DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 29/03/2026

#security

🤖 Auto-generated daily threat intelligence digest — March 29, 2026

🚨 Resumen diario de threat intelligence — 29 de marzo de 2026
Fuentes: Group-IB, MSRC Microsoft, SANS ISC, The Hacker News

El día de hoy, la comunidad de ciberseguridad se enfrenta a nuevos desafíos con el aumento de ataques de cybercrime y la detección de vulnerabilidades críticas en sistemas de alta seguridad. Además, se informa sobre el uso de malware avanzado para extorsionar a organizaciones a través de ataques de ransomware.

Cibercrimen — TeamPCP Supply Chain Campaign: Update 003

🔍 Qué está pasando

  • La campaña TeamPCP ha entrado en su fase de monetización, lo que significa que los atacantes están intentando obtener ganancias financieras a través de la infección de sistemas.
  • No se han reportado nuevos compromisos en los últimos 48 horas.
  • La campaña sigue siendo una amenaza para las organizaciones que utilizan software infectado en su cadena de suministro.

⚠️ Por qué importa

La campaña TeamPCP es una amenaza significativa para las organizaciones que dependen de software de terceros en su cadena de suministro. Los atacantes pueden aprovechar vulnerabilidades en estos productos para infectar sistemas y obtener acceso no autorizado. Esto puede llevar a la pérdida de datos confidenciales, la interrupción de operaciones y daños financieros significativos.

⚙️ Cómo funciona

La campaña TeamPCP utiliza un método de infección conocido como "software de seguridad como arma". Los atacantes crean un software de seguridad que parece legítimo, pero en realidad contiene un backdoor que permite el acceso no autorizado a los sistemas infectados. Una vez que el software es instalado, los atacantes pueden utilizarlo para robar datos confidenciales o implantar malware adicional.

👁️ Qué vigilar

  • Busque en los registros de sistema y el monitoreo de seguridad por cualquier actividad sospechosa relacionada con el software de seguridad TeamPCP.
  • Verifique si su organización utiliza software de terceros que ha sido comprometido por la campaña TeamPCP y actualice o reemplace ese software de inmediato.
  • Asegúrese de que sus sistemas estén actualizados con los últimos parches de seguridad y que estén configurados para recibir notificaciones de seguridad en tiempo real.

🔗 Fuente consultada: SANS ISC

Vulnerabilidad — CVE-2026-3104 Memory leak in code preparing DNSSEC proofs of non-existence

🔍 Qué está pasando

  • Se ha identificado una vulnerabilidad en el código que prepara pruebas de no existencia DNSSEC (Domain Name System Security Extensions).
  • La vulnerabilidad, conocida como CVE-2026-3104, es un leak de memoria en el código afectado.
  • La vulnerabilidad afecta a la seguridad de la infraestructura de nombres de dominio (DNS).

⚠️ Por qué importa

La vulnerabilidad CVE-2026-3104 puede permitir a un atacante aprovecharse de la memoria liberada para ejecutar código malicioso. Esto puede llevar a una pérdida de confidencialidad, integridad y disponibilidad de los datos de la organización afectada. Además, la vulnerabilidad puede ser utilizada para realizar ataques de denegación de servicio (DoS) contra los servidores DNS.

⚙️ Cómo funciona

La vulnerabilidad se produce debido a un leak de memoria en el código que prepara pruebas de no existencia DNSSEC. Cuando el código se ejecuta, libera memoria que no se libera correctamente, lo que puede ser aprovechado por un atacante para ejecutar código malicioso. El código afectado es utilizado para preparar pruebas de no existencia DNSSEC, lo que significa que la vulnerabilidad puede ser utilizada para atacar la seguridad de la infraestructura de nombres de dominio (DNS).

👁️ Qué vigilar

  • Verificar si se ha aplicado el parche de seguridad disponible para la vulnerabilidad CVE-2026-3104.
  • Vigilar la memoria liberada en el código que prepara pruebas de no existencia DNSSEC.
  • Asegurarse de que el código esté actualizado y libre de vulnerabilidades.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-3591 Falta de uso de pila después de retorno en el código de manejo de SIG(0) puede permitir el bypass de ACL

🔍 Qué está pasando

  • Se identificó una vulnerabilidad en el código de manejo de SIG(0) que puede permitir el bypass de ACL (Control de Acceso de Lista).
  • La vulnerabilidad se etiqueta como CVE-2026-3591.
  • Microsoft ha publicado información sobre la vulnerabilidad.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-3591 puede permitir a un atacante bypass ACL y acceder a recursos que normalmente no estarían disponibles para ellos. Esto puede tener graves consecuencias para la seguridad de las organizaciones que utilicen el software afectado, ya que un atacante puede acceder a información confidencial o realizar cambios no autorizados en el sistema.

⚙️ Cómo funciona

La vulnerabilidad se debe a un error en el manejo de la pila después de que una función ha devuelto. En este caso, el código de manejo de SIG(0) no verifica adecuadamente la pila antes de continuar ejecutando código, lo que puede permitir que un atacante acceda a memoria no válida y realice operaciones no autorizadas.

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad CVE-2026-3591.
  • IOCs: No se han proporcionado IOCs (Indicadores de Actividad Maliciosa) específicos para esta vulnerabilidad.
  • Recomendaciones: Las organizaciones deben aplicar el parche disponible lo antes posible y asegurarse de que todos los sistemas estén actualizados para evitar cualquier posible exposición a la vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-33636 LIBPNG has ARM NEON Palette Expansion Out-of-Bounds Read on AArch64

🔍 Qué está pasando

  • Se ha detectado una vulnerabilidad en la biblioteca LIBPNG, específicamente en la expansión de paleta ARM NEON en arquitectura AArch64.
  • La vulnerabilidad causa un salto de límites fuera de los bounds en la expansión de paleta, lo que puede permitir el acceso no autorizado a memoria.
  • Está identificada con el CVE-2026-33636.

⚠️ Por qué importa

La vulnerabilidad en LIBPNG puede permitir a un atacante ejecutar código malicioso en sistemas que utilicen la biblioteca afectada. Esto puede provocar la pérdida de datos confidenciales, la alteración de datos o incluso la toma del control del sistema. Las organizaciones que utilicen sistemas con arquitectura AArch64 y LIBPNG deben considerar la vulnerabilidad como una amenaza importante.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando la biblioteca LIBPNG expande la paleta de colores utilizando instrucciones ARM NEON en arquitectura AArch64. En este proceso, se produce un salto de límites fuera de los bounds, lo que permite a un atacante acceder a memoria no autorizada. Esto puede ser aprovechado para ejecutar código malicioso o leer datos confidenciales.

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad en su sitio de seguridad. Las organizaciones deben aplicar el parche lo antes posible para mitigar el riesgo.
  • Recomendación: Las organizaciones deben revisar su uso de LIBPNG y asegurarse de que estén ejecutando la versión parcheada. Además, se recomienda realizar un análisis de vulnerabilidad para detectar cualquier otra posible amenaza.
  • IOC: No se han proporcionado IOCs específicos para esta vulnerabilidad. Sin embargo, las organizaciones deben estar atentas a cualquier actividad sospechosa que pueda estar relacionada con la vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-23399 nf_tables: nft_dynset: fix possible stateful expression memleak in error path

🔍 Qué está pasando

  • La vulnerabilidad CVE-2026-23399 afecta la función nf_tables de Linux.
  • Se trata de un posible agotamiento de memoria (memleak) en el camino de error del estado dinámico de expresión (nft_dynset).
  • El problema se relaciona con la gestión de memoria en la función nf_tables.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-23399 puede permitir a un atacante explotar la memoria de un sistema Linux y causar un agotamiento de recursos, lo que puede llevar a una denegación de servicio (DoS). Esto puede tener un impacto significativo en la disponibilidad de los sistemas afectados, especialmente en entornos críticos como servidores de red o sistemas de seguridad.

⚙️ Cómo funciona

La función nf_tables es un componente de la infraestructura de firewall de Linux que permite a los administradores crear reglas de seguridad dinámicamente. Sin embargo, en el camino de error del estado dinámico de expresión (nft_dynset), se puede producir un posible agotamiento de memoria si se presentan ciertas condiciones. Esto puede ocurrir si un atacante explota la vulnerabilidad y causa un ciclo de error que agote la memoria del sistema.

👁️ Qué vigilar

  • CVE-2026-23399: La vulnerabilidad está identificada con el número de CVE 2026-23399.
  • Parche disponible: Se recomienda aplicar el parche proporcionado por el proveedor de Linux para corregir la vulnerabilidad.
  • Recomendaciones: Es importante mantener actualizados los sistemas Linux y aplicar los parches de seguridad disponibles. Además, se recomienda realizar monitoreo de la memoria y del rendimiento del sistema para detectar posibles agotamientos de recursos.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2025-67030

🔍 Qué está pasando

  • Se publicó información sobre una nueva vulnerabilidad, identificada con el ID CVE-2025-67030.
  • La fuente de la información es el equipo de Microsoft (MSRC).
  • La vulnerabilidad afecta a productos de Microsoft sin especificar.

⚠️ Por qué importa

La publicación de información sobre una vulnerabilidad sin especificar los detalles del problema puede indicar que el equipo de Microsoft está trabajando en una solución o parche. Esto puede ser preocupante para las organizaciones que dependen de productos de Microsoft, ya que pueden estar expuestas a ataques si no se implementan las medidas de seguridad adecuadas. Es importante que los administradores de sistemas y equipos de seguridad monitoreen la situación y se preparen para aplicar parches o actualizaciones cuando estén disponibles.

⚙️ Cómo funciona

La vulnerabilidad en cuestión afecta a los productos de Microsoft, pero no se proporcionan detalles técnicos adicionales. Es probable que la vulnerabilidad se deba a un error en la implementación de un componente de seguridad, lo que permite a un atacante explotarla y ejecutar código malicioso en el sistema afectado.

👁️ Qué vigilar

  • Parches disponibles: Espera a que Microsoft publique parches o actualizaciones para los productos afectados.
  • IOCs (Indicators of Compromise): Monitorea el tráfico de red y los sistemas para detectar posibles indicadores de compromiso relacionados con esta vulnerabilidad.
  • Recomendaciones: Asegúrate de que tus sistemas estén actualizados con las últimas versiones de software y que tengas habilitado el control de actualizaciones automáticas.

🔗 Fuente consultada: MSRC Microsoft

Cibercrimen — Esquema de Phishing GTFire: Evitando la detección mediante servicios de Google

🔍 Qué está pasando

  • El grupo cibernético GTFire ha estado utilizando servicios de Google como Firebase y Google Translate para escalar campañas globales de phishing.
  • Estas campañas involucran el envío de correos electrónicos y mensajes de texto que parecen ser de origen confiable, pero en realidad contienen malware o links maliciosos.
  • GTFire ha estado evitando la detección mediante la utilización de servicios de Google que permiten a los atacantes cambiar constantemente la forma en que se envían los mensajes y la información contenida en ellos.

⚠️ Por qué importa

El esquema de phishing GTFire puede tener un impacto significativo en las organizaciones y usuarios que se ven afectados. Algunas de las consecuencias incluyen la pérdida de datos confidenciales, la compromiso de sistemas y la exposición a malware y ransomware. Además, el hecho de que GTFire esté utilizando servicios de Google para evitar la detección hace que sea más difícil para las organizaciones detectar y responder a estas campañas.

⚙️ Cómo funciona

GTFire utiliza servicios de Google como Firebase y Google Translate para crear y enviar correos electrónicos y mensajes de texto que parecen ser de origen confiable. Estos mensajes pueden contener links maliciosos o attachments con malware. Al utilizar servicios de Google, GTFire puede cambiar constantemente la forma en que se envían los mensajes y la información contenida en ellos, lo que hace que sea más difícil para las organizaciones detectar y responder a estas campañas. Además, GTFire puede utilizar la función de traducción de Google Translate para crear mensajes que parezcan ser de origen confiable en diferentes idiomas, lo que les permite atacar a una audiencia más amplia.

👁️ Qué vigilar

  • IOCs: Los investigadores de Group-IB han identificado varios IOCs (Indicadores de Actividad Maliciosa) asociados con el esquema de phishing GTFire, incluyendo dominios y direcciones IP utilizados por el grupo.
  • Parches disponibles: No hay parches disponibles específicos para este esquema de phishing, pero las organizaciones pueden tomar medidas para protegerse, como implementar filtrado de correos electrónicos y mensajes de texto, y utilizar software de seguridad para detectar y bloquear malware y ransomware.
  • Recomendaciones concretas: Las organizaciones deben estar alertas a los mensajes y links que parezcan ser de origen confiable, pero que en realidad contengan malware o links

🔗 Fuente consultada: Group-IB

Cibercrimen — Cloud Phones: The Invisible Threat

🔍 Qué está pasando

  • La tecnología de teléfonos en la nube se ha evolucionado de la automatización de participación en redes sociales a fraudes financieros a gran escala invisibles para los sistemas de detección modernos.
  • Los ciberdelincuentes están utilizando plataformas de teléfonos en la nube para realizar operaciones financieras fraudulentas a gran escala.
  • La falta de detección de estos ataques se debe a la complejidad de la tecnología y la falta de información sobre sus técnicas de ataques.

⚠️ Por qué importa

La amenaza de los teléfonos en la nube es una preocupación creciente para las organizaciones y usuarios que utilizan estas plataformas. Los fraudes financieros a gran escala pueden provocar pérdidas significativas y dañar la reputación de las empresas. Además, la invisibilidad de estos ataques hace que sean difíciles de detectar y prevenir, lo que aumenta el riesgo para las organizaciones que no tienen medidas de seguridad adecuadas en lugar.

⚙️ Cómo funciona

Los ciberdelincuentes están utilizando plataformas de teléfonos en la nube para crear números de teléfono falsos y realizar llamadas de tarjeta de crédito para realizar transacciones fraudulentas. Estas plataformas permiten a los ciberdelincuentes crear números de teléfono en gran cantidad y automatizar la realización de llamadas, lo que les permite realizar fraudes a gran escala.

👁️ Qué vigilar

  • Vigilar las plataformas de teléfonos en la nube para detectar la creación de números de teléfono falsos y llamadas fraudulentas.
  • Aplicar parches y actualizaciones de seguridad en las plataformas de teléfonos en la nube para evitar vulnerabilidades conocidas.
  • Implementar medidas de seguridad adicionales, como la verificación de identidad y la autenticación de dos factores, para prevenir el acceso no autorizado a las plataformas de teléfonos en la nube.

🔗 Fuente consultada: Group-IB

Vulnerabilidad — Hasta la vista, Hastalamuerte: An Overview of The Gentlemen’s TTPs

🔍 Qué está pasando

  • La empresa de ciberseguridad Group-IB ha publicado un informe sobre las tácticas, técnicas y procedimientos (TTPs) utilizados por The Gentlemen, un grupo de cibercriminales observado en intrusiones realizadas por sus afiliados.
  • El informe ofrece información relevante sobre las capacidades del grupo recopilada desde fuentes privadas subterráneas.

⚠️ Por qué importa

The Gentlemen es un grupo cibernésico que ha demostrado ser una amenaza creciente en la escena del cibercrimen. Su capacidad para llevar a cabo intrusiones sofisticadas y su enfoque en tácticas de extorsión y robo de datos hacen que sea importante que las organizaciones estén al tanto de sus TTPs. Si no se toman medidas para protegerse, pueden estar en riesgo de sufrir pérdidas financieras y reputacionales.

⚙️ Cómo funciona

The Gentlemen utiliza técnicas de phishing y ataques de suplantación de identidad para acceder a sistemas y redes. Una vez dentro, pueden moverse con libertad, recopilar datos confidenciales y extorsionar a las víctimas. El grupo también ha demostrado utilizar herramientas de ransomware para cifrar archivos y exigir un rescate a cambio de la clave de descifrado.

👁️ Qué vigilar

  • IOC: The Gentlemen ha sido visto utilizando herramientas de phishing como Emotet y Trickbot.
  • Parches disponibles: Es importante mantener actualizados los sistemas y aplicaciones para evitar vulnerabilidades conocidas.
  • Recomendaciones: Las organizaciones deben implementar medidas de seguridad como la autenticación multifactor, la monitoreo de actividad anormal y la capacitación de empleados sobre seguridad cibernética.

🔗 Fuente consultada: Group-IB

Cibercrimen — El auge de los estafadores de rastreo de envíos falsos en MEA

🔍 Qué está pasando

  • Estafadores están enviando correos electrónicos de "rastreo de envíos" falsos a usuarios en el Medio Oriente y África (MEA) para robar información de pago.
  • Los correos electrónicos aparentan ser de compañías de envíos reales, lo que hace que los usuarios sean más propensos a caer en la trampa.
  • Se desconoce el CVE ID asociado a este ataque.

⚠️ Por qué importa

Este tipo de estafas puede tener un impacto significativo en las organizaciones y usuarios en la región, ya que pueden llevar a la pérdida de información financiera y a la exposición de datos confidenciales. Además, la confianza en las compañías de envíos y la infraestructura de pago puede verse comprometida.

⚙️ Cómo funciona

Los estafadores envían correos electrónicos que parecen ser de compañías de envíos reales, informando a los usuarios que su envío ha sido retrasado o que no ha sido entregado. Los correos electrónicos suelen contener un enlace que lleva a un sitio web falso, donde los usuarios son solicitados a proporcionar información de pago para "rescatar" su envío.

👁️ Qué vigilar

  • Vigilar los correos electrónicos que parezcan ser de compañías de envíos, especialmente aquellos que soliciten información de pago.
  • Verificar la autenticidad de los correos electrónicos antes de proporcionar cualquier información.
  • Actualizar los parches y software para evitar la explotación de vulnerabilidades conocidas.

🔗 Fuente consultada: Group-IB

Vulnerabilidad — Six Supply Chain Attack Groups to Watch Out for in 2026

🔍 Qué está pasando

  • Se han identificado seis grupos de ataque de cadena de suministro que están comprometiendo SaaS, software de código abierto y proveedores de servicios de mantenimiento (MSP) en 2026.
  • Estos grupos aprovechan vulnerabilidades en la cadena de suministro para acceder a sistemas y datos confidenciales.
  • La investigación se basa en inteligencia de amenazas recopilada por Group-IB.

⚠️ Por qué importa

La seguridad de la cadena de suministro es un tema cada vez más crítico para las organizaciones, ya que los atacantes pueden comprometer no solo a los proveedores directos, sino también a los proveedores de proveedores. Esto puede tener un impacto significativo en la confiabilidad y la seguridad de la información de las organizaciones, lo que puede provocar pérdidas financieras, daños a la reputación y problemas regulatorios.

⚙️ Cómo funciona

Los grupos de ataque de cadena de suministro identificados por Group-IB utilizan técnicas como la inyección de código malicioso en bibliotecas de paquetes de npm, la explotación de vulnerabilidades en software de código abierto y la creación de malware personalizado para comprometer sistemas y datos confidenciales. Estas tácticas permiten a los atacantes acceder a sistemas y datos confidenciales, incluso en organizaciones que creen tener una buena seguridad.

👁️ Qué vigilar

  • Vigilar las bibliotecas de paquetes de npm y otros repositorios de código abierto para detectar inyecciones de código malicioso.
  • Actualizar regularmente los paquetes y bibliotecas utilizadas en los proyectos para evitar la explotación de vulnerabilidades conocidas.
  • Implementar medidas de seguridad adicionales, como la autenticación multifactor y la vigilancia de la actividad de red, para detectar y responder a posibles ataques de cadena de suministro.

🔗 Fuente consultada: Group-IB

Cibercrimen — Brecha en cuenta de correo electrónico personal del director del FBI y ataque de Wiper a Stryker

🔍 Qué está pasando

  • Hackers vinculados a Irán accedieron al correo electrónico personal del director del FBI, Kash Patel.
  • Se filtraron fotos y documentos del correo electrónico del director.
  • El ataque fue realizado por el Handala Hack Team.

⚠️ Por qué importa

La brecha en la cuenta de correo electrónico del director del FBI es un ejemplo de cómo cualquier persona, incluyendo figuras públicas, puede ser vulnerable a ataques cibernéticos. Esto pone de relieve la importancia de implementar medidas de seguridad sólidas, como autenticación de dos factores y contraseñas seguras, en todas las cuentas. Además, la filtración de información confidencial puede tener consecuencias graves para la reputación y la seguridad de las personas involucradas.

⚙️ Cómo funciona

El ataque probablemente se realizó mediante phishing o una vulnerabilidad no patcheada en la plataforma de correo electrónico utilizada por el director del FBI. Los hackers pueden haber utilizado técnicas de ingeniería social para engañar al director del FBI para que revele sus credenciales de acceso o para que descargue malware en su dispositivo. Una vez accedidos al correo electrónico del director, los hackers pueden haber filtrado la información confidencial para publicarla en internet.

👁️ Qué vigilar

  • Revisa tus cuentas de correo electrónico y aplicaciones en línea para asegurarte de que no hayan sido comprometidas.
  • Asegúrate de que estés utilizando autenticación de dos factores y contraseñas seguras en todas tus cuentas.
  • Mantén tus sistemas y aplicaciones actualizados con los últimos parches de seguridad.

🔗 Fuente consultada: The Hacker News

Vulnerabilidad — Citrix NetScaler Under Active Recon for CVE-2026-3055 (CVSS 9.3) Memory Overread Bug

A recently disclosed critical security flaw impacting Citrix NetScaler ADC and NetScaler Gateway is witnessing active reconnaissance activity, according to Defused Cyber and watchTowr.
The vulnerability, CVE-2026-3055 (CVSS score: 9.3), refers to a case of insufficient input validation leading to me

🔗 Fuente consultada: The Hacker News

Vulnerabilidad — TA446 Deploys DarkSword iOS Exploit Kit in Targeted Spear-Phishing Campaign

Proofpoint has disclosed details of a targeted email campaign in which threat actors with ties to Russia are leveraging the recently disclosed DarkSword exploit kit to target iOS devices.
The activity has been attributed with high confidence to the Russian state-sponsored threat group known as TA446

🔗 Fuente consultada: The Hacker News

Vulnerabilidad — CISA Adds CVE-2025-53521 to KEV After Active F5 BIG-IP APM Exploitation

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Friday added a critical security flaw impacting F5 BIG-IP Access Policy Manager (APM) to its Known Exploited Vulnerabilities (KEV) catalog, citing evidence of active exploitation.
The vulnerability in question is CVE-2025-53521 (CVS

🔗 Fuente consultada: The Hacker News

Top comments (0)