DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 25/03/2026

#security

🤖 Auto-generated daily threat intelligence digest — March 25, 2026

🚨 Alertas cibernéticas: amenazas en aumento y vulnerabilidades críticas
Fuentes: ESET WeLiveSecurity, Group-IB, Kaspersky Securelist, MSRC Microsoft, Microsoft Security, Qualys, SANS ISC, Unit 42 (Palo Alto)
Los cibercriminales siguen innovando en sus tácticas, mientras que las vulnerabilidades en sistemas y aplicaciones siguen siendo un blanco fácil para atacantes. Hoy exploraremos las últimas amenazas y vulnerabilidades que deben estar en la mira de las organizaciones.

ThreatIntel — ISC Stormcast For Wednesday, March 25th, 2026 https://isc.sans.edu/podcastdetail/9864, (Wed, Mar 25th)

🔍 Qué está pasando

  • Un nuevo ataque de phishing se está propagando a través de mensajes de correo electrónico que parecen proceder de conocidos, pero en realidad están siendo utilizados para distribuir malware.
  • El ataque utiliza un archivo adjunto que contiene un malware llamado "Cobalt Strike" que se utiliza para acceder a sistemas y realizar actividades maliciosas.
  • El ataque está siendo observado en todo el mundo y se estima que ha afectado a miles de usuarios.

⚠️ Por qué importa

Este ataque de phishing es particularmente peligroso porque utiliza un enfoque social engañoso para engañar a los usuarios a abrir el archivo adjunto. Esto puede llevar a la instalación de malware en el sistema, lo que puede dar como resultado la pérdida de datos, la revelación de información confidencial y la compromiso de la seguridad de la red. Las organizaciones y usuarios individuales deben estar alerta y tomar medidas para protegerse contra este tipo de ataques.

⚙️ Cómo funciona

El ataque comienza con un mensaje de correo electrónico que parece proceder de un conocido, pero en realidad es un ataque de phishing. El mensaje contiene un archivo adjunto que, cuando se abre, descarga el malware "Cobalt Strike" en el sistema. El malware se utiliza para acceder a sistemas y realizar actividades maliciosas, como robar información confidencial y comprometer la seguridad de la red.

👁️ Qué vigilar

  • IOCs: Los archivos adjuntos que contienen el malware "Cobalt Strike" se están distribuyendo a través de correos electrónicos que parecen proceder de conocidos.
  • Parches: No hay parches disponibles para este ataque, pero se recomienda a las organizaciones y usuarios individuales que actualicen sus sistemas y aplicaciones para asegurarse de que estén protegidos contra este tipo de ataques.
  • Recomendaciones: Las organizaciones y usuarios individuales deben estar alerta y tomar medidas para protegerse contra este tipo de ataques, como no abrir archivos adjuntos de correos electrónicos desconocidos y mantener sus sistemas y aplicaciones actualizados.

🔗 Fuentes consultadas (2):

ThreatIntel — SmartApeSG campaign pushes Remcos RAT, NetSupport RAT, StealC, y Sectop RAT (ArechClient2)

🔍 Qué está pasando

  • Una campaña maliciosa llamada SmartApeSG está distribuyendo varios tipos de software malicioso, incluyendo Remcos RAT, NetSupport RAT, StealC y Sectop RAT (conocido también como ArechClient2).
  • Estos malware están siendo utilizados para comprometer sistemas y robar datos.
  • La campaña parece estar dirigida a objetivos en todo el mundo.

⚠️ Por qué importa

La distribución de estos malware puede tener graves consecuencias para las organizaciones y usuarios afectados. El Remcos RAT, por ejemplo, puede permitir a los atacantes acceder a la cámara web, tomar capturas de pantalla y robar datos confidenciales. El NetSupport RAT también puede robar datos y permitir a los atacantes acceder a sistemas remotos. Además, la campaña podría estar utilizando técnicas de evasión para evitar ser detectada por sistemas de seguridad.

⚙️ Cómo funciona

La campaña SmartApeSG utiliza correos electrónicos maliciosos para infectar sistemas con los malware mencionados. Los correos electrónicos pueden contener archivos adjuntos que, cuando se ejecutan, instalan el malware en el sistema. Una vez instalado, el malware puede comenzar a recopilar datos confidenciales y enviarlos a los controladores maliciosos.

👁️ Qué vigilar

  • IOCs: no se proporcionaron IOCs específicos en la noticia.
  • Parches disponibles: no se mencionaron parches específicos en la noticia.
  • Recomendaciones concretas: es importante que las organizaciones y usuarios se mantengan actualizados con los últimos parches y software de seguridad, y que utilicen herramientas de detección de malware para proteger sus sistemas contra ataques como este. Además, es importante ser cauteloso al abrir correos electrónicos desconocidos y no ejecutar archivos adjuntos sin verificar su autenticidad.

🔗 Fuente consultada: SANS ISC

Vulnerabilidad — Detecting IP KVMs, (Tue, Mar 24th)

🔍 Qué está pasando

  • Los investigadores de Eclypsium han descubierto nuevas vulnerabilidades en los IP KVM (KVM por red de protocolo IP).
  • Estas vulnerabilidades pueden permitir el acceso no autorizado a las máquinas virtuales y el control de la infraestructura del centro de datos.
  • No se ha proporcionado un CVE ID específico para esta vulnerabilidad.

⚠️ Por qué importa

Las vulnerabilidades en los IP KVM pueden tener un impacto significativo en la seguridad de las organizaciones que utilizan estas tecnologías. Un ataque exitoso podría permitir a los atacantes acceder a información confidencial, interrumpir la operación del centro de datos o incluso tomar el control de la infraestructura completa. Esto puede resultar en pérdidas financieras, daños a la reputación y posibles sanciones legales.

⚙️ Cómo funciona

Los IP KVM permiten a los administradores remotos acceder a las máquinas virtuales de una red. Sin embargo, si no se configuran correctamente, pueden exponer vulnerabilidades que permiten a los atacantes acceder a la infraestructura del centro de datos. Los investigadores de Eclypsium han identificado varias vulnerabilidades que se deben a la falta de autenticación y autorización adecuadas, lo que permite a los atacantes acceder a las máquinas virtuales sin permiso.

👁️ Qué vigilar

  • IOCs: Buscar tráfico de red sospechoso que involucre IP KVM.
  • Parches disponibles: Asegurarse de que los sistemas IP KVM estén actualizados con los últimos parches de seguridad.
  • Recomendaciones concretas: Configurar la autenticación y autorización adecuadas para los IP KVM, y monitorear de cerca el tráfico de red que involucre estas tecnologías.

🔗 Fuente consultada: SANS ISC

Cibercrimen — Compromiso de cadena de suministro de Trivy: guía para detección, investigación y defensa

🔍 Qué está pasando

  • Amenazas cibernéticas abusaron de canales de distribución confiables de Trivy para inyectar malware que roba credenciales en pipelines CI/CD a nivel mundial.
  • El ataque se produjo a través de la cadena de suministro de Trivy.
  • No se proporciona CVE ID en la noticia.

⚠️ Por qué importa

La vulnerabilidad en la cadena de suministro de Trivy puede permitir a los atacantes acceder a credenciales sensibles y comprometer la seguridad de las organizaciones que utilizan Trivy en sus pipelines CI/CD. Esto puede tener graves consecuencias, incluyendo la pérdida de datos confidenciales, la exposición de información sensibles y la reputación dañada de la empresa.

⚙️ Cómo funciona

Los atacantes abusaron de los canales de distribución confiables de Trivy para inyectar malware que roba credenciales en los pipelines CI/CD. El malware se ejecutó en la fase de construcción del pipeline, permitiendo a los atacantes acceder a credenciales sensibles almacenadas en variables de entorno.

👁️ Qué vigilar

  • Revisar las configuraciones de los pipelines CI/CD para asegurarse de que no estén utilizando canales de distribución confiables de Trivy.
  • Implementar controles de acceso y autorización en los pipelines CI/CD para limitar el acceso a credenciales sensibles.
  • Verificar la integridad de los artefactos de construcción y evitar la ejecución de código malicioso en la fase de construcción del pipeline.

🔗 Fuente consultada: Microsoft Security

ThreatIntel — Governando el comportamiento de agentes AI: Alineando la intención del usuario, desarrollador, rol y organización

🔍 Qué está pasando

• Se publica un informe de investigación sobre la gestión del comportamiento de agentes AI en entornos empresariales.
• El informe analiza la alineación de la intención de los usuarios, desarrolladores, roles y organizaciones para una adopción segura de la inteligencia artificial.
• No hay CVE ID asociado a esta noticia.

⚠️ Por qué importa

La adopción de la inteligencia artificial en las organizaciones puede generar riesgos significativos si no se gestiona adecuadamente. Al no alinear las intenciones de los usuarios, desarrolladores, roles y organizaciones, se pueden crear agentes AI que no sean seguros o que comprometan la privacidad de los datos. Esto puede tener graves consecuencias para la reputación y la confiabilidad de la organización.

⚙️ Cómo funciona

Los agentes AI se pueden considerar como sistemas autónomos que toman decisiones basadas en algoritmos y datos. Sin embargo, si no se les proporciona una intención clara y segura, pueden generar comportamientos inesperados o no deseados. Para alinear la intención de los agentes AI, es necesario considerar las siguientes capas:

  • Intención del usuario: ¿Qué es lo que el usuario busca lograr con el agente AI?
  • Intención del desarrollador: ¿Qué es lo que el desarrollador busca lograr con el agente AI?
  • Intención del rol: ¿Qué es lo que el rol (o departamento) busca lograr con el agente AI?
  • Intención de la organización: ¿Qué es lo que la organización busca lograr con el agente AI?

👁️ Qué vigilar

• IOCs: No hay IOCs específicos para esta noticia.
• Parches disponibles: No hay parches disponibles para esta noticia.
• Recomendaciones concretas:

  • Asegúrese de alinear la intención de los usuarios, desarrolladores, roles y organizaciones antes de implementar agentes AI en su organización.
  • Proporcione una intención clara y segura a los agentes AI para evitar comportamientos inesperados o no deseados.
  • Implemente mecanismos de monitoreo y control para asegurarse de que los agentes AI se comporten de acuerdo con la intención establecida.

🔗 Fuente consultada: Microsoft Security

Vulnerabilidad — CVE-2026-2443 Libsoup: out-of-bounds read en handle_partial_get() con revelación de información de pila

🔍 Qué está pasando

  • Se identificó una vulnerabilidad en la biblioteca Libsoup, conocida como CVE-2026-2443.
  • La vulnerabilidad se debe a una lectura fuera de límites en la función handle_partial_get().
  • La información de la vulnerabilidad fue publicada por el equipo de Microsoft.

⚠️ Por qué importa

La vulnerabilidad en Libsoup puede ser explotada por atacantes para obtener información confidencial de la memoria del sistema, lo que puede llevar a una pérdida de datos sensibles. Esto es especialmente preocupante para organizaciones que utilizan Libsoup en sus aplicaciones, ya que pueden verse vulnerables a ataques de información.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando la función handle_partial_get() de Libsoup realiza una lectura fuera de los límites de la memoria, lo que permite a los atacantes acceder a información confidencial de la pila del sistema. Esto puede ocurrir cuando se utiliza la función handle_partial_get() con parámetros maliciosos.

👁️ Qué vigilar

  • Actualice la biblioteca Libsoup a la versión más reciente que incluye el parche para la vulnerabilidad CVE-2026-2443.
  • Verifique si las aplicaciones que utilizan Libsoup están actualizadas y no están expuestas a la vulnerabilidad.
  • Asegúrese de que los sistemas estén configurados para recibir actualizaciones de seguridad y parches en tiempo real.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-27623 Valkey has Pre-Authentication DOS from malformed RESP request

🔍 Qué está pasando

  • Se ha publicado una nueva vulnerabilidad en Valkey identificada como CVE-2026-27623.
  • La vulnerabilidad permite ataques de denegación de servicio (DOS) antes de la autenticación.
  • Los ataques se producen mediante solicitudes RESP malformadas.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-27623 puede tener un impacto significativo en organizaciones que utilizan Valkey, ya que permitiría a un atacante realizar ataques de denegación de servicio antes de la autenticación. Esto podría provocar interrupciones en los servicios y afectar la disponibilidad de la plataforma.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando una solicitud RESP malformada es enviada al servidor Valkey. Esto puede causar que el servidor se bloquee o se vuelva inestable, lo que lleva a un ataque de denegación de servicio. El ataque se puede realizar antes de la autenticación, lo que hace que sea más difícil detectar y mitigar.

👁️ Qué vigilar

  • Parche disponible: Microsoft ya ha publicado un parche para la vulnerabilidad CVE-2026-27623.
  • Solicitudes RESP malformadas: Vigilar tráfico de red que contenga solicitudes RESP malformadas hacia el servidor Valkey.
  • Monitorear el rendimiento del servidor: Monitorear el rendimiento del servidor Valkey para detectar posibles ataques de denegación de servicio.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-0716 Libsoup: out-of-bounds read in libsoup websocket frame processing

🔍 Qué está pasando

  • Se identificó una vulnerabilidad en Libsoup, una biblioteca de WebSocket para C, que permite un ataque de lectura fuera de límites durante el procesamiento de marcos WebSocket.
  • La vulnerabilidad se encuentra en la versión actual de Libsoup y afecta a aplicaciones que utilizan esta biblioteca.
  • El CVE ID asignado es CVE-2026-0716.

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a un atacante ejecutar código arbitrario en el sistema de un usuario, lo que podría llevar a la pérdida de datos confidenciales o la toma del control del sistema. Las organizaciones que utilizan Libsoup en sus aplicaciones deben ser conscientes de esta vulnerabilidad y tomar medidas para mitigar el riesgo.

⚙️ Cómo funciona

La vulnerabilidad se debe a que la biblioteca Libsoup no valida adecuadamente los marcos WebSocket, lo que permite a un atacante introducir datos maliciosos que pueden ser leídos fuera de los límites permitidos. Esto puede llevar a una lectura no autorizada de memoria, lo que podría permitir al atacante ejecutar código arbitrario.

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad, disponible en el sitio web de Libsoup.
  • IOC: El ataque se puede detectar mediante la detección de intentos de lectura fuera de límites en la biblioteca Libsoup.
  • Recomendación: Las organizaciones deben actualizar a la versión parcheada de Libsoup lo antes posible y asegurarse de que todas las aplicaciones que utilizan esta biblioteca estén configuradas para utilizar la versión actualizada.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2025-58160 Tracing logging user input may result en envenenamiento de registros con secuencias de escape ANSI

🔍 Qué está pasando

  • La vulnerabilidad CVE-2025-58160 afecta a funcionalidades de registro y seguimiento de trazas.
  • La entrada de usuario puede ser incorporada en registros de trazas de manera insegura.
  • Posible inyección de secuencias de escape ANSI en registros de trazas.

⚠️ Por qué importa

La vulnerabilidad CVE-2025-58160 puede permitir a un atacante envenenar registros de trazas con secuencias de escape ANSI, lo que puede comprometer la capacidad de una organización para monitorear y diagnosticar problemas. Esto puede provocar la pérdida de información crítica y dificultar la detección de amenazas.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando se incorpora entrada de usuario en registros de trazas sin una adecuada validación. Esto permite a un atacante inyectar secuencias de escape ANSI en los registros de trazas, lo que puede causar que se muestren información no deseada o incluso que se bloquee la salida de los registros.

👁️ Qué vigilar

  • Verificar si la versión de software afectada se encuentra instalada en la organización.
  • Aplicar parches disponibles para corregir la vulnerabilidad.
  • Validar la entrada de usuario antes de incorporarla en registros de trazas.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-4437 gethostbyaddr y gethostbyaddr_r pueden manejar incorrectamente la respuesta DNS

🔍 Qué está pasando

  • Se ha publicado información sobre una vulnerabilidad en las funciones gethostbyaddr y gethostbyaddr_r.
  • Estas funciones pueden manejar incorrectamente la respuesta DNS.
  • No se proporciona información sobre el CVE ID, pero se menciona que es CVE-2026-4437.

⚠️ Por qué importa

La vulnerabilidad puede permitir ataques de inyección de código o manipulación de datos, lo que podría conducir a la ejecución de código arbitrario en sistemas afectados. Esto podría tener graves consecuencias para organizaciones y usuarios, incluyendo la pérdida de datos confidenciales, la exposición de información sensible y el acceso no autorizado a sistemas o recursos.

⚙️ Cómo funciona

Las funciones gethostbyaddr y gethostbyaddr_r se utilizan para resolver nombres de dominio a direcciones IP y viceversa. Sin embargo, si la respuesta DNS es incorrecta o malformada, estas funciones pueden fallar o producir resultados incorrectos. Esto podría permitir a un atacante manipular la respuesta DNS para ejecutar código arbitrario en sistemas afectados.

👁️ Qué vigilar

  • Parches disponibles: Microsoft ha publicado parches para la vulnerabilidad, pero no se proporciona información adicional sobre cómo obtenerlos o implementarlos.
  • IOCs: No se proporcionan Indicadores de Actividad Maliciosa (IOCs) específicos para esta vulnerabilidad.
  • Recomendaciones: Las organizaciones deben verificar si están utilizando las funciones gethostbyaddr y gethostbyaddr_r, y aplicar los parches de seguridad proporcionados por Microsoft si es necesario. Además, es importante realizar un análisis de riesgo para determinar si la vulnerabilidad afecta a sus sistemas y recursos.

🔗 Fuente consultada: MSRC Microsoft

Cibercrimen — Threat Brief: Esquema de Recrutamiento que se hace pasar por Equipo de Adquisición de Talento de Palo Alto Networks

🔍 Qué está pasando

  • Un esquema de reclutamiento por correo electrónico está siendo utilizado para engañar a profesionales senior.
  • El esquema se hace pasar por el equipo de adquisición de talento de Palo Alto Networks.
  • Los ciberdelincuentes están solicitando información personal y cargos de trabajo.

⚠️ Por qué importa

Este esquema de reclutamiento puede tener graves consecuencias para las organizaciones y profesionales objetivo. Algunas de las razones incluyen la pérdida de información personal y la exposición a malware o ataques de phishing. Además, el engaño puede llevar a una pérdida de confianza en la marca y una disminución de la reputación.

⚙️ Cómo funciona

El esquema de reclutamiento implica un correo electrónico que se hace pasar por un mensaje de la empresa Palo Alto Networks. Los ciberdelincuentes están solicitando información personal y cargos de trabajo, lo que puede llevar a la víctima a proporcionar información confidencial. También están solicitando una tarifa de examen de idiomas a través de un enlace de pago, lo que podría ser un intento de robo de dinero.

👁️ Qué vigilar

  • Vigilar correos electrónicos que soliciten información personal o cargos de trabajo de empresas legítimas.
  • No proporcionar información personal o pagar tarifa de examen de idiomas a través de enlaces de pago.
  • Verificar la autenticidad de las solicitudes a través de canales oficiales de la empresa.

🔗 Fuente consultada: Unit 42 (Palo Alto)

OT_ICS — Informe Global de Ciberataques 2026

🔍 Qué está pasando

  • El informe de Kaspersky Security Services describe tendencias y estadísticas de ciberataques reveladas por el servicio de Detecção y Respuesta Gerenciada.
  • El informe incluye hallazgos de Respuesta a Incidentes basados en casos reales identificados y mitigados en 2025.

⚠️ Por qué importa

El informe proporciona una visión general clara de la evolución de las amenazas cibernéticas en 2025, lo que permite a las organizaciones tomar medidas preventivas para evitar ser víctimas de ciberataques. Además, la información sobre respuestas a incidentes puede ayudar a los equipos de seguridad a mejorar sus procedimientos de respuesta ante incidentes.

⚙️ Cómo funciona

El reporte de Kaspersky analiza los datos recolectados por su servicio de Managed Detection and Response para identificar patrones y tendencias en los ciberataques. El informe destaca la importancia de la detección temprana y la respuesta rápida para mitigar el impacto de los ciberataques.

👁️ Qué vigilar

  • Vigilar tendencias de ciberataques como ransomware, phishing y ataques de suplantación de identidad.
  • Mantenerse actualizado sobre parches y actualizaciones de seguridad para proteger contra vulnerabilidades conocidas.
  • Desarrollar planes de respuesta a incidentes efectivos para minimizar el impacto de ciberataques en la organización.

🔗 Fuente consultada: Kaspersky Securelist

Vulnerabilidad — Cloud workload security: Mind the gaps

🔍 Qué está pasando

  • La falta de visibilidad y control en la infraestructura de TI está causando problemas en la seguridad de cargas de trabajo en la nube.
  • Las organizaciones están expandiendo su presencia en la nube, pero no están manteniendo el control sobre sus cargas de trabajo.
  • Esto está creando vulnerabilidades que pueden ser explotadas por atacantes.

⚠️ Por qué importa

La falta de visibilidad y control en la infraestructura de TI puede tener graves consecuencias para las organizaciones. Los atacantes pueden aprovechar las vulnerabilidades para acceder a datos confidenciales, comprometer la integridad de la infraestructura y causar daños económicos significativos. Además, la falta de control también puede llevar a la no conformidad con las regulaciones de seguridad y a la pérdida de reputación.

⚙️ Cómo funciona

La falta de visibilidad y control en la infraestructura de TI se debe a la complejidad de la nube y la velocidad a la que se están desplegando nuevas aplicaciones y servicios. Las organizaciones están utilizando múltiples proveedores de servicios de la nube, lo que hace difícil mantener un control unificado sobre las cargas de trabajo. Además, la falta de automatización y la dependencia en herramientas de monitoreo manual pueden hacer que sea difícil detectar y responder a incidentes de seguridad.

👁️ Qué vigilar

  • IOC: Monitorear el tráfico de red para detectar actividad sospechosa que pueda indicar una amenaza de seguridad.
  • Parche disponible: Implementar herramientas de automatización de seguridad y monitoreo para mantener un control unificado sobre las cargas de trabajo en la nube.
  • Recomendación: Realizar un inventario de todas las cargas de trabajo en la nube y establecer un plan de seguridad y respaldo para cada una de ellas.

🔗 Fuente consultada: ESET WeLiveSecurity

Vulnerabilidad — The Rise of Managed Risk Operations: How the New Qualys mROC Portal Helps Partners Scale the Risk Operations Center

Key Takeaways For years, vulnerability management meant scanning, prioritizing by CVSS score, and handing a spreadsheet to IT. Attack surfaces now span cloud, on-premises, OT, IoT, and AI workloads. Threat actors weaponize vulnerabilities in hours. Boards demand risk in business terms. Meanwhile, se

🔗 Fuente consultada: Qualys

Cibercrimen — Esquema de Phishing GTFire: Evitando la detección mediante servicios de Google

Cómo GTFire abusa de Google Firebase y Google Translate para escalar campañas globales de phishing

🔗 Fuente consultada: Group-IB

Top comments (0)