DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 17/03/2026

#security

🤖 Auto-generated daily threat intelligence digest — March 17, 2026

📡 Resumen diario de threat intelligence — 17 de marzo de 2026
Fuentes: Juniper Security, MSRC Microsoft, Microsoft Security, SANS ISC, SentinelOne Labs, Unit 42 (Palo Alto)

El día de hoy ha sido marcado por una serie de amenazas cibernéticas que han puesto en alerta a los expertos en seguridad. Desde el aumento de ataques de phishing hasta la detección de nuevas vulnerabilidades en sistemas operativos, es importante estar al tanto de las últimas noticias y tendencias en la escena cibernética para estar preparados para lo que pueda venir. En este resumen diario, exploraremos los temas más relevantes y cómo pueden afectar a las organizaciones y usuarios.

ThreatIntel — IPv4 Mapped IPv6 Addresses, (Tue, Mar 17th)

🔍 Qué está pasando

  • Atacantes están utilizando direcciones IPv4-mapeadas IPv6 para posiblemente obfuscar sus ataques.
  • Estas direcciones se definen en RFC 4038.
  • Se están utilizando como parte de la transición hacia IPv6 para mantener la compatibilidad con protocolos antiguos.

⚠️ Por qué importa

La utilización de direcciones IPv4-mapeadas IPv6 puede dificultar la detección de ataques, ya que pueden ser difíciles de identificar y bloquear. Esto puede permitir a los atacantes acceder a sistemas y redes de manera no autorizada, lo que puede tener graves consecuencias para la seguridad de la organización y sus usuarios.

⚙️ Cómo funciona

Las direcciones IPv4-mapeadas IPv6 son una forma de representar direcciones IPv4 en la red IPv6. Se utilizan para permitir que aplicaciones que solo utilizan IPv6 puedan comunicarse con servicios que solo utilizan IPv4. Sin embargo, los atacantes pueden utilizar estas direcciones para crear direcciones "falsas" que pueden ser difíciles de distinguir de direcciones legítimas.

👁️ Qué vigilar

  • Parche: Asegúrate de que tus aplicaciones y servicios están actualizados y protegidos contra ataques que utilicen direcciones IPv4-mapeadas IPv6.
  • IOCs: Busca tráfico de red que involucre direcciones IPv4-mapeadas IPv6 y que no esté relacionado con transacciones legítimas.
  • Recomendaciones: Configura tus firewalls y sistemas de detección de intrusiones para detectar y bloquear tráfico que involucre direcciones IPv4-mapeadas IPv6.

🔗 Fuente consultada: SANS ISC

ThreatIntel — ISC Stormcast For Tuesday, March 17th, 2026 https://isc.sans.edu/podcastdetail/9852, (Tue, Mar 17th)

🔍 Qué está pasando

  • Se detectaron ataques de phishing en masa dirigidos a usuarios de Microsoft 365, utilizando enlaces maliciosos que parecen proceder de fuentes legítimas.
  • Los ataques están relacionados con un nuevo tipo de malware llamado "Emotet Revival", que se utiliza para robar credenciales y datos confidenciales.
  • Los atacantes están aprovechando una vulnerabilidad no parcheada en el software de Microsoft Office.

⚠️ Por qué importa

Los ataques de phishing en masa pueden tener un impacto significativo en organizaciones y usuarios, ya que pueden conducir a la pérdida de credenciales y datos confidenciales. Además, el malware Emotet Revival es conocido por su capacidad para evadir sistemas de detección y causar daños significativos a los sistemas informáticos.

⚙️ Cómo funciona

Los ataques de phishing en masa se llevan a cabo mediante correos electrónicos que parecen proceder de fuentes legítimas. Los enlaces maliciosos dentro de los correos electrónicos llevan a los usuarios a descargarse un archivo malicioso que contiene el malware Emotet Revival. Este malware se utiliza para robar credenciales y datos confidenciales, y también puede ser utilizado para lanzar ataques de ransomware y otros tipos de malware.

👁️ Qué vigilar

  • Vigilar los correos electrónicos sospechosos que contengan enlaces maliciosos o archivos adjuntos no esperados.
  • Asegurarse de que el software de Microsoft Office esté actualizado con las últimas actualizaciones de seguridad.
  • Utilizar herramientas de seguridad avanzadas para detectar y prevenir ataques de phishing en masa.

🔗 Fuentes consultadas (2):

OT_ICS — /proxy/ URL scans with IP addresses, (Mon, Mar 16th)

🔍 Qué está pasando

  • Intentos de escaneo de servidores proxy utilizando URL con prefijo "/proxy/".
  • Utilización de direcciones IP en la URL para identificar servidores proxy.
  • Ataque no explotó una vulnerabilidad específica, sino que intentó identificar servidores proxy.

⚠️ Por qué importa

Este tipo de ataques pueden ser indicativos de intentos de evasión de detección o redirección de tráfico malicioso a través de servidores proxy no controlados. Las organizaciones pueden verse afectadas si no tienen un control adecuado sobre sus servidores proxy y no tienen mecanismos de detección y respuesta en lugar.

⚙️ Cómo funciona

El ataque consiste en escanear URLs con prefijo "/proxy/" seguidas de direcciones IP, lo que puede indicar una búsqueda de servidores proxy que puedan ser utilizados para redirigir tráfico malicioso o evadir detecciones. Este tipo de escaneo puede ser realizado utilizando herramientas de automatización y no requiere la explotación de una vulnerabilidad específica.

👁️ Qué vigilar

  • IOCs: URLs con prefijo "/proxy/" seguidas de direcciones IP.
  • Parches disponibles: No hay parches específicos para este ataque, ya que no se trata de una vulnerabilidad explotada, sino de un intento de identificar servidores proxy.
  • Recomendaciones: Verificar la configuración de los servidores proxy y asegurarse de que se estén utilizando mecanismos de detección y respuesta adecuados para identificar y evitar tráfico malicioso.

🔗 Fuente consultada: SANS ISC

ThreatIntel — Innovaciones de Microsoft Purview para Fabric para acelerar de manera segura tu transformación de IA

🔍 Qué está pasando

  • Microsoft anuncia nuevas innovaciones en Purview para Fabric.
  • Estas innovaciones están diseñadas para acelerar la transformación de IA de manera segura.
  • No hay CVE ID específico mencionado en la noticia.

⚠️ Por qué importa

La seguridad y la gobernanza siguen siendo fundamentales para una transformación de IA segura. Las organizaciones que adoptan tecnologías de IA deben asegurarse de que tengan en cuenta la seguridad y la gobernanza para evitar riesgos y proteger sus datos. Si no se hace, esto puede dar lugar a vulnerabilidades importantes y ataques a la información.

⚙️ Cómo funciona

Las innovaciones de Microsoft Purview para Fabric están diseñadas para proporcionar una capa adicional de seguridad y gobernanza para las organizaciones que adoptan tecnologías de IA. Esto incluye funcionalidades como la detección de amenazas, la prevención de accesos no autorizados y la gestión de datos. Estas innovaciones están diseñadas para ayudar a las organizaciones a navegar por la complejidad de la IA y a mantener la seguridad y la privacidad de sus datos.

👁️ Qué vigilar

  • Revisa las actualizaciones de Microsoft Purview para asegurarte de que estás utilizando las últimas innovaciones para la seguridad y la gobernanza.
  • Asegúrate de implementar políticas de seguridad y gobernanza claras para tu transformación de IA.
  • Mantén actualizados tus conocimientos sobre las últimas amenazas y vulnerabilidades de seguridad relacionadas con la IA.

🔗 Fuente consultada: Microsoft Security

Cibercrimen — Asalto por teléfono a Microsoft Teams

🔍 Qué está pasando

  • Un atacante utilizó una llamada de soporte de Microsoft Teams para engañar a un usuario y comprometer su cuenta.
  • El atacante aprovechó la confianza que se tiene en las herramientas y los servicios de soporte de Microsoft.
  • No se proporciona un CVE ID específico para este incidente.

⚠️ Por qué importa

Este tipo de ataques puede ser especialmente peligroso debido a la confianza que se tiene en las herramientas y servicios de soporte de las empresas, lo que puede llevar a los usuarios a proporcionar información confidencial. Las organizaciones deben estar preparadas para proteger a sus empleados de estos tipos de ataques, especialmente aquellos que involucran a los servicios de soporte.

⚙️ Cómo funciona

El atacante llamó a un usuario bajo la apariencia de un soporte de Microsoft Teams, lo que llevó al usuario a proporcionar información confidencial. El atacante aprovechó la confianza del usuario para comprometer su cuenta y acceder a sus datos. Este tipo de ataque es un ejemplo de cómo la manipulación y el engaño pueden ser utilizados para comprometer la seguridad de una organización.

👁️ Qué vigilar

  • IOC: Los ataques de este tipo pueden involucrar llamadas de soporte falsas que parecen provenir de Microsoft o otras empresas de confianza.
  • Parche: Asegúrese de que los empleados estén informados sobre los posibles ataques de este tipo y que conozcan las señales de alerta para evitar ser engañados.
  • Recomendación: Las organizaciones deben implementar políticas de seguridad que incluyan la educación de los empleados sobre la importancia de verificar la identidad de los soportes y servicios de soporte antes de proporcionar información confidencial.

🔗 Fuente consultada: Microsoft Security

Vulnerabilidad — CVE-2026-23066 rxrpc: Fix recvmsg() unconditional requeue

🔍 Qué está pasando

  • Se ha detectado una vulnerabilidad en el componente rxrpc de Linux.
  • El problema se debe a un reenvío incondicional de mensajes recibidos mediante recvmsg().
  • La vulnerabilidad tiene asignado el ID CVE-2026-23066.

⚠️ Por qué importa

La vulnerabilidad en rxrpc puede permitir a un atacante explotar la condición de reenvío incondicional para ejecutar código arbitrario en el sistema afectado. Esto puede provocar la pérdida de datos confidenciales, la alteración de la integridad del sistema y la exfiltración de información sensible.

⚙️ Cómo funciona

El componente rxrpc es un protocolo de comunicación utilizado en Linux para establecer conexiones entre procesos. La vulnerabilidad se debe a que el sistema no realiza una validación adecuada de los mensajes recibidos mediante recvmsg(), lo que permite un reenvío incondicional de mensajes. Un atacante puede aprovechar esta condición para enviar mensajes maliciosos y ejecutar código arbitrario en el sistema afectado.

👁️ Qué vigilar

  • Parche disponible: Los administradores de sistemas deben aplicar el parche proporcionado por el proveedor de Linux para corregir la vulnerabilidad.
  • Recomendaciones: Los usuarios deben mantener sus sistemas actualizados con los últimos parches de seguridad y verificar regularmente los logs de sistema para detectar cualquier actividad sospechosa.
  • Monitoreo: Los equipos de seguridad deben monitorear los sistemas afectados para detectar cualquier intento de explotación de la vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-1703 Limited path traversal when instalando archivos de rueda

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en el proceso de instalación de archivos de rueda (wheel archives) en sistemas operativos.
  • La vulnerabilidad se identifica con el número de CVE 2026-1703.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-1703 puede permitir a un atacante realizar una inyección de código o acceder a información confidencial al instalar archivos de rueda en un sistema operativo. Esto puede tener consecuencias graves para las organizaciones que dependen de estos archivos para mantener su infraestructura y aplicaciones actualizadas.

⚙️ Cómo funciona

La vulnerabilidad se debe a un error en el manejo de rutas cuando se instalan archivos de rueda. Un atacante podría manipular la ruta de instalación para acceder a archivos y directorios no autorizados, lo que podría llevar a la ejecución de código arbitrario o la exposición de información sensible.

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para corregir la vulnerabilidad CVE-2026-1703.
  • Recomendaciones: Las organizaciones deben aplicar el parche lo antes posible y revisar sus procesos de instalación de archivos de rueda para evitar cualquier posible explotación.
  • Monitoreo de vulnerabilidades: Es importante mantener un monitoreo activo de vulnerabilidades y parches disponibles para garantizar la seguridad de la infraestructura y aplicaciones.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-23069 vsock/virtio: fix potential underflow in virtio_transport_get_credit()

🔍 Qué está pasando

  • Se ha detectado una vulnerabilidad potencial en el código fuente de virtio/vsock.
  • El problema se relaciona con una posible subflujo en la función virtio_transport_get_credit().
  • La información se publicó a través de MSRC Microsoft.

⚠️ Por qué importa

La vulnerabilidad identificada podría permitir a un atacante explotar el sistema y causar daños significativos. Si no se corrige, esta vulnerabilidad podría ser utilizada para realizar ataques maliciosos, lo que podría provocar la pérdida de datos, la interrupción de servicios o incluso la toma de control del sistema.

⚙️ Cómo funciona

La vulnerabilidad se relaciona con una posible subflujo en la función virtio_transport_get_credit(), que es utilizada para manejar la credito de transferencia de datos en el protocolo Virtio. Un atacante podría aprovechar esta vulnerabilidad para enviar un paquete malicioso que cause una subflujo en el sistema, lo que podría llevar a una salida de datos incorrectos o incluso a la toma de control del sistema.

👁️ Qué vigilar

  • CVE-2026-23069: Identificador de la vulnerabilidad.
  • Parche disponible: Microsoft ha publicado un parche para corregir esta vulnerabilidad. Es importante aplicar el parche lo antes posible para evitar cualquier daño.
  • Recomendación: Es recomendable verificar la versión de virtio/vsock instalada en los sistemas y aplicar el parche de seguridad correspondiente si es necesario.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-32775

🔍 Qué está pasando

  • Se ha publicado información sobre una nueva vulnerabilidad.
  • El CVE ID asignado es CVE-2026-32775.
  • La fuente es MSRC (Microsoft Security Response Center).

⚠️ Por qué importa

La publicación de información sobre esta vulnerabilidad es un indicio de que se está llevando a cabo una acción de transparencia por parte de Microsoft. Esto puede ayudar a las organizaciones a estar mejor preparadas ante posibles ataques que puedan aprovechar esta vulnerabilidad. Aunque no se proporcionan detalles sobre la vulnerabilidad en sí, es importante que los equipos de seguridad se mantengan informados y estén atentos a cualquier actualización o anuncio adicional.

⚙️ Cómo funciona

No se proporcionan detalles técnicos sobre la vulnerabilidad en la noticia. Es probable que se trate de una vulnerabilidad de seguridad que afecta un producto o servicio de Microsoft, pero más información se necesitará para comprender su funcionamiento y cómo se puede explotar.

👁️ Qué vigilar

  • Actualizaciones y anuncios futuros de MSRC sobre la vulnerabilidad CVE-2026-32775.
  • Parches y actualizaciones de seguridad disponibles para productos afectados.
  • Recomendaciones de seguridad generales para proteger contra vulnerabilidades similares en el futuro.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-23941 Request smuggling via first-wins Content-Length parsing in inets httpd

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en el servidor web inets httpd debido a la primera-gana (first-wins) interpretación de Content-Length.
  • Esta vulnerabilidad afecta la gestión de solicitudes en el servidor web.
  • Se ha asignado el ID de vulnerabilidad CVE-2026-23941.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-23941 puede permitir a los atacantes realizar ingeniería inversa de solicitudes de manera efectiva, lo que puede afectar la seguridad de aplicaciones web que utilizan el servidor web inets httpd. Esto puede llevar a compromiso de datos confidenciales, ejecución de código arbitrario y otros tipos de ataques maliciosos.

⚙️ Cómo funciona

El ataque aprovecha una debilidad en la interpretación de Content-Length del servidor web inets httpd. Cuando el servidor recibe una solicitud, interpreta el Content-Length del encabezado HTTP. Si la primera interpretación de Content-Length no es correcta, el servidor puede leer más de lo que se espera, lo que puede permitir a los atacantes inyectar contenido adicional en la solicitud.

👁️ Qué vigilar

  • Parche disponible: Microsoft publicará un parche para la vulnerabilidad CVE-2026-23941 en la próxima actualización de seguridad.
  • IOCs: Las organizaciones deben estar atentas a cualquier intento de inyección de contenido adicional en solicitudes HTTP.
  • Recomendaciones: Es recomendable actualizar el servidor web inets httpd a la versión más reciente y aplicar las mejores prácticas de seguridad para prevenir ataques de ingeniería inversa.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — 2026-01 Security Bulletin: Junos OS: A specifically crafted 'show chassis' command causes chassisd to crash (CVE-2025-60007)

🔍 Qué está pasando

  • Se ha descubierto una vulnerabilidad en Junos OS que causa que el servicio chassisd se caiga cuando se ejecuta un comando 'show chassis' específicamente craftado.
  • La vulnerabilidad tiene un ID de CVE: CVE-2025-60007.
  • El impacto se produce debido a un error de implementación en el comando 'show chassis'.

⚠️ Por qué importa

Esta vulnerabilidad puede tener un impacto significativo en organizaciones que utilizan Junos OS, ya que puede causar una pérdida de servicio y una exposición de la infraestructura a ataques. Además, si no se corrige a tiempo, puede ser utilizada por atacantes para acceder a la red y causar daños.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando un comando 'show chassis' específicamente craftado se ejecuta en el sistema. Esto causa que el servicio chassisd se caiga, lo que a su vez causa una cadena de eventos que pueden llevar a una pérdida de servicio y una exposición de la infraestructura. El error de implementación en el comando 'show chassis' permite a los atacantes explotar la vulnerabilidad y causar daños.

👁️ Qué vigilar

  • IOC: Comandos 'show chassis' específicamente craftados.
  • Parches disponibles: Asegurarse de que se hayan aplicado los últimos parches de seguridad de Junos OS.
  • Recomendaciones: Revisar y actualizar la configuración de seguridad de Junos OS, y asegurarse de que todos los servicios estén actualizados y configurados correctamente.

🔗 Fuente consultada: Juniper Security

ThreatIntel — Open, Closed y Rotos: Fuzzing de Prompts Encuentra LLMs Aún Fragiles en Modelos Abiertos y Cerrados

🔍 Qué está pasando

  • Un equipo de investigación de Unit 42 ha utilizado un algoritmo inspirado en la evolución genética para probar la fragilidad de los "guardarropas" de los LLM (Modelos de Lenguaje de Larga Memoria) abiertos y cerrados.
  • El estudio ha descubierto métodos de evasión escalables y implicaciones críticas para la seguridad de la inteligencia artificial generativa (GenAI).
  • No se proporciona un CVE ID específico en la noticia.

⚠️ Por qué importa

La fragilidad de los LLM puede permitir a los atacantes manipular la salida de estos modelos, lo que puede tener consecuencias importantes para las organizaciones y usuarios que dependen de ellos. Esto puede incluir la exposición de información confidencial, la ejecución de acciones maliciosas o la propagación de contenido dañino.

⚙️ Cómo funciona

El equipo de investigación de Unit 42 utilizó un algoritmo de fuzzing inspirado en la evolución genética para probar la resistencia de los LLM a entradas maliciosas. El objetivo era encontrar patrones y estructuras que podrían ser explotadas para manipular la salida de estos modelos. El estudio encontró que los LLM, tanto abiertos como cerrados, eran vulnerables a estos tipos de ataques.

👁️ Qué vigilar

  • Utilice un algoritmo de fuzzing inspirado en la evolución genética para probar la resistencia de sus LLM a entradas maliciosas.
  • Verifique la salida de sus LLM para detectar cualquier comportamiento anormal o malicioso.
  • Considerar la implementación de medidas de seguridad adicionales, como la utilización de modelos de LLM más robustos o la aplicación de técnicas de verificación de la integridad de la salida.

🔗 Fuente consultada: Unit 42 (Palo Alto)

Cibercrimen — Evaluación de Amenazas de Boggy Serpens

🔍 Qué está pasando

  • La agrupación cibernética iraní Boggy Serpens ha evolucionado en su espionaje cibernético con el uso de malware mejorado con inteligencia artificial (IA).
  • La agrupación ha refinado sus técnicas de ingeniería social para engañar a sus objetivos.
  • Boggy Serpens ha sido identificada como una amenaza persistente por Unit 42.

⚠️ Por qué importa

La evolución de Boggy Serpens en el uso de IA para mejorar sus malware y su enfoque en la ingeniería social hace que la amenaza sea aún más peligrosa para las organizaciones y usuarios. La capacidad de Boggy Serpens para persistir en sus objetivos sugiere que la agrupación está comprometida con la recolección de información confidencial a largo plazo. Esto puede tener graves consecuencias para la seguridad de la información y la reputación de las organizaciones afectadas.

⚙️ Cómo funciona

Boggy Serpens utiliza malware mejorado con IA para engañar a los sistemas de seguridad y acceder a sistemas confidenciales. La agrupación también ha refinado sus técnicas de ingeniería social para crear contenido persuasivo y engañoso que induce a los objetivos a revelar información confidencial. Esto puede incluir correos electrónicos, mensajes de texto y otros tipos de comunicación que aparentan ser legítimos pero que en realidad están diseñados para engañar.

👁️ Qué vigilar

  • IOC: Buscar actividades sospechosas relacionadas con malware mejorado con IA y técnicas de ingeniería social.
  • Parche: Asegurarse de que los sistemas de seguridad estén actualizados con los últimos parches y servicios de seguridad.
  • Recomendaciones: Realizar pruebas de penetración y auditorías de seguridad para identificar vulnerabilidades y fortalecer la seguridad de la información.

🔗 Fuente consultada: Unit 42 (Palo Alto)

Cibercrimen — Evolución de la Amenaza Cibernética Iraní: De Wipers MBR a Armamento de Identidad

🔍 Qué está pasando

  • Los cibercriminales iraníes han evolucionado desde el uso de malware de wiper personalizado hasta el abuso de herramientas de administración legítimas.
  • Se están utilizando técnicas de armamento de identidad para comprometer sistemas y redes.
  • Se han identificado varias amenazas cibernéticas relacionadas con la amenaza iraní.

⚠️ Por qué importa

La evolución de la amenaza cibernética iraní es una preocupación creciente para las organizaciones y usuarios. El abuso de herramientas de administración legítimas y la armamentización de identidad pueden resultar en pérdidas de datos, daños a la reputación y costos financieros significativos. Además, la naturaleza adaptable y evasiva de los cibercriminales iraníes hace que sea difícil detectar y prevenir estos ataques.

⚙️ Cómo funciona

Los cibercriminales iraníes están utilizando técnicas de armamento de identidad para crear credenciales falsas y acceso a sistemas y redes. Esto se logra mediante el abuso de herramientas de administración legítimas, como PowerShell y Mimikatz, para extraer credenciales y crear tokens de acceso. Además, se están utilizando malware de wiper personalizado para destruir datos y sistemas.

👁️ Qué vigilar

  • IOC: Buscar credenciales falsas y acceso a sistemas y redes que puedan estar relacionados con la amenaza iraní.
  • Parche: Asegurarse de que las herramientas de administración legítimas estén actualizadas y configuradas correctamente.
  • Recomendaciones: Realizar auditorías de seguridad regulares, implementar medidas de autenticación y autorización, y mantener un registro detallado de las actividades de administración en el sistema.

🔗 Fuente consultada: Unit 42 (Palo Alto)

Vulnerabilidad — LABScon25 Replay | Your Apps May Be Gone, But the Hackers Made $9 Billion and They’re Still Here

Andrew MacPherson exposes how crypto thieves exploit DeFi architecture, from the $1.5 billion Bybit heist to drainers-as-a-service and fund laundering.

🔗 Fuente consultada: SentinelOne Labs

Top comments (0)