DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 26/05/2026

#security

🤖 Auto-generated daily threat intelligence digest — May 26, 2026

🚨 Operaciones de ransomware y ataques de phishing en aumento
Fuentes: Group-IB, MSRC Microsoft, Mandiant / Google Cloud, SANS ISC

Las operaciones de ransomware y ataques de phishing siguen siendo una amenaza significativa para las organizaciones en todo el mundo. Según las fuentes consultadas, se han registrado un aumento en las actividades de cibercrimen, lo que pone en riesgo la privacidad y la seguridad de los datos.

ThreatIntel — ISC Stormcast For Tuesday, May 26th, 2026 https://isc.sans.edu/podcastdetail/9944, (Tue, May 26th)

🔍 Qué está pasando

  • Se reportan ataques de phishing contra usuarios de correo electrónico que utilizan servicios de correo electrónico de proveedores de Internet.
  • Los ataques se realizan mediante correos electrónicos que aparentan ser de las empresas de Internet mismas, con el objetivo de obtener credenciales de acceso.
  • Se menciona la importancia de verificar la autenticidad de los correos electrónicos antes de tomar acciones.

⚠️ Por qué importa

Los ataques de phishing pueden tener un impacto significativo en las organizaciones, ya que pueden permitir a los atacantes acceder a información confidencial y comprometer la seguridad de la red. Además, los usuarios pueden ser engañados para que proporcionen credenciales de acceso, lo que puede llevar a un robo de identidad o a un acceso no autorizado a sistemas sensibles.

⚙️ Cómo funciona

Los ataques de phishing se realizan mediante correos electrónicos que aparentan ser legítimos, pero que en realidad están diseñados para engañar a los usuarios. Los correos electrónicos pueden contener enlaces maliciosos o archivos adjuntos que, cuando se descargan o se hacen clic, pueden instalar malware en el dispositivo del usuario. Una vez que el malware se instala, los atacantes pueden acceder a la información del usuario y realizar acciones maliciosas en la red.

👁️ Qué vigilar

  • Verificar la autenticidad de los correos electrónicos antes de tomar acciones.
  • No hacer clic en enlaces sospechosos ni descargar archivos adjuntos de correos electrónicos desconocidos.
  • Mantener actualizados los sistemas y aplicaciones para evitar vulnerabilidades conocidas.

🔗 Fuente consultada: SANS ISC

Ciberseguridad — Possible ACR Stealer From Page Impersonating Claude, (Tue, May 26th)

🔍 Qué está pasando

  • Se ha detectado un posible ataque de Stealer (robo de credenciales) que implica a una página que se hace pasar por "Claude".
  • La página podría estar utilizando técnicas de phishing para engañar a los usuarios.
  • No se proporciona información sobre la posible vulnerabilidad CVE asociada.

⚠️ Por qué importa

Este tipo de ataques pueden tener un impacto significativo en las organizaciones, ya que pueden permitir a los atacantes acceder a credenciales de inicio de sesión, contraseñas y otros datos confidenciales. Los usuarios pueden ser engañados para que proporcionen información sensible o descarguen malware en su dispositivo.

⚙️ Cómo funciona

El ataque probablemente implica la creación de una página que se hace pasar por una fuente legítima, en este caso, "Claude". La página podría contener un script malicioso que se ejecuta en el navegador del usuario, permitiendo a los atacantes acceder a la información del usuario. Es posible que el ataque utilice técnicas de inyección de código o la explotación de vulnerabilidades en el navegador o en la página web.

👁️ Qué vigilar

  • Vigilar por correos electrónicos o notificaciones que tengan un enlace a una página que se hace pasar por "Claude".
  • Asegurarse de que los enlaces y las páginas web sean legítimos antes de proporcionar información sensible.
  • Mantener actualizados los navegadores y los sistemas operativos para evitar la explotación de vulnerabilidades conocidas.

🔗 Fuente consultada: SANS ISC

Ciberseguridad — Microsoft Access VBA, (Mon, May 25th)

🔍 Qué está pasando

  • Los archivos de Microsoft Access pueden contener código VBA.
  • El código VBA puede ser utilizado para realizar ataques maliciosos.
  • No se proporciona CVE ID en la noticia.

⚠️ Por qué importa

La capacidad de los archivos de Microsoft Access de contener código VBA puede permitir a los atacantes realizar ataques maliciosos, lo que puede tener graves consecuencias para las organizaciones y usuarios que dependen de Microsoft Access. Los atacantes pueden utilizar el código VBA para realizar acciones como la extracción de datos sensibles, la modificación de datos o la ejecución de comandos maliciosos.

⚙️ Cómo funciona

El código VBA se utiliza para automatizar tareas y crear aplicaciones en Microsoft Access. Sin embargo, si no se utiliza de manera segura, el código VBA puede ser utilizado por los atacantes para realizar acciones maliciosas. Los atacantes pueden inyectar código VBA en un archivo de Microsoft Access para realizar sus objetivos maliciosos.

👁️ Qué vigilar

  • Verificar las políticas de seguridad de Microsoft Access para asegurarse de que se están utilizando de manera segura.
  • Mantener actualizado Microsoft Access con los parches disponibles.
  • Revisar los archivos de Microsoft Access para detectar cualquier código VBA sospechoso.

🔗 Fuente consultada: SANS ISC

Vulnerabilidad — TeamPCP Supply Chain Campaign: Actividad hasta 2026-05-24

🔍 Qué está pasando

  • TeamPCP opera en tres ecosistemas de paquetes paralelos.
  • Ha alcanzado el código interno de GitHub.
  • Ha trojanizado un SDK de Python oficialmente publicado por Microsoft.
  • Ha abierto-sourceado su propio marco de trabajo en GitHub.

⚠️ Por qué importa

La actividad de TeamPCP es una amenaza significativa para las organizaciones que utilizan paquetes de software de terceros. Al operar en múltiples ecosistemas, TeamPCP puede infiltrarse en diferentes entornos y causar daños. La capacidad de alcanzar el código interno de GitHub y trojanizar un SDK oficialmente publicado por Microsoft sugiere una gran capacidad de manipulación de la cadena de suministro de software.

⚙️ Cómo funciona

TeamPCP parece utilizar una combinación de técnicas de ingeniería social y exploit de vulnerabilidades para infiltrarse en los ecosistemas de paquetes. Una vez dentro, puede manipular el código para agregar código malicioso o exfiltrar información confidencial. La capacidad de abrir-sourcear su propio marco de trabajo en GitHub sugiere una estrategia de " fake it till you make it", donde TeamPCP intenta parecer una organización legítima para ganar la confianza de los desarrolladores.

👁️ Qué vigilar

  • Puedes encontrar más información sobre la actividad de TeamPCP en las alertas de SANS ISC.
  • Asegúrate de actualizar tus paquetes de software de terceros de manera regular y verificar la integridad de los paquetes antes de instalarlos.
  • Revisa tus pipelines de CI/CD y asegúrate de que estén configurados para detectar y evitar la carga de código malicioso.

🔗 Fuentes consultadas (2):

Vulnerabilidad — CVE-2026-45495 Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability

🔍 Qué está pasando

  • Se ha agregado una nueva entrada en la Base de Conocimiento de Vulnerabilidades (CWE) para la vulnerabilidad CVE-2026-45495.
  • La vulnerabilidad afecta a Microsoft Edge basada en Chromium.
  • El CVE-2026-45495 se refiere a una vulnerabilidad de ejecución de código remoto.

⚠️ Por qué importa

La inclusión de esta vulnerabilidad en la CWE indica que es una entrada válida en la base de conocimiento de vulnerabilidades. Aunque la noticia no proporciona detalles técnicos adicionales, es importante que las organizaciones y usuarios estén al tanto de esta vulnerabilidad, especialmente si están utilizando Microsoft Edge basada en Chromium. Esto puede ayudar a garantizar que se tomen medidas de seguridad adecuadas para mitigar el riesgo de ataques.

⚙️ Cómo funciona

No se proporcionan detalles técnicos adicionales sobre la vulnerabilidad CVE-2026-45495 en la noticia. Es probable que se requiera una búsqueda adicional en fuentes de seguridad y bases de conocimiento para obtener información más específica sobre la vulnerabilidad.

👁️ Qué vigilar

  • Parches disponibles: No se proporcionan detalles sobre parches disponibles para la vulnerabilidad CVE-2026-45495 en la noticia.
  • Recomendaciones: Es importante mantener las aplicaciones y software actualizados, especialmente Microsoft Edge basada en Chromium, para garantizar que se tengan las últimas correcciones de seguridad.
  • IOCs: No se proporcionan IOCs (Indicadores de Actividad Maliciosa) específicos para la vulnerabilidad CVE-2026-45495 en la noticia.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-45498 Microsoft Defender Denial of Service Vulnerability

🔍 Qué está pasando

  • Se ha agregado una CWE (Weakness Classification) para la vulnerabilidad CVE-2026-45498.
  • La vulnerabilidad se refiere a un ataque de denegación de servicio (DoS) en Microsoft Defender.

⚠️ Por qué importa

La adición de la CWE indica que la vulnerabilidad es conocida y documentada, lo que puede afectar la confianza en la seguridad de Microsoft Defender. Aunque se indica que la vulnerabilidad es solo una "cambio informativo", es importante mantenerse al tanto de actualizaciones y parches disponibles para evitar posibles ataques de denegación de servicio.

⚙️ Cómo funciona

La vulnerabilidad CVE-2026-45498 en Microsoft Defender se refiere a un ataque de denegación de servicio que puede ser lanzado explotando un punto débil en la herramienta de seguridad. El ataque probablemente busca aprovechar una vulnerabilidad en el software para sobrecargar los recursos del sistema y provocar una denegación de servicio, lo que puede causar problemas de rendimiento y acceso a la herramienta.

👁️ Qué vigilar

  • Actualizaciones y parches disponibles para Microsoft Defender.
  • Cualquier cambio en la CWE (Weakness Classification) de la vulnerabilidad.
  • Posibles ataques de denegación de servicio en la herramienta de seguridad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2025-3198 GNU Binutils objdump bucomm.c display_info memory leak

🔍 Qué está pasando

  • Se ha detectado una vulnerabilidad en la herramienta GNU Binutils objdump.
  • El problema se encuentra en el archivo bucomm.c y afecta la función display_info.
  • La vulnerabilidad causa un memory leak (fuga de memoria).

⚠️ Por qué importa

La vulnerabilidad en GNU Binutils objdump podría permitir a un atacante explotarla y ejecutar código malicioso en sistemas afectados. Esto podría llevar a una infección de malware o incluso a la toma de control del sistema. Las organizaciones que dependen de herramientas basadas en GNU Binutils deberían tomar medidas para mitigar este riesgo.

⚙️ Cómo funciona

La vulnerabilidad en bucomm.c y la función display_info causa un memory leak debido a la falta de liberación adecuada de recursos en memoria. Esto podría permitir a un atacante explotar la vulnerabilidad y ejecutar código malicioso en sistemas afectados.

👁️ Qué vigilar

  • CVE-2025-3198: identificador de la vulnerabilidad.
  • Parches disponibles: Microsoft ha informado sobre la vulnerabilidad, pero no se proporcionan detalles sobre parches disponibles.
  • Recomendaciones: Las organizaciones deberían revisar su uso de herramientas basadas en GNU Binutils y aplicar parches o actualizaciones de seguridad tan pronto como estén disponibles.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2025-1176 GNU Binutils ld elflink.c _bfd_elf_gc_mark_rsec heap-based overflow

🔍 Qué está pasando

  • Se ha descubierto una vulnerabilidad en la herramienta GNU Binutils ld debido a un desbordamiento de pila basado en el heap.
  • La vulnerabilidad se encuentra en la función _bfd_elf_gc_mark_rsec de la biblioteca elflink.c.
  • La vulnerabilidad tiene el identificador CVE-2025-1176.

⚠️ Por qué importa

La vulnerabilidad en GNU Binutils ld puede permitir a un atacante ejecutar código arbitrario en el contexto del proceso, lo que puede llevar a la ejecución de malware o la exfiltración de datos confidenciales. Este tipo de vulnerabilidad es particularmente peligroso porque puede ser utilizada para realizar ataques de nivel de kernel en sistemas operativos que utilizan GNU Binutils ld para compilar y enlazar binarios.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando la función _bfd_elf_gc_mark_rsec de la biblioteca elflink.c no realiza una validación adecuada de los datos de entrada, lo que permite a un atacante manipular el puntero de heap y realizar un desbordamiento de pila. Esto puede llevar a la escritura de datos arbitrarios en la memoria, lo que puede ser utilizado para realizar un ataque de ejecución de código remoto (RCE).

👁️ Qué vigilar

  • Buscar actualizaciones de GNU Binutils ld en los repositorios oficiales.
  • Aplicar parches de seguridad disponibles para la vulnerabilidad CVE-2025-1176.
  • Revisar los logs de sistema para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2025-1178 GNU Binutils ld libbfd.c bfd_putl64 memory corruption

🔍 Qué está pasando

  • Se ha identificado una vulnerabilidad en la biblioteca GNU Binutils, específicamente en el archivo libbfd.c.
  • La vulnerabilidad se conoce como memory corruption y afecta a la función bfd_putl64.
  • Se asignó el identificador CVE-2025-1178.

⚠️ Por qué importa

La vulnerabilidad en GNU Binutils puede permitir a un atacante ejecutar código arbitrario en el sistema, lo que puede llevar a la ejecución de malware o a la extracción de información confidencial. Esto puede resultar particularmente peligroso en entornos de producción, donde una explotación exitosa podría provocar daños significativos.

⚙️ Cómo funciona

La vulnerabilidad se produce debido a una falta de validación adecuada en la función bfd_putl64, que se utiliza para escribir datos de 64 bits en la memoria. Un atacante podría aprovechar esta vulnerabilidad para escribir datos arbitrarios en la memoria, lo que podría provocar una corrupción de la memoria y permitir la ejecución de código malicioso.

👁️ Qué vigilar

  • Parche disponible: Buscar actualizaciones de seguridad en la biblioteca GNU Binutils y aplicarlas lo antes posible.
  • IOC: La vulnerabilidad se identificó en la función bfd_putl64 del archivo libbfd.c.
  • Recomendaciones: Verificar la versión de la biblioteca GNU Binutils en todos los sistemas y aplicar parches o actualizaciones de seguridad disponibles.

🔗 Fuente consultada: MSRC Microsoft

Cibercrimen — Prevención de Fraude en Pagos en Línea: Mejores Prácticas para Organizaciones

🔍 Qué está pasando

  • La prevención de fraude en pagos en línea es un tema cada vez más complejo y urgente para las organizaciones.
  • El fraude en pagos en línea puede tener consecuencias financieras y de reputación graves para las empresas.
  • No se menciona un CVE específico en la noticia, pero se enfoca en la prevención de fraude en pagos en línea.

⚠️ Por qué importa

El fraude en pagos en línea puede tener un impacto significativo en las organizaciones, afectando no solo sus finanzas, sino también su reputación y confianza con los clientes. Según Group-IB, las pérdidas por fraude en pagos en línea pueden ser considerables y requerir medidas efectivas para su prevención. Las organizaciones que no toman medidas para prevenir el fraude en pagos en línea pueden verse comprometidas por pérdidas financieras y daño a su reputación.

⚙️ Cómo funciona

El fraude en pagos en línea puede ocurrir a través de varios canales, incluyendo la falsificación de identidad, la captura de información de tarjeta de crédito y la realización de transacciones fraudulentas. Las organizaciones pueden utilizar técnicas de análisis de riesgo para identificar transacciones sospechosas y medidas de autenticación para verificar la identidad de los clientes. Además, la implementación de sistemas de pago seguros y la educación de los clientes sobre la seguridad en línea también pueden ayudar a prevenir el fraude en pagos en línea.

👁️ Qué vigilar

  • Análisis de riesgo: Realizar análisis de riesgo para identificar transacciones sospechosas y tomar medidas para prevenir el fraude.
  • Autenticación: Implementar medidas de autenticación para verificar la identidad de los clientes y reducir el riesgo de fraude.
  • Educación del cliente: Educar a los clientes sobre la seguridad en línea y cómo prevenir el fraude en pagos en línea.

🔗 Fuente consultada: Group-IB

Cibercrimen — Volumen de Obfuscación: Los Corredores de Datos a Gran Escala Buscan Gastar Tu Tiempo

🔍 Qué está pasando

  • Datos supuestamente robados de organizaciones mundiales se venden en foros y canales de la dark web de habla china y en Telegram.
  • Los datos se anuncian en grandes cantidades, lo que sugiere una posible estrategia de obfuscación.
  • No se proporciona información sobre la credibilidad de los datos ni sobre la autenticidad de los vendedores.

⚠️ Por qué importa

El aumento de la venta de datos supuestamente robados en la dark web puede ser un indicador de una posible actividad cibernética maliciosa. Las organizaciones deben estar atentas a esta tendencia para evitar caer en trampas o ser víctimas de ataques de phishing. Además, la venta de datos personales puede tener graves consecuencias para la privacidad y la seguridad de los individuos afectados.

⚙️ Cómo funciona

Los vendedores de datos supuestamente robados pueden utilizar técnicas de obfuscación para dificultar la identificación de la autenticidad de los datos. Esto puede incluir la creación de falsas identidades, la utilización de herramientas de cifrado y la publicación de datos en diferentes plataformas para evitar ser detectados. Los compradores de estos datos pueden ser víctimas de un juego de confianza, donde se les ofrece datos falsos o incompletos.

👁️ Qué vigilar

  • Vigilar los anuncios de datos supuestamente robados en la dark web y en Telegram, especialmente aquellos que se anuncian en grandes cantidades.
  • Verificar la credibilidad de los vendedores y la autenticidad de los datos antes de realizar cualquier compra.
  • Mantener actualizados los sistemas de seguridad y los procedimientos de detección de intrusos para evitar caer en trampas o ser víctimas de ataques cibernéticos maliciosos.

🔗 Fuente consultada: Group-IB

Cibercrimen — ¿La fraude distorsiona tus números de crecimiento en iGaming?

🔍 Qué está pasando

  • El crecimiento de la industria del iGaming puede estar siendo distorsionado por la fraude.
  • La fraude en iGaming puede tomar muchas formas, desde la manipulación de cuentas hasta el lavado de dinero.
  • No se proporciona un CVE ID específico, pero se menciona la importancia de la detección de fraude.

⚠️ Por qué importa

La detección de fraude en iGaming es crucial para las empresas que operan en esta industria. Si no se aborda adecuadamente, el fraude puede llevar a pérdidas financieras significativas y dañar la reputación de la empresa. Además, la falta de transparencia en los números de crecimiento puede llevar a decisiones equivocadas en las estrategias de negocio.

⚙️ Cómo funciona

El fraude en iGaming puede ser difícil de detectar debido a su naturaleza compleja. Los atacantes pueden utilizar técnicas como la manipulación de cuentas, el lavado de dinero y la creación de cuentas falsas para engañar a las empresas y obtener beneficios ilícitos. Los atacantes también pueden utilizar herramientas de automatización para realizar actividades fraudulentas a gran escala.

👁️ Qué vigilar

  • IOCs (Indicadores de Actividad Maliciosa): Monitorear patrones de comportamiento anormal en las transacciones de iGaming, como transacciones sospechosas o movimientos inusuales de fondos.
  • Parches disponibles: Asegurarse de que las plataformas de iGaming estén actualizadas con los últimos parches de seguridad y que se estén utilizando herramientas de detección de fraude avanzadas.
  • Recomendaciones concretas: Implementar políticas de seguridad sólidas, como la autenticación multifactorial y la verificación de identidad, para reducir el riesgo de fraude en iGaming.

🔗 Fuente consultada: Group-IB

Ciberseguridad — Introducing Group-IB Prevyn AI

🔍 Qué está pasando

  • Group-IB lanza Prevyn AI, un núcleo cognitivo que anticipa amenazas antes de que ocurran.
  • Prevyn AI utiliza inteligencia artificial y aprendizaje automático para analizar patrones y predecir ataques cibernéticos.
  • Se espera que Prevyn AI mejore significativamente la capacidad de respuesta y mitigación de amenazas en tiempo real.

⚠️ Por qué importa

La introducción de Prevyn AI podría revolucionar la forma en que las organizaciones detectan y responden a amenazas cibernéticas. Al anticipar ataques antes de que ocurran, Prevyn AI puede ayudar a reducir el tiempo de respuesta y minimizar el impacto de las amenazas. Esto es especialmente importante para organizaciones críticas, como bancos, hospitales y servicios de emergencia, que dependen de la confiabilidad y seguridad de sus sistemas.

⚙️ Cómo funciona

Prevyn AI utiliza algoritmos de aprendizaje automático para analizar grandes conjuntos de datos y detectar patrones y anomalías. Esto le permite identificar posibles amenazas antes de que ocurran y proporcionar recomendaciones a los equipos de seguridad para tomar medidas preventivas. La plataforma también incluye una interfaz de usuario intuitiva que permite a los usuarios visualizar y navegar por los datos de manera fácil y acorde a las necesidades.

👁️ Qué vigilar

  • No hay IOCs (Indicators of Compromise) específicos para Prevyn AI, ya que es una plataforma de anticipación de amenazas en lugar de una respuesta a una vulnerabilidad específica.
  • No hay parches disponibles para Prevyn AI, ya que es una plataforma de software que se ejecuta en servidores y no requiere parches tradicionales.
  • Recomendación: las organizaciones deberían considerar implementar Prevyn AI para mejorar su capacidad de respuesta y mitigación de amenazas en tiempo real. Esto podría incluir la integración de Prevyn AI con sus sistemas de seguridad existentes y la capacitación de sus equipos para utilizar la plataforma de manera efectiva.

🔗 Fuente consultada: Group-IB

Privacidad — ¿Qué es un retainer de respuesta a incidentes? (Y por qué esperar hasta que ocurra una violación es demasiado tarde)

🔍 Qué está pasando

  • Los retadores de respuesta a incidentes (IR) brindan a las organizaciones acceso inmediato a expertos en ciberseguridad cuando ocurre una violación, sin perder tiempo crítico en retrasos legales, de contratación o de onboarding.
  • El artículo explica cómo funcionan los retadores IR, los diferentes modelos disponibles y por qué pueden reducir significativamente el tiempo de inactividad, el daño y la incertidumbre durante un incidente cibernético.
  • No hay CVE ID específico relacionado con esta noticia.

⚠️ Por qué importa

Esperar hasta que ocurra una violación puede ser demasiado tarde para las organizaciones. Un retador IR puede proporcionar acceso inmediato a expertos en ciberseguridad, lo que puede reducir significativamente el tiempo de inactividad, el daño y la incertidumbre durante un incidente cibernético. Esto es especialmente importante en un entorno cibernético cada vez más complejo y amenazado.

⚙️ Cómo funciona

Un retador IR es un acuerdo previo con una empresa de ciberseguridad que proporciona acceso inmediato a expertos en respuesta a incidentes en caso de una violación. Esto puede incluir servicios como la detección y respuesta a incidentes, la mitigación y el análisis de incidentes, y la coordinación con las autoridades competentes. Los retadores IR pueden ser ofrecidos en diferentes modelos, como un retador de respuesta a incidentes completo o un retador de respuesta a incidentes de nivel empresarial.

👁️ Qué vigilar

  • Buscar oportunidades de colaboración con empresas de ciberseguridad que ofrezcan retadores IR.
  • Evaluar los diferentes modelos de retador IR disponibles y seleccionar el que mejor se adapte a las necesidades de la organización.
  • Asegurarse de que el retador IR incluya servicios de detección y respuesta a incidentes, mitigación y análisis de incidentes, y coordinación con las autoridades competentes.

🔗 Fuente consultada: Group-IB

Cibercrimen — 2 PhaaS 2 Furious: The Evolution of Chinese-language Phishing Services

While Russian-speaking threat actors have historically dominated the phishing-as-a-service (PhaaS) landscape, a rival ecosystem is rapidly growing within the Chinese-language underground. Google Threat Intelligence Group (GTIG) analyzed a dozen current PhaaS offerings in the Chinese underground, all

🔗 Fuente consultada: Mandiant / Google Cloud

Top comments (0)