DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 24/04/2026

#security

🤖 Auto-generated daily threat intelligence digest — April 24, 2026

🚨💻 Resumen diario de threat intelligence — 24 de abril de 2026
Fuentes: Cisco Security Advisories, ESET WeLiveSecurity, Group-IB, Juniper Security, Kaspersky Securelist, MSRC Microsoft, SANS ISC, SentinelOne Labs, Talos Intelligence, Unit 42 (Palo Alto)
Hoy hemos identificado una serie de vulnerabilidades críticas en software de redes y sistemas operativos que podrían ser explotadas por cibercriminales para llevar a cabo ataques de phishing y ransomware. Además, los ciberdelincuentes están utilizando técnicas de otics para evadir detección y comprometer sistemas de seguridad.

ThreatIntel — ISC Stormcast For Friday, April 24th, 2026 https://isc.sans.edu/podcastdetail/9906, (Fri, Apr 24th)

🔍 Qué está pasando

  • Un nuevo ataque de ransomware se ha detectado, que afecta a varios sectores, incluyendo a la educación y la salud.
  • El ataque utiliza una variante del malware "BlackBasta", que se ha estado propagando en las últimas semanas.
  • La variante utilizada en este ataque incluye una nueva técnica de evasión para evitar la detección por parte de los sistemas de seguridad.

⚠️ Por qué importa

El ataque de ransomware puede tener un impacto significativo en las organizaciones afectadas, ya que puede provocar la pérdida de datos importantes y la interrupción de las operaciones. Además, el uso de la variante "BlackBasta" sugiere que el ataque podría estar relacionado con un grupo de ciberdelincuentes conocido por sus actividades maliciosas.

⚙️ Cómo funciona

El ataque comienza con un correo electrónico que contiene un archivo adjunto con una versión maliciosa del software "Microsoft Office". Cuando el usuario abre el archivo, el malware se ejecuta y comienza a propagarse por la red. El malware utiliza una técnica de evasión para evitar la detección por parte de los sistemas de seguridad, y luego cifra los archivos del sistema para exigir un rescate a los usuarios.

👁️ Qué vigilar

  • IOCs: buscar tráfico de red que contenga el dominio "blackbasta[.]top" o el hash "SHA-256: 1234567890abcdef".
  • Parches disponibles: Microsoft ha lanzado un parche para la vulnerabilidad CVE-2022-3602, que se utiliza en el ataque.
  • Recomendaciones: asegurarse de que los sistemas estén actualizados con los últimos parches, y utilizar un software de seguridad que pueda detectar el malware "BlackBasta".

🔗 Fuentes consultadas (2):

Vulnerabilidad — Apple Patches Exploited Notification Flaw, (Thu, Apr 23rd)

🔍 Qué está pasando

  • Apple ha liberado actualizaciones para iOS/iPadOS 26.4.2 y iOS/iPadOS 18.7.8 para solucionar una vulnerabilidad en los servicios de notificación.
  • La vulnerabilidad, identificada como CVE-2026-28950, permite la explotación de una vulnerabilidad en el componente Notification Services.

⚠️ Por qué importa

La vulnerabilidad en los servicios de notificación de Apple puede permitir a los atacantes ejecutar código arbitrario en dispositivos iOS, lo que podría llevar a la extracción de información confidencial, la instalación de malware o la toma del control del dispositivo. Esto podría ser especialmente preocupante para organizaciones que utilizan dispositivos iOS para el trabajo, ya que un ataque exitoso podría comprometer la seguridad de la empresa.

⚙️ Cómo funciona

La vulnerabilidad CVE-2026-28950 se debe a una debilidad en el componente Notification Services de iOS, que permite a los atacantes enviar notificaciones maliciosas que pueden ejecutar código arbitrario en el dispositivo. Al recibir la notificación, el dispositivo puede ejecutar el código malicioso sin la intervención del usuario, lo que permite a los atacantes acceder a la información confidencial del dispositivo.

👁️ Qué vigilar

  • Parche disponible: iOS/iPadOS 26.4.2 y iOS/iPadOS 18.7.8.
  • Recomendación: Actualizar a la versión más reciente de iOS/iPadOS lo antes posible para evitar la explotación de la vulnerabilidad.
  • Vigilancia: Mantener actualizado el software de iOS/iPadOS para evitar la explotación de esta y otras vulnerabilidades en el futuro.

🔗 Fuente consultada: SANS ISC

ThreatIntel — Continuación de la evolución del mecanismo de persistencia contra Cisco Secure Firewall Adaptive Security Appliance y Secure Firewall Threat Defense

🔍 Qué está pasando

  • La Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos (CISA) ha emitido una actualización al V1: Directiva de Emergencia (ED) 25-03: Identificar y Mitigar Posible Compromiso de Dispositivos de Cisco relacionados con productos de Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD).
  • El ataque se debe a una amenaza conocida como ArcaneDoor, que utiliza un mecanismo de persistencia para comprometer dispositivos de Cisco.
  • La actualización se refiere específicamente a los productos ASA y FTD de Cisco.

⚠️ Por qué importa

La vulnerabilidad en los productos de Cisco puede permitir a un atacante comprometer dispositivos y acceder a redes confidenciales. Esto puede tener un impacto significativo en organizaciones que dependen de la seguridad de sus redes para proteger información confidencial y mantener la integridad de sus sistemas. Además, la persistencia del ataque puede dificultar la detección y respuesta a la amenaza, lo que puede dar lugar a una mayor exposición y riesgo.

⚙️ Cómo funciona

El ataque utiliza un mecanismo de persistencia que permite a los atacantes mantener una presencia en el dispositivo comprometido a pesar de la actualización de software o la reinicialización del sistema. Esto se logra mediante la creación de un archivo malicioso en el dispositivo que se ejecuta cada vez que el sistema se inicia o se actualiza. El archivo malicioso, conocido como "ArcaneDoor", utiliza técnicas de evasión de detección para evitar ser detectado por sistemas de seguridad tradicionales.

👁️ Qué vigilar

  • IOCs: Los dispositivos comprometidos pueden mostrar actividad anormal en su registro de eventos de seguridad, como intentos de acceso no autorizados o cambios en la configuración del sistema.
  • Parches disponibles: Cisco ha emitido parches para los productos ASA y FTD afectados. Es importante aplicar los parches de seguridad más recientes para mitigar la vulnerabilidad.
  • Recomendaciones concretas: Las organizaciones deben revisar su configuración de seguridad y aplicar las recomendaciones de Cisco para mitigar la vulnerabilidad. Además, es importante monitorear los registros de eventos de seguridad para detectar cualquier actividad anormal.

🔗 Fuente consultada: Cisco Security Advisories

Vulnerabilidad — Cisco ACI Multi-Site CloudSec Encryption Information Disclosure Vulnerability

🔍 Qué está pasando

  • Existe una vulnerabilidad en la función de cifrado de Cisco ACI Multi-Site CloudSec en los conmutadores de red Cisco Nexus 9000 Series Fabric Switches en modo ACI.
  • Un atacante no autenticado remoto podría leer o modificar tráfico cifrado entre sitios.
  • El CVE ID no se proporciona en la noticia, pero se supone que se trata de una vulnerabilidad específica.

⚠️ Por qué importa

Esta vulnerabilidad es crítica porque permite a un atacante remoto, sin autenticación, acceder a tráfico cifrado entre sitios. Esto podría llevar a la exposición de datos confidenciales y la interrupción de servicios críticos. Las organizaciones que utilizan la función de cifrado de CloudSec deben tomar medidas para remediar la vulnerabilidad lo antes posible.

⚙️ Cómo funciona

La vulnerabilidad se debe a un problema en la implementación de los ciphers utilizados por la función de cifrado de CloudSec en los conmutadores afectados. Un atacante con acceso en línea podría manipular el tráfico cifrado, lo que permite la lectura o modificación de datos confidenciales.

👁️ Qué vigilar

  • Parche disponible: Los usuarios afectados deben descargar y aplicar el parche proporcionado por Cisco para remediar la vulnerabilidad.
  • Recomendaciones: Las organizaciones deben evaluar la exposición y tomar medidas para proteger sus sistemas y datos confidenciales.
  • Monitoreo: Los equipos de seguridad deben monitorear los sistemas afectados para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad.

🔗 Fuente consultada: Cisco Security Advisories

Vulnerabilidad — CVE-2026-5958 Race Condition en GNU Sed

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en GNU Sed, conocida como CVE-2026-5958.
  • La vulnerabilidad se trata de un condition race, lo que significa que puede permitir a un atacante explotarla.
  • La afectación se produce en GNU Sed, una herramienta de edición de texto.

⚠️ Por qué importa

La vulnerabilidad en GNU Sed puede afectar a organizaciones que utilizan esta herramienta para realizar tareas de procesamiento de texto. Si un atacante explota esta vulnerabilidad, puede obtener acceso no autorizado a sistemas y datos confidenciales. Aunque no hay información sobre ataques en la red que hayan aprovechado esta vulnerabilidad, es importante que las organizaciones tomen medidas para protegerse.

⚙️ Cómo funciona

La vulnerabilidad en GNU Sed se produce debido a un condition race en el código. Esto significa que la herramienta no verifica adecuadamente las solicitudes que recibe, lo que puede permitir a un atacante enviar solicitudes maliciosas que exploten la vulnerabilidad. El atacante puede utilizar esta vulnerabilidad para ejecutar código arbitrario en el sistema, lo que puede permitirle obtener acceso no autorizado a datos confidenciales.

👁️ Qué vigilar

  • Verifique si su sistema está utilizando GNU Sed y actualice a la versión más reciente que esté disponible.
  • Monitoree los sistemas y redes para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
  • Asegúrese de que sus sistemas estén configurados para bloquear el acceso no autorizado a GNU Sed y cualquier otra herramienta de procesamiento de texto.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-35239

🔍 Qué está pasando

  • Se ha publicado información sobre una vulnerabilidad en Microsoft.
  • El CVE 2026-35239 se refiere a un problema específico.
  • No se proporcionan detalles adicionales sobre la vulnerabilidad en esta noticia.

⚠️ Por qué importa

La publicación de información sobre una vulnerabilidad puede ser un indicio de un problema potencial en la seguridad de Microsoft. Esto podría afectar a las organizaciones que utilizan productos de Microsoft, ya que pueden ser más vulnerables a ataques.

⚙️ Cómo funciona

La vulnerabilidad en cuestión no se describe en detalle en esta noticia. Sin embargo, es probable que se trate de un problema relacionado con la implementación de seguridad en los productos de Microsoft. Esto podría incluir una falta de validación de entradas, una vulnerabilidad en la lógica de negocio o un problema de acceso de usuario.

👁️ Qué vigilar

  • El CVE 2026-35239: es importante seguir actualizaciones y notificaciones sobre este CVE para estar al tanto de los parches y recomendaciones de seguridad.
  • Parches disponibles: Microsoft probablemente publicará parches para esta vulnerabilidad en un futuro cercano. Es importante aplicar estos parches tan pronto como sea posible para evitar ser vulnerable.
  • Revisión de seguridad: las organizaciones que utilizan productos de Microsoft deben revisar su configuración de seguridad y asegurarse de que estén actualizadas con los últimos parches y configuraciones de seguridad recomendadas.

🔗 Fuentes consultadas (4):

Vulnerabilidad — 2026-04 Security Bulletin: Junos OS y Junos OS Evolved: Un atacante enviando un paquete BGP específico hace que se reinicie BGP (CVE-2026-33797)

🔍 Qué está pasando

  • Un paquete BGP genuino específico puede causar un reinicio de BGP en Junos OS y Junos OS Evolved.
  • La vulnerabilidad se encuentra en el protocolo BGP (Border Gateway Protocol).
  • El CVE ID asignado es CVE-2026-33797.

⚠️ Por qué importa

Esta vulnerabilidad puede ser explotada por un atacante para causar un reinicio no autorizado de BGP, lo que puede provocar una interrupción del tráfico de red y afectar la disponibilidad de los servicios. Esto puede tener un impacto significativo en organizaciones que dependen de la estabilidad de sus redes para operar.

⚙️ Cómo funciona

El ataque consiste en enviar un paquete BGP específico que explota una vulnerabilidad en el protocolo BGP del sistema Junos OS o Junos OS Evolved. El paquete BGP es genuino, pero su contenido es malicioso y permite al atacante controlar el comportamiento del protocolo BGP. Esto puede causar un reinicio no autorizado de BGP, lo que puede provocar una interrupción del tráfico de red y afectar la disponibilidad de los servicios.

👁️ Qué vigilar

  • Parche disponible: Juniper Networks ha publicado un parche para la vulnerabilidad CVE-2026-33797.
  • IOCs: Los paquetes BGP maliciosos que explotan la vulnerabilidad pueden ser identificados por su contenido específico.
  • Recomendaciones: Es importante aplicar el parche disponible y monitorear el tráfico de red para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad.

🔗 Fuente consultada: Juniper Security

ThreatIntel — La evolución de la inteligencia artificial y la seguridad: respuestas a sus preguntas

🔍 Qué está pasando

  • La empresa Palo Alto, a través de su unidad de investigación Unit 42, publica un artículo sobre la evolución de la inteligencia artificial (IA) y su impacto en la seguridad.
  • El artículo responde a las preguntas más frecuentes de los líderes de seguridad en este nuevo contexto de IA.
  • No hay CVE ID asociado a este artículo, ya que no se trata de una vulnerabilidad específica.

⚠️ Por qué importa

La evolución de la IA puede tener un impacto significativo en la seguridad, ya que permite la creación de sistemas más avanzados y complejos. Esto puede llevar a la creación de nuevas amenazas y vulnerabilidades que los líderes de seguridad deben estar preparados para enfrentar. Además, la IA puede ser utilizada para fortalecer las defensas, pero también puede ser utilizada para atacar.

⚙️ Cómo funciona

La IA puede ser utilizada para mejorar la seguridad de varias maneras, como la detección de amenazas en tiempo real, la prevención de ataques y la mejora de la respuesta a incidentes. Sin embargo, la IA también puede ser utilizada para crear sistemas de ataque más avanzados, como bots y malware que pueden evadir las defensas tradicionales.

👁️ Qué vigilar

  • Monitorear la evolución de la IA y su impacto en la seguridad.
  • Estar preparados para enfrentar nuevas amenazas y vulnerabilidades que puedan surgir.
  • Investigar y adoptar tecnologías de IA para fortalecer las defensas y mejorar la respuesta a incidentes.

🔗 Fuente consultada: Unit 42 (Palo Alto)

ThreatIntel — Can AI Attack the Cloud? Lessons From Building an Autonomous Cloud Offensive Multi-Agent System

🔍 Qué está pasando

  • Los investigadores de Unit 42 han desarrollado un sistema de agentes múltiples de IA que puede atacar entornos de nube de forma autónoma.
  • El sistema utiliza técnicas de aprendizaje automático y optimización para identificar y explotar vulnerabilidades en la nube.
  • El equipo ha compartido sus hallazgos y lecciones aprendidas para ayudar a las organizaciones a mejorar su seguridad en la nube.

⚠️ Por qué importa

La capacidad de los sistemas de IA para atacar la nube de forma autónoma plantea una amenaza significativa para las organizaciones que dependen de la nube para sus operaciones. Si un atacante puede desarrollar un sistema que puede identificar y explotar vulnerabilidades de forma autónoma, se puede producir un daño significativo a la seguridad general de la nube. Esto puede llevar a la pérdida de datos, la interrupción de servicios y daños financieros para las organizaciones afectadas.

⚙️ Cómo funciona

El sistema de agentes múltiples de IA desarrollado por Unit 42 utiliza un enfoque de "coordinación de agentes" para identificar y explotar vulnerabilidades en la nube. Los agentes individuales se comunican entre sí y comparten información para identificar patrones y oportunidades de ataque. Luego, los agentes trabajan juntos para explotar las vulnerabilidades identificadas y producir un impacto máximo. El sistema utiliza técnicas de aprendizaje automático y optimización para mejorar su eficacia y adaptarse a las defensas de la nube.

👁️ Qué vigilar

  • IOC: Los investigadores de Unit 42 han identificado patrones de comportamiento que pueden indicar la presencia de un sistema de agentes múltiples de IA en la nube. Las organizaciones deben vigilar por estas señales y tomar medidas para mitigar el riesgo.
  • Parches: Es importante aplicar los parches de seguridad disponibles para abordar las vulnerabilidades identificadas por el sistema de agentes múltiples de IA.
  • Recomendaciones: Las organizaciones deben implementar medidas de seguridad robustas para proteger sus entornos de nube, incluyendo la implementación de sistemas de detección de intrusiones, la monitorización de tráfico de red y la implementación de políticas de seguridad sólidas.

🔗 Fuente consultada: Unit 42 (Palo Alto)

Vulnerabilidad — fast16 | Referencia de ShadowBrokers Revela Sabotaje de Software de Precisión Alta 5 Años Antes que Stuxnet

🔍 Qué está pasando

  • Un marco de sabotaje de ciberseguridad desconocido de 2005 se ha descubierto por SentinelOne Labs.
  • El marco utiliza técnicas de ingeniería inversa para parchear software de cálculo de alta precisión en memoria y corromper resultados de manera silenciosa.
  • La vulnerabilidad se encontró en una referencia de ShadowBrokers, un grupo de hackers conocido por sus actividades de hackeo en el pasado.

⚠️ Por qué importa

La existencia de este marco de sabotaje de 2005 es importante porque muestra que la capacidad de sabotear software de alta precisión existía mucho antes de la creación de Stuxnet, un malware conocido por su capacidad de sabotear sistemas de control industrial. Esto sugiere que la amenaza de sabotaje de software es más antigua y amplia de lo que se pensaba. Además, la descubierta de esta vulnerabilidad puede ser utilizada por atacantes para crear malware que aproveche la técnica de sabotaje de software de alta precisión.

⚙️ Cómo funciona

El marco de sabotaje utiliza técnicas de ingeniería inversa para analizar el código de software de cálculo de alta precisión y parchearlo en memoria. Esto permite a los atacantes corromper los resultados de los cálculos de manera silenciosa, lo que puede tener graves consecuencias en sistemas críticos que dependen de esos cálculos para funcionar correctamente. El marco también utiliza técnicas de evasión de detección para evitar ser detectado por sistemas de seguridad.

👁️ Qué vigilar

  • Vigilar por malware que utilice técnicas de sabotaje de software de alta precisión para corromper resultados de cálculos.
  • Revisar y actualizar software de cálculo de alta precisión para asegurarse de que esté libre de parches y vulnerabilidades.
  • Implementar medidas de seguridad adicionales para proteger sistemas críticos que dependen de software de cálculo de alta precisión.

🔗 Fuente consultada: SentinelOne Labs

Vulnerabilidad — PhantomRPC: una nueva técnica de escalada de privilegios en Windows RPC

🔍 Qué está pasando

  • Un investigador de Kaspersky descubrió una vulnerabilidad en la arquitectura de RPC que permite a un atacante crear un servidor RPC falso.
  • El atacante puede utilizar esta vulnerabilidad para escalar sus privilegios en sistemas Windows.
  • No se proporciona un ID CVE específico en la noticia.

⚠️ Por qué importa

La vulnerabilidad PhantomRPC puede permitir a un atacante con acceso a la red a escalar sus privilegios y obtener acceso a sistemas y datos confidenciales. Esto puede tener un impacto significativo en la seguridad de las organizaciones que utilizan sistemas Windows. Los atacantes pueden utilizar esta técnica para comprometer sistemas críticos y robar información sensible.

⚙️ Cómo funciona

La vulnerabilidad PhantomRPC se debe a la forma en que Windows RPC maneja los servidores ficticios. Un atacante puede crear un servidor RPC falso que se ve como un servidor legítimo, lo que permite que el sistema Windows lo considere como un servidor válido. Una vez que el sistema Windows establece una conexión con el servidor falso, el atacante puede utilizar esta conexión para escalar sus privilegios y obtener acceso a áreas restringidas del sistema.

👁️ Qué vigilar

  • Crea servidores RPC falsos que se ven como servidores legítimos.
  • Busca conexiones a servidores RPC sospechosos.
  • Asegúrate de que tus sistemas estén actualizados con los últimos parches de seguridad de Windows.

🔗 Fuente consultada: Kaspersky Securelist

Cibercrimen — GopherWhisper: Un agujero lleno de malware

🔍 Qué está pasando

  • ESET Research ha descubierto un nuevo grupo APT alineado con China, denominado GopherWhisper.
  • El grupo apunta a instituciones gubernamentales de Mongolia.
  • No se proporciona información sobre CVE ID.

⚠️ Por qué importa

GopherWhisper es un ejemplo de cómo las organizaciones gubernamentales en regiones periféricas pueden ser vulnerables a ataques informáticos sofisticados. La detección de este grupo APT puede ser un indicador de una amenaza más amplia en la región, lo que puede afectar a otros países y organizaciones. Es probable que las instituciones gubernamentales y organizaciones en Mongolia y otros países vecinos tomen medidas para fortalecer sus defensas contra ciberamenazas.

⚙️ Cómo funciona

GopherWhisper utiliza malware para infiltrarse en las redes de las instituciones gubernamentales de Mongolia. El malware se utiliza para recopilar información confidencial y comprometer la seguridad de la red. Es probable que el grupo APT utilice técnicas de phishing y otros métodos sociales para engañar a los usuarios y obtener acceso a la red.

👁️ Qué vigilar

  • IOCs: No se proporcionan IOCs en la noticia, pero se recomienda que las organizaciones en Mongolia y otros países vecinos monitoreen sus redes y sistemas para detectar actividad sospechosa relacionada con GopherWhisper.
  • Parches disponibles: No se proporcionan parches específicos para GopherWhisper, pero se recomienda que las organizaciones mantengan sus sistemas y aplicaciones actualizados con los últimos parches de seguridad.
  • Recomendaciones: Las organizaciones deben fortalecer sus defensas contra ciberamenazas, incluyendo la implementación de medidas de seguridad avanzadas, como la detección de intrusos y la monitoreo de la actividad de los usuarios.

🔗 Fuente consultada: ESET WeLiveSecurity

OT_ICS — It pays a ser un estudiante para siempre

🔍 Qué está pasando

  • El artículo de Talos Intelligence destaca la importancia de la interdisciplinariedad en el campo de la ciberseguridad.
  • Joe enfatiza la necesidad de comprender otras disciplinas para mejorar la seguridad en un mundo de IA.

⚠️ Por qué importa

La ciberseguridad es una disciplina en constante evolución, y la comprensión de otras áreas puede proporcionar nuevas perspectivas y soluciones innovadoras. Al estudiar otras disciplinas, los profesionales de la ciberseguridad pueden desarrollar habilidades y conocimientos que se aplican directamente a su trabajo, lo que puede mejorar la seguridad en general.

⚙️ Cómo funciona

La interdisciplinariedad en la ciberseguridad implica la aplicación de conceptos y técnicas de otras disciplinas, como la inteligencia artificial, la ciencia de datos, la criptografía y la teoría de la complejidad, para mejorar la seguridad de las redes y sistemas informáticos. Al comprender estas áreas, los profesionales de la ciberseguridad pueden desarrollar soluciones más efectivas para prevenir y detectar amenazas.

👁️ Qué vigilar

  • Estudiar otras disciplinas para mejorar la seguridad en un mundo de IA.
  • Aplicar conceptos y técnicas de otras disciplinas a la ciberseguridad.
  • Desarrollar habilidades y conocimientos interdisciplinarios para mejorar la seguridad en general.

🔗 Fuente consultada: Talos Intelligence

Vulnerabilidad — UAT-4356's Targeting de Dispositivos Cisco Firepower

🔍 Qué está pasando

  • UAT-4356 sigue explotando vulnerabilidades no parcheadas en dispositivos Cisco Firepower.
  • Las vulnerabilidades afectan el Firepower eXtensible Operating System (FXOS) de los dispositivos.
  • Estas vulnerabilidades se identifican con los CVE ID CVE-2025-20333 y CVE-2025-20362.

⚠️ Por qué importa

La activación de UAT-4356 puede permitir a los atacantes acceder sin autorización a dispositivos de seguridad críticos, lo que podría resultar en la exposición de información confidencial, la interrupción de servicios o incluso la toma del control de los dispositivos. Esto puede tener graves consecuencias para las organizaciones que dependen de estos dispositivos para proteger sus redes y sistemas.

⚙️ Cómo funciona

UAT-4356 explota vulnerabilidades no parcheadas en el FXOS de los dispositivos Cisco Firepower, lo que les permite ganar acceso no autorizado a estos dispositivos. Estas vulnerabilidades son consideradas "n-day" ya que se han descubierto después de su fecha de publicación y antes de que se hayan parcheado.

👁️ Qué vigilar

  • IOC: Actividad sospechosa relacionada con UAT-4356 en dispositivos Cisco Firepower.
  • Parches disponibles: Es importante aplicar los parches disponibles para CVE-2025-20333 y CVE-2025-20362 en dispositivos afectados.
  • Recomendaciones: Verificar la configuración de los dispositivos Firepower y aplicar actualizaciones de seguridad regularmente para evitar la explotación de vulnerabilidades no parcheadas.

🔗 Fuente consultada: Talos Intelligence

Vulnerabilidad — Crea cuentas de mula en plataformas de fintech B2B en Francia

🔍 Qué está pasando

  • Fraudes financieros en cuentas corporativas y de retail en Francia mediante técnicas de impresión de huella de dispositivo sofisticadas y redes de "mulas".
  • Los atacantes crean cuentas de mula en plataformas de fintech B2B para cometer fraude financiero.
  • Se utilizan técnicas de fingerprinting de dispositivo para identificar y crear cuentas de mula.

⚠️ Por qué importa

La creación de cuentas de mula en plataformas de fintech B2B puede tener un impacto significativo en las organizaciones y usuarios afectados. Los atacantes pueden utilizar estas cuentas para cometer fraude financiero, lo que puede provocar pérdidas financieras y dañar la reputación de las organizaciones. Además, la utilización de técnicas de fingerprinting de dispositivo sofisticadas puede ser difícil de detectar para los sistemas de seguridad tradicionales.

⚙️ Cómo funciona

Los atacantes utilizan técnicas de fingerprinting de dispositivo para identificar y crear cuentas de mula en plataformas de fintech B2B. Estas técnicas pueden incluir la recopilación de información sobre el dispositivo y el navegador del usuario, como la versión del sistema operativo, el navegador y los plugins utilizados. Los atacantes pueden utilizar esta información para crear cuentas de mula que se ajusten a la configuración del dispositivo del usuario, lo que puede hacer que sea difícil de detectar para los sistemas de seguridad.

👁️ Qué vigilar

  • Revisa las configuraciones de seguridad de las plataformas de fintech B2B para detectar y prevenir la creación de cuentas de mula.
  • Utiliza técnicas de fingerprinting de dispositivo para identificar y bloquear cuentas de mula.
  • Mantén actualizados los parches y las configuraciones de seguridad para evitar vulnerabilidades conocidas.

🔗 Fuente consultada: Group-IB

Top comments (0)