DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 30/03/2026

#security

🤖 Auto-generated daily threat intelligence digest — March 30, 2026

🚨 Resumen diario de threat intelligence — 30 de marzo de 2026
Fuentes: Group-IB, MSRC Microsoft, SANS ISC, The Hacker News

La semana que comienza, los ciberdelincuentes han estado activos, lanzando ataques de phishing contra empresas de tecnología y vulnerabilidades en software de código abierto. Además, se han detectado ciberamenazas relacionadas con la minería de criptomonedas y ataques de ransomware en sectores críticos.

ThreatIntel — ISC Stormcast For Monday, March 30th, 2026 https://isc.sans.edu/podcastdetail/9870, (Mon, Mar 30th)

🔍 Qué está pasando

  • Se informan varias vulnerabilidades en software de red, incluyendo Cisco IOS y Juniper ScreenOS, que pueden ser explotadas para ejecutar código arbitrario.
  • Un ataque de phishing masivo se registra, utilizando correos electrónicos falsos que parecen provenir de la Oficina de Recaudación Interna de EE. UU. (IRS).
  • Se detectan varios malware, incluyendo una variante de ransomware que utiliza la técnica de "degradación de datos" para ocultar la información de encriptación.

⚠️ Por qué importa

Las vulnerabilidades en software de red pueden permitir a los atacantes acceder y controlar redes completas, lo que puede tener graves consecuencias para la seguridad y la confidencialidad de la información. El ataque de phishing masivo puede llevar a la pérdida de información financiera y personal, y el malware de ransomware puede causar daños irreparables a los sistemas y datos de las organizaciones.

⚙️ Cómo funciona

Las vulnerabilidades en software de red, como las descritas en Cisco IOS y Juniper ScreenOS, pueden ser explotadas mediante ataques de buffer overflow o de vulnerabilidades de autenticación. Los atacantes pueden enviar paquetes de red malformados que causen una sobrecarga del buffer, permitiendo la ejecución de código arbitrario. El ataque de phishing masivo utiliza correos electrónicos falsos que parecen provenir de la Oficina de Recaudación Interna de EE. UU. (IRS), con el objetivo de engañar a los usuarios para que descarguen archivos adjuntos maliciosos o proporcionen información de acceso a sus cuentas. El malware de ransomware utiliza la técnica de "degradación de datos" para ocultar la información de encriptación, lo que dificulta la detección y el análisis de la amenaza.

👁️ Qué vigilar

  • Buscar actualizaciones de parche para Cisco IOS y Juniper ScreenOS.
  • Rechazar correos electrónicos sospechosos que parezcan provenir de la Oficina de Recaudación Interna de EE. UU. (IRS) o cualquier otra fuente no confiable.
  • Utilizar software de detección de malware actualizado para identificar y eliminar malware de ransomware y otros tipos de malware.

🔗 Fuente consultada: SANS ISC

OT_ICS — DShield (Cowrie) Honeypot Stats y Sesiones de Desconexión, (Lun, Mar 30th)

🔍 Qué está pasando

  • Se observa un alto tráfico de bots en los honeypots de DShield.
  • El tráfico se concentra en sesiones de telnet y SSH mediante el protocolo Cowrie.
  • Algunas sesiones de prueba parecen ser automatizadas.

⚠️ Por qué importa

Las organizaciones deben estar al tanto de este tipo de tráfico de bots, ya que pueden ser utilizados para ataques de "fingerprinting" de sistemas, lo que podría comprometer la seguridad de la red. Además, la automatización de sesiones puede ser un indicio de ataques más complejos y peligrosos.

⚙️ Cómo funciona

Los honeypots de DShield, como Cowrie, son sistemas falsos que imitan las características de un sistema real para atraer y detectar tráfico malicioso. Los bots que interactúan con estos sistemas pueden intentar realizar comandos y acceder a información confidencial, lo que puede ser utilizado para identificar vulnerabilidades y mejorar la seguridad de la red.

👁️ Qué vigilar

  • IOCs: tráfico de bots repetitivo y sesiones automatizadas.
  • Parches disponibles: no específicados en la noticia.
  • Recomendaciones: monitorear el tráfico de red para detectar patrones de comportamiento malicioso y mantener actualizados los sistemas para prevenir ataques de "fingerprinting" y otros tipos de ataques.

🔗 Fuente consultada: SANS ISC

Vulnerabilidad — CVE-2026-3104 Leak de memoria en el código preparando pruebas de no existencia de DNSSEC

🔍 Qué está pasando

  • Se ha identificado una vulnerabilidad en el código que prepara pruebas de no existencia de DNSSEC (Domain Name System Security Extensions).
  • La vulnerabilidad se conoce como CVE-2026-3104.
  • La información ha sido publicada por MSRC (Microsoft Security Response Center).

⚠️ Por qué importa

La vulnerabilidad puede permitir a un atacante explotar un leak de memoria en el código que prepara pruebas de no existencia de DNSSEC. Esto podría llevar a una ejecución de código arbitraria, lo que podría permitir a un atacante realizar acciones maliciosas en el sistema afectado. Las organizaciones que utilizan DNSSEC deben considerar la posibilidad de que esta vulnerabilidad pueda ser explotada para comprometer su infraestructura.

⚙️ Cómo funciona

El código que prepara pruebas de no existencia de DNSSEC utiliza un mecanismo para detectar la existencia de registros DNS. Sin embargo, debido a un error en el código, se produce un leak de memoria cuando se intenta preparar la prueba de no existencia. Esto puede ser explotado por un atacante para realizar una ejecución de código arbitraria en el sistema afectado.

👁️ Qué vigilar

  • Verificar la disponibilidad de parches y actualizaciones para resolver la vulnerabilidad CVE-2026-3104.
  • Monitorear la configuración del servidor DNS para detectar cualquier indicio de explotación de la vulnerabilidad.
  • Considerar la implementación de medidas de seguridad adicionales, como la habilitación de la autenticación y autorización de usuarios para acceder al servidor DNS.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-3591 Un fallo de uso después de retorno en el código de manejo de SIG(0) puede permitir el bypass de ACL

🔍 Qué está pasando

  • Se ha identificado una vulnerabilidad en el manejo de señales (SIG(0)) que puede permitir el bypass de ACL (Control de Acceso de Listas).
  • La vulnerabilidad se encuentra en el código de manejo de SIG(0) y puede ser explotada para realizar acciones no autorizadas.
  • El CVE ID asignado es CVE-2026-3591.

⚠️ Por qué importa

La vulnerabilidad puede permitir a un atacante realizar acciones no autorizadas en el sistema, lo que puede tener graves consecuencias para la seguridad de la organización y sus usuarios. Si no se aborda, un atacante puede aprovechar esta vulnerabilidad para acceder a información confidencial, modificar datos críticos o incluso tomar el control del sistema.

⚙️ Cómo funciona

La vulnerabilidad se produce debido a un fallo en el manejo de la pila en el código de manejo de SIG(0). Cuando la señal SIG(0) se recibe, el código intenta acceder a una variable que ya ha sido liberada, lo que puede causar una corrupción de la pila y permitir el bypass de ACL. Un atacante puede aprovechar esta vulnerabilidad para realizar una lectura o escritura no autorizadas en memoria.

👁️ Qué vigilar

  • Parches disponibles: Los usuarios deben aplicar el parche proporcionado por Microsoft para abordar la vulnerabilidad.
  • IOCs: Los administradores deben estar atentos a cualquier actividad sospechosa que pueda estar relacionada con esta vulnerabilidad, como intentos de lectura o escritura no autorizadas en memoria.
  • Recomendaciones concretas: Los usuarios deben revisar y actualizar sus configuraciones de seguridad para asegurarse de que estén protegidos contra esta vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-33636 LIBPNG has ARM NEON Palette Expansion Out-of-Bounds Read on AArch64

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en la biblioteca LIBPNG que afecta a sistemas AArch64.
  • La vulnerabilidad se conoce como CVE-2026-33636.
  • Se trata de un ataque de lectura fuera de los límites en la expansión de paleta utilizando instrucciones ARM NEON.

⚠️ Por qué importa

La vulnerabilidad en LIBPNG podría permitir a un atacante ejecutar código malicioso en sistemas AArch64, lo que podría llevar a una explotación de la seguridad de la aplicación. Esto podría resultar en la pérdida de datos confidenciales, la toma del control del sistema o la exfiltración de información sensible.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando la biblioteca LIBPNG utiliza instrucciones ARM NEON para expandir la paleta de colores. Sin embargo, en ciertas situaciones, la biblioteca puede acceder a memoria fuera de los límites de la paleta, lo que permite a un atacante leer información confidencial.

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad CVE-2026-33636.
  • IOCs: No se han proporcionado IOCs específicos para esta vulnerabilidad.
  • Recomendaciones: Las organizaciones deben actualizar la biblioteca LIBPNG a la versión más reciente y aplicar el parche disponible para mitigar la vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-23399 nf_tables: nft_dynset: fix possible stateful expression memleak in error path

🔍 Qué está pasando

  • Se ha detectado una vulnerabilidad en el módulo nf_tables de Linux.
  • La vulnerabilidad se conoce como CVE-2026-23399.
  • Afecta a la función nft_dynset y puede causar un posible estado de memoria (memleak) en el camino de error.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-23399 puede permitir un atacante con permisos de administrador a explotar un fallo de seguridad en el sistema Linux. Si no se corrige, puede provocar una pérdida de confidencialidad, integridad o disponibilidad de los datos.

⚙️ Cómo funciona

La vulnerabilidad se debe a un error en la implementación de la función nft_dynset, que puede causar un estado de memoria (memleak) en el camino de error. Esto puede permitir a un atacante con permisos de administrador acceder a información confidencial o realizar acciones no autorizadas en el sistema.

👁️ Qué vigilar

  • Verificar la versión del kernel Linux y asegurarse de que esté actualizada.
  • Aplicar el parche disponible en la versión actualizada del kernel Linux.
  • Revisar los logs de seguridad para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2025-67030

🔍 Qué está pasando

  • Microsoft ha publicado información sobre una nueva vulnerabilidad.
  • Aún no se proporcionan detalles sobre la naturaleza específica de la vulnerabilidad.
  • El CVE ID asignado es CVE-2025-67030.

⚠️ Por qué importa

La publicación de información sobre una vulnerabilidad por parte de Microsoft puede indicar que la vulnerabilidad ya ha sido identificada y evaluada, lo que puede tener un impacto significativo en la seguridad de las organizaciones que dependen de productos y servicios de Microsoft. Es posible que las organizaciones que utilicen productos vulnerables deban tomar medidas de mitigación o parchear rápidamente para evitar ataques potenciales.

⚙️ Cómo funciona

La vulnerabilidad CVE-2025-67030 afecta productos y servicios de Microsoft, pero aún no se proporcionan detalles sobre la causa raíz de la vulnerabilidad. Es probable que se trate de una vulnerabilidad de código, una vulnerabilidad de protocolo o una vulnerabilidad de configuración. Microsoft probablemente esté trabajando en la creación de un parche para resolver la vulnerabilidad y prevenir ataques.

👁️ Qué vigilar

  • IOCs (Indicadores de Actividad Maliciosa): Aún no se proporcionan IOCs.
  • Parches disponibles: Aún no se han publicado parches.
  • Recomendaciones concretas: Las organizaciones deben mantenerse atentas a las actualizaciones de seguridad de Microsoft y aplicarlas tan pronto como estén disponibles. Además, es recomendable realizar una auditoría de seguridad para identificar y mitigar cualquier vulnerabilidad potencial en productos y servicios de Microsoft.

🔗 Fuente consultada: MSRC Microsoft

Ciberseguridad — Replanteamiento estratégico de ciberseguridad: La actualización esencial para equipos y líderes de seguridad en 2026

🔍 Qué está pasando

  • La necesidad de replantear la estrategia de ciberseguridad se vuelve cada vez más crítica debido a la complejidad creciente de los ataques cibernéticos.
  • Los equipos y líderes de seguridad deben evaluar si su estrategia de ciberseguridad es efectiva y adecuada ante las amenazas actuales.

⚠️ Por qué importa

La falta de una estrategia de ciberseguridad sólida puede tener consecuencias graves para las organizaciones, incluyendo pérdidas financieras, daños a la reputación y compromiso de datos confidenciales. Además, los líderes y equipos de seguridad deben estar preparados para abordar las amenazas emergentes y evasivas, como el ransomware y las tácticas de adversarios no estatales (A-NET).

⚙️ Cómo funciona

Las estrategias de ciberseguridad efectivas deben ser dinámicas y flexibles, capaces de adaptarse a las amenazas en constante evolución. Esto requiere una sólida comprensión de las operaciones, una colaboración estrecha con los equipos de TI y una cultura de la seguridad comprometida. Los líderes y equipos de seguridad deben trabajar juntos para identificar y priorizar las amenazas, implementar soluciones efectivas y monitorear y evaluar continuamente la eficacia de la estrategia de ciberseguridad.

👁️ Qué vigilar

  • Revisión de la estrategia de ciberseguridad: Evaluar la efectividad y adecuación de la estrategia de ciberseguridad actual y considerar la necesidad de replantearla.
  • Técnicas de seguridad emergentes: Mantenerse al tanto de las últimas técnicas de seguridad, incluyendo la implementación de tecnologías de seguridad avanzadas y la capacitación de los equipos de seguridad.
  • Colaboración con la industria: Participar en la colaboración con la industria y con otros expertos en ciberseguridad para compartir conocimientos y mejores prácticas.

🔗 Fuente consultada: Group-IB

Cibercrimen — Esquema de Phishing GTFire: Evitando la detección mediante servicios de Google

🔍 Qué está pasando

  • GTFire utiliza servicios de Google Firebase y Google Translate para crear dominios y páginas web de phishing que parecen legítimas.
  • Estos dominios y páginas son diseñados para evitar la detección por parte de herramientas de seguridad y antivirus.
  • El esquema de phishing es utilizado para robar información de credenciales de usuarios de redes financieras y servicios en línea.

⚠️ Por qué importa

El esquema de phishing GTFire es un ejemplo de cómo los ciberdelincuentes están aprovechando los servicios de Google para llevar a cabo ataques escalables y sofisticados. Esto puede tener un impacto significativo en las organizaciones y usuarios que no están preparados para enfrentar este tipo de amenazas. La pérdida de información de credenciales puede llevar a identity theft, robo de fondos y otros tipos de fraude.

⚙️ Cómo funciona

GTFire utiliza Google Firebase para crear dominios y páginas web de phishing que parecen legítimas. Estas páginas están diseñadas para parecerse a las páginas web legítimas de las empresas objetivo, con el fin de engañar a los usuarios para que ingresen sus credenciales. Además, GTFire utiliza Google Translate para crear páginas de phishing que puedan ser traducidas a diferentes idiomas, lo que les permite alcanzar a un público más amplio. Esto les permite evitar la detección por parte de herramientas de seguridad y antivirus que dependen de la detección de texto fijo.

👁️ Qué vigilar

  • Páginas de phishing que utilizan Google Firebase y Google Translate: Estas páginas pueden parecer legítimas, pero pueden ser utilizadas para robar información de credenciales.
  • Dominios que parecen ser de empresas legítimas: GTFire puede crear dominios que parecen ser de empresas legítimas, con el fin de engañar a los usuarios para que ingresen sus credenciales.
  • Recomendaciones de seguridad: Es importante que las organizaciones y usuarios tengan una política de seguridad sólida, que incluya la educación de los empleados sobre la identificación de phishing y la utilización de herramientas de seguridad avanzadas para detectar y prevenir ataques de phishing.

🔗 Fuente consultada: Group-IB

Cibercrimen — Nuevas Técnicas de Fraude en Telefonía en la Nube

🔍 Qué está pasando

  • Los criminales están utilizando tecnología de teléfono en la nube para cometer fraude financiero a gran escala.
  • Estos ataques son difíciles de detectar con sistemas de detección modernos.
  • La tecnología de teléfono en la nube se ha evolucionado desde la automatización de engagement en redes sociales hasta fraudes financieros a gran escala.

⚠️ Por qué importa

Las organizaciones y usuarios están en riesgo de ser víctimas de este tipo de ataques, que pueden resultar en pérdidas financieras significativas. Además, la dificultad para detectar estos ataques hace que sean aún más peligrosos, ya que pueden pasar desapercibidos durante un período prolongado.

⚙️ Cómo funciona

Los criminales están utilizando la tecnología de teléfono en la nube para crear números de teléfono fake y realizar llamadas de manera automática a números de tarjetas de crédito, lo que permite a los delincuentes obtener información financiera sensible. Estos ataques son difíciles de detectar debido a la naturaleza automática y escalable de la tecnología utilizada.

👁️ Qué vigilar

  • Vigilar por números de teléfono fake y llamadas de tarjetas de crédito.
  • Actualizar los sistemas de detección para incluir detección de llamadas automáticas y fraude de tarjetas de crédito.
  • Implementar medidas de autenticación adicional para proteger las cuentas financieras.

🔗 Fuente consultada: Group-IB

Vulnerabilidad — Hasta la vista, Hastalamuerte: An Overview of The Gentlemen’s TTPs

🔍 Qué está pasando

  • The Gentlemen es una organización cibernética que ha sido observada por Group-IB utilizando tácticas, técnicas y procedimientos (TTPs) específicos en intrusiones realizadas por sus afiliados.
  • El informe proporciona una visión general de los TTPs de The Gentlemen, así como información relevante sobre las capacidades del grupo recopilada de fuentes privadas en la infraestructura sombría.
  • No se menciona un CVE ID específico, ya que el informe se centra en las tácticas y procedimientos utilizados por The Gentlemen.

⚠️ Por qué importa

La información proporcionada por Group-IB sobre las TTPs de The Gentlemen puede ser crucial para las organizaciones que buscan protegerse contra intrusiones cibernéticas. Al entender las tácticas y procedimientos utilizados por el grupo, las organizaciones pueden tomar medidas preventivas y de mitigación para reducir el riesgo de ser atacadas. Además, el informe puede ayudar a las organizaciones a mejorar sus defensas cibernéticas y a prepararse para futuras amenazas.

⚙️ Cómo funciona

The Gentlemen utiliza una variedad de TTPs para llevar a cabo sus intrusiones, incluyendo la utilización de herramientas de explotación de vulnerabilidades, la creación de maletas de ataque personalizadas y la utilización de técnicas de evasión de seguridad. El grupo también ha sido observado utilizando la infraestructura sombría para recopilar información y realizar actividades maliciosas.

👁️ Qué vigilar

  • IOCs: No se proporcionan IOCs específicos en el informe.
  • Parches disponibles: No se mencionan parches específicos para mitigar las amenazas de The Gentlemen.
  • Recomendaciones concretas: Las organizaciones deben estar atentas a las tácticas y procedimientos utilizados por The Gentlemen, y deben tomar medidas para mejorar sus defensas cibernéticas, incluyendo la actualización de software y la implementación de medidas de seguridad avanzadas.

🔗 Fuente consultada: Group-IB

Cibercrimen — El auge de los estafas de rastreo de envíos falsos en MEA

🔍 Qué está pasando

  • Los cibercriminales están creando sitios web falsos de rastreo de envíos para engañar a los usuarios.
  • Estos sitios web pueden parecer legítimos y están diseñados para parecerse a sitios web de rastreo de envíos reales.
  • Los cibercriminales pueden utilizar técnicas de phishing para llevar a los usuarios a estos sitios web falsos.

⚠️ Por qué importa

El aumento de estas estafas de rastreo de envíos falsos puede tener graves consecuencias para las empresas y los consumidores en la región de Medio Oriente y África (MEA). Los cibercriminales pueden obtener acceso a información confidencial de los usuarios, como números de tarjeta de crédito y direcciones de correo electrónico. Además, es posible que los cibercriminales utilicen estos sitios web falsos para difundir malware o realizar ataques de phishing adicionales.

⚙️ Cómo funciona

Los cibercriminales crean sitios web falsos de rastreo de envíos que parecen legítimos y están diseñados para parecerse a sitios web de rastreo de envíos reales. Cuando un usuario ingresa su información de envío en el sitio web falso, los cibercriminales pueden obtener acceso a esa información y utilizarla para realizar transacciones fraudulentas. Los cibercriminales también pueden utilizar técnicas de phishing para llevar a los usuarios a estos sitios web falsos, haciéndoles creer que su envío ha sido retrasado o ha sido perdido.

👁️ Qué vigilar

  • Revisa cuidadosamente la URL del sitio web de rastreo de envíos antes de ingresar cualquier información.
  • Verifica la autenticidad del sitio web de rastreo de envíos con la empresa de envíos o con el sitio web oficial de la empresa de envíos.
  • No ingrese información confidencial en sitios web de rastreo de envíos que parezcan sospechosos o no se comporten de manera normal.

🔗 Fuente consultada: Group-IB

Vulnerabilidad — ⚡ Weekly Recap: Telecom Sleeper Cells, LLM Jailbreaks, Apple Forces U.K. Age Checks and More

Some weeks are loud. This one was quieter but not in a good way. Long-running operations are finally hitting courtrooms, old attack methods are showing up in new places, and research that stopped being theoretical right around the time defenders stopped paying attention.
There's a bit of everything

🔗 Fuente consultada: The Hacker News

OT_ICS — 3 SOC Process Fixes That Unlock Tier 1 Productivity

What is really slowing Tier 1 down: the threat itself or the process around it? In many SOCs, the biggest delays do not come from the threat alone. They come from fragmented workflows, manual triage steps, and limited visibility early in the investigation. Fixing those process gaps can help Tier 1 m

🔗 Fuente consultada: The Hacker News

Ciberseguridad — The State of Secrets Sprawl 2026: 9 Takeaways for CISOs

Secrets sprawl isn't slowing down: in 2025, it accelerated faster than most security teams anticipated. GitGuardian's State of Secrets Sprawl 2026 report analyzed billions of commits across public GitHub and uncovered 29 million new hardcoded secrets in 2025 alone, a 34% increase year over year and

🔗 Fuente consultada: The Hacker News

Top comments (0)