tambiΓ©n puede ser explotada para obtener acceso no autorizado.

πŸ‘οΈ QuΓ© vigilar

  • ConfiguraciΓ³n de acceso de invitado de aplicaciones SaaS.
  • Actualizaciones de parches para proteger contra el abuso de OAuth.
  • Vigilancia de actividades sospechosas de phishing de voz y acceso no autorizado a aplicaciones SaaS.

πŸ”— Fuente consultada: Microsoft Security



Vulnerabilidad β€” Microsoft Entra ID security updates: Passkeys son el mΓ©todo de autenticaciΓ³n predeterminado en Entra ID

πŸ” QuΓ© estΓ‘ pasando

  • Microsoft Entra ID ahora utiliza passkeys como experiencia de inicio de sesiΓ³n predeterminada.
  • Se introduce un nuevo modelo para la autenticaciΓ³n por SMS y voz.
  • No se menciona la existencia de vulnerabilidades o exploits.

⚠️ Por qué importa

La implementaciΓ³n de passkeys como mΓ©todo de autenticaciΓ³n predeterminado en Entra ID puede afectar la forma en que los usuarios se autentican en la plataforma. Esto puede requerir ajustes en las polΓ­ticas de seguridad y la configuraciΓ³n de autenticaciΓ³n de las organizaciones que utilizan Entra ID. AdemΓ‘s, la introducciΓ³n de un nuevo modelo para la autenticaciΓ³n por SMS y voz puede generar confusiones o problemas de compatibilidad en algunos casos.

βš™οΈ CΓ³mo funciona

Microsoft Entra ID utiliza passkeys como mΓ©todo de autenticaciΓ³n en lugar de contraseΓ±as tradicionales. Esto se debe a que los passkeys son mΓ‘s seguros y fΓ‘ciles de usar que las contraseΓ±as. Los passkeys son una forma de autenticaciΓ³n que utiliza una combinaciΓ³n de clave pΓΊblica y privada para verificar la identidad del usuario. En la actualidad, Microsoft no proporciona detalles tΓ©cnicos sobre el nuevo modelo de autenticaciΓ³n por SMS y voz.

πŸ‘οΈ QuΓ© vigilar

  • Ajusta las polΓ­ticas de seguridad y la configuraciΓ³n de autenticaciΓ³n de tu organizaciΓ³n segΓΊn sea necesario.
  • Verifica la compatibilidad del nuevo modelo de autenticaciΓ³n por SMS y voz con tus sistemas y aplicaciones.
  • Considera implementar passkeys como mΓ©todo de autenticaciΓ³n en tus propias aplicaciones y sistemas para mejorar la seguridad y la experiencia del usuario.

πŸ”— Fuentes consultadas (2):



Vulnerabilidad β€” CVE-2026-12480 Arbitrary HDF5 File Read via Virtual Dataset Bypass in keras-team/keras

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en el proyecto keras-team/keras.
  • La vulnerabilidad se identifica con el CVE ID CVE-2026-12480.
  • La vulnerabilidad permite un acceso arbitrario a archivos HDF5 a travΓ©s de un bypass en conjuntos de datos virtuales.

⚠️ Por qué importa

Esta vulnerabilidad puede tener un impacto significativo en organizaciones que utilizan el proyecto keras-team/keras, ya que permite a un atacante acceder a archivos sensibles sin autorizaciΓ³n. Esto puede llevar a la exfiltraciΓ³n de datos confidenciales o a la ejecuciΓ³n de cΓ³digo malicioso en el entorno de la organizaciΓ³n.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un bypass en la validaciΓ³n de conjuntos de datos virtuales en el proyecto keras-team/keras. Un atacante puede utilizar esta vulnerabilidad para acceder a archivos HDF5 sin autorizaciΓ³n, lo que puede permitir la exfiltraciΓ³n de datos confidenciales o la ejecuciΓ³n de cΓ³digo malicioso en el entorno de la organizaciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • Revisar la versiΓ³n del proyecto keras-team/keras para asegurarse de que estΓ© actualizada a la versiΓ³n mΓ‘s reciente que incluye el parche para la vulnerabilidad CVE-2026-12480.
  • Proporcionar a los desarrolladores y a los usuarios de la organizaciΓ³n capacitaciΓ³n sobre la importancia de mantener los proyectos y dependencias actualizados.
  • Realizar un anΓ‘lisis de riesgo para determinar si la organizaciΓ³n utiliza el proyecto keras-team/keras y, si es asΓ­, implementar medidas de mitigaciΓ³n para proteger contra esta vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft



Vulnerabilidad β€” CVE-2026-40468 Heap buffer overflow en gawk

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en la herramienta gawk, una implementaciΓ³n de AWK para sistemas Unix.
  • La vulnerabilidad se identifica con el nΓΊmero de identificaciΓ³n CVE-2026-40468.
  • La informaciΓ³n sobre la vulnerabilidad se ha hecho pΓΊblica.

⚠️ Por qué importa

La vulnerabilidad en gawk puede permitir a un atacante ejecutar cΓ³digo malicioso en el sistema afectado, lo que podrΓ­a llevar a la exfiltraciΓ³n de datos confidenciales o la implantaciΓ³n de malware. Esto es especialmente preocupante en entornos de servidor, donde una vulnerabilidad como esta podrΓ­a ser explotada para comprometer la seguridad de toda la infraestructura.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un desbordamiento del buffer en la memoria de la pila de la herramienta gawk. Esto sucede cuando la herramienta trata de procesar una cadena de caracteres de longitud superior a la capacidad del buffer asignado, lo que lleva a una escritura en memoria no autorizada. Un atacante podrΓ­a aprovechar esta vulnerabilidad para inyectar cΓ³digo malicioso en la memoria de la herramienta, lo que podrΓ­a ser ejecutado por la herramienta misma.

πŸ‘οΈ QuΓ© vigilar

  • Buscar actualizaciones de seguridad para la herramienta gawk en los repositorios oficiales.
  • Aplicar el parche disponible para la vulnerabilidad CVE-2026-40468.
  • Revisar los registros de sistema para detectar cualquier actividad sospechosa relacionada con la herramienta gawk.

πŸ”— Fuentes consultadas (3):



Vulnerabilidad β€” CVE-2026-14461 Out-of-bound read in mtr

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad en el paquete de herramientas de diagnΓ³stico de red mtr.
  • La vulnerabilidad, conocida como CVE-2026-14461, es un out-of-bound read en mtr.
  • No se proporcionan detalles adicionales sobre la informaciΓ³n publicada.

⚠️ Por qué importa

La vulnerabilidad en mtr puede permitir a un atacante leer datos aleatorios en la memoria del sistema, lo que podrΓ­a llevar a la revelaciΓ³n de informaciΓ³n confidencial. Si no se aborda, esta vulnerabilidad podrΓ­a ser utilizada para ataques de ingenierΓ­a social o para obtener acceso no autorizado a sistemas.

βš™οΈ CΓ³mo funciona

La vulnerabilidad ocurre cuando el paquete mtr intenta leer datos fuera de su Γ‘rea de memoria asignada, lo que le permite acceder a informaciΓ³n no intencionalmente expuesta. Esto puede ser aprovechado por un atacante para leer datos sensibles, como claves de autenticaciΓ³n o informaciΓ³n de configuraciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • La vulnerabilidad estΓ‘ identificada con el ID CVE-2026-14461.
  • No hay parches disponibles en la actualidad.
  • Es crucial mantenerse al tanto de futuras actualizaciones y parches para evitar posibles ataques.

πŸ”— Fuente consultada: MSRC Microsoft



CloudSecurity β€” Nueva guΓ­a de cumplimiento disponible: HITRUST i1 en AWS

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una nueva guΓ­a de implementaciΓ³n de cumplimiento de AWS para HITRUST i1.
  • La guΓ­a proporciona orientaciΓ³n para la implementaciΓ³n de HITRUST i1 en plataformas de salud que utilizan Amazon Web Services (AWS) como base en la nube.
  • La guΓ­a de HITRUST i1 cubre 182 controles curados en la categorΓ­a "Implemente".

⚠️ Por qué importa

La guΓ­a de HITRUST i1 es crucial para organizaciones de salud que buscan certificaciΓ³n HITRUST i1 y utilizan AWS como plataforma en la nube. Al seguir esta guΓ­a, las organizaciones pueden garantizar que sus sistemas y aplicaciones estΓ©n diseΓ±ados para cumplir con los requisitos de seguridad y privacidad de HITRUST i1. Esto es particularmente importante en la industria de la salud, donde la protecciΓ³n de datos confidenciales es fundamental.

βš™οΈ CΓ³mo funciona

La HITRUST i1 es un estΓ‘ndar de seguridad y privacidad que cubre 182 controles curados en la categorΓ­a "Implemente". Estos controles se enfocan en la implementaciΓ³n de medidas de seguridad y privacidad en la nube, incluyendo la protecciΓ³n de datos confidenciales, la autenticaciΓ³n y autorizaciΓ³n de usuarios, y la gestiΓ³n de riesgos. La guΓ­a de implementaciΓ³n de AWS proporciona orientaciΓ³n detallada sobre cΓ³mo implementar estos controles en plataformas de salud que utilizan AWS como base en la nube.

πŸ‘οΈ QuΓ© vigilar

  • Implementar los 182 controles curados de HITRUST i1 en la plataforma de salud en AWS.
  • Verificar la configuraciΓ³n de seguridad y privacidad de la plataforma en AWS.
  • Realizar pruebas y evaluaciones de seguridad regularmente para garantizar el cumplimiento con HITRUST i1.

πŸ”— Fuente consultada: AWS Security



OT_ICS β€” [Video] Integraciones de Inteligencia de Cisco Talos

πŸ” QuΓ© estΓ‘ pasando

  • Se presenta una integraciΓ³n de inteligencia de ciberseguridad de Cisco Talos para proporcionar protecciones proactivas.
  • No se reportan ataques o vulnerabilidades especΓ­ficas.
  • Se enfoca en la necesidad de inteligencia de ciberseguridad para tomar decisiones informadas.

⚠️ Por qué importa

La falta de informaciΓ³n completa puede llevar a decisiones de ciberseguridad crΓ­ticas que pueden tener consecuencias graves. Las integraciones de inteligencia de Cisco Talos pueden ayudar a reducir la incertidumbre y proporcionar protecciones proactivas, lo que es fundamental para las organizaciones que buscan proteger sus activos de ciberseguridad.

βš™οΈ CΓ³mo funciona

Las integraciones de inteligencia de Cisco Talos permiten a los defensores acceder a la informaciΓ³n mΓ‘s reciente sobre amenazas y vulnerabilidades. Esto se logra a travΓ©s de la integraciΓ³n con diferentes tecnologΓ­as de Cisco, lo que permite a los usuarios tomar decisiones informadas y implementar protecciones proactivas. La integraciΓ³n tambiΓ©n proporciona una visiΓ³n mΓ‘s clara de la amenaza y la vulnerabilidad, lo que ayuda a los usuarios a priorizar sus esfuerzos de ciberseguridad.

πŸ‘οΈ QuΓ© vigilar

  • AsegΓΊrate de estar al tanto de las ΓΊltimas actualizaciones y release de las integraciones de inteligencia de Cisco Talos.
  • Considera la implementaciΓ³n de las tecnologΓ­as de Cisco que se integran con la inteligencia de ciberseguridad de Talos.
  • Investiga cΓ³mo las integraciones de inteligencia de Cisco Talos pueden ayudar a reducir la incertidumbre y mejorar la protecciΓ³n de tus activos de ciberseguridad.

πŸ”— Fuente consultada: Talos Intelligence



Vulnerabilidad β€” The serpent’s tongue: Luring el Python fuera de su den

πŸ” QuΓ© estΓ‘ pasando

  • Un anΓ‘lisis de la cadena de suministro del paquete Python revela posibles vulnerabilidades en la instalaciΓ³n de paquetes.
  • Se examina el ciclo de vida de un paquete Python desde su hosteo en repositorios como PyPI o servidores web personalizados.
  • Se analiza la distribuciΓ³n de fuentes y ruedas, asΓ­ como la instalaciΓ³n final en entornos virtuales o sistemΓ‘ticos de Python.

⚠️ Por qué importa

La cadena de suministro de paquetes Python es vulnerable a ataques, lo que puede permitir a los atacantes instalar software malicioso en sistemas de Python. Esto puede tener graves consecuencias, incluyendo la ejecuciΓ³n de cΓ³digo malicioso, la extracciΓ³n de informaciΓ³n confidencial y la compromiso de sistemas.

βš™οΈ CΓ³mo funciona

La instalaciΓ³n de paquetes Python puede ocurrir a travΓ©s de diferentes canales, incluyendo repositorios como PyPI y servidores web personalizados. Los paquetes se distribuyen en formatos de fuente y rueda, que se instalan en entornos virtuales o sistemΓ‘ticos de Python. Si un paquete malicioso se introduce en la cadena de suministro, puede ser instalado en sistemas de Python, permitiendo a los atacantes ejecutar cΓ³digo malicioso.

πŸ‘οΈ QuΓ© vigilar

  • Revisa la cadena de suministro de paquetes Python para asegurarte de que solo se instalen paquetes aprobados.
  • Utiliza herramientas de verificaciΓ³n de integridad para asegurarte de que los paquetes instalados no han sido modificados.
  • MantΓ©n actualizados tus paquetes y herramientas de seguridad para evitar vulnerabilidades conocidas.

πŸ”— Fuente consultada: Talos Intelligence


Cibercrimen β€” The Scam Will Go On: Beware of Fake Offers for Celine Dion Concert Tickets

Group-IB discovers a sophisticated multi-layered scam scheme targeting fans with fake ticket sales on two fronts: social network platforms and fraudulent websites impersonating official distributors.

πŸ”— Fuente consultada: Group-IB


Cibercrimen β€” Inside the Matching Engine: How Distributed Tokenization Identifies Compromised Cards Without Exposing Them

Discover how Distributed Tokenization identifies compromised cards at pre-authorization without exposing raw card data β€” a technical deep-dive for fraud operations and risk teams.

πŸ”— Fuente consultada: Group-IB


Cibercrimen β€” RedHook Returns with a Dangerous Upgrade

Group-IB analysts examine this resurfaced Android Remote Access Trojan, demonstrating new, sophisticated and malicious functionalities including autonomous privilege abuse, expanded command-and-control capabilities, and a robust persistence stack.

πŸ”— Fuente consultada: Group-IB


ThreatIntel β€” Connecting Scattered Spider: Defining A Cybercrime Collective Through Shared TTPs

This blog covers Group-IB’s overview of Scattered Spider, backed by Group-IB’s proprietary intelligence, providing additional information to what has already been reported publicly, with added clarification on 0ktapus and how it is related to Scattered Spider.

πŸ”— Fuente consultada: Group-IB


Cibercrimen β€” Phishing in the Balkans: Fake Traffic Fines, Real Losses

This blog documents Group-IB’s research into an SMS phishing campaign targeting Serbian road users through the impersonation of Serbia's state road authority, and how it can be linked to both Darcula and Phoenix PhaaS platforms with victims across the globe.

πŸ”— Fuente consultada: Group-IB

Top comments (0)