SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

20 mar 2026

Segu-Info » , , » "Nuevas" amenazas y ataques de nuestro día a día

"Nuevas" amenazas y ataques de nuestro día a día

20 mar 2026, 9:42:00 a.m.   Comenta primero!
  , ,  

Todos los días surgen noticias extrañas sobre seguridad. Algunas son ingeniosas. Otras, descuidadas. Algunas caen en esa incómoda categoría de "sí... esto probablemente aparecerá en incidentes reales antes de lo que nos gustaría".

Se están perfeccionando viejos trucos. Nuevas investigaciones demuestran lo endebles que son ciertas suposiciones. Un par de cosas que te hacen detenerte a mitad de la lectura y pensar: "Espera... ¿de verdad hay gente que hace esto?".

También está la mezcla habitual de rincones extraños del ecosistema que hacen cosas raras: infraestructura que se comporta de forma demasiado profesional, herramientas que aparecen donde no deberían y algunos casos donde el eslabón más débil sigue siendo... gente haciendo clic donde probablemente no debería.

Algunas de las tácticas resultan demasiado prácticas. No se trata de grandes hackeos espectaculares, sino de trucos sencillos utilizados en el momento y lugar adecuados. El tipo de cosas que hacen suspirar a los expertos en seguridad porque... sí, probablemente funcione.

También se repite el tema habitual: herramientas y funciones que hacen exactamente lo que se supone que deben hacer... pero no para quienes las crearon. Si a esto le añadimos un poco de ingenio, de repente los flujos de trabajo normales empiezan a parecer rutas de ataque.

Abuso del consentimiento de OAuth

La empresa de seguridad en la nube Wiz ha advertido sobre los peligros que representan las aplicaciones OAuth maliciosas, destacando cómo la "fatiga del consentimiento" podría abrir la puerta a que los atacantes accedan a los datos confidenciales de una víctima al dar a sus aplicaciones maliciosas un nombre de apariencia legítima.

Al aceptar los permisos solicitados por una aplicación OAuth maliciosa, el usuario está "añadiendo" la aplicación del atacante al entorno de su empresa. "Una vez que se hace clic en ´Aceptar´, el proceso de inicio de sesión se completa. Pero en lugar de ir a una página de inicio normal, el token de acceso se envía a la URL de redireccionamiento del atacante. Con ese token, el atacante ahora tiene acceso a los archivos o correos electrónicos del usuario sin necesidad de saber su contraseña".

La empresa propiedad de Google también dijo que detectó una campaña a gran escala activa a principios de 2025 que involucró 19 aplicaciones OAuth distintas que suplantaban marcas conocidas como Adobe, DocuSign y OneDrive, y que tenía como objetivo a múltiples organizaciones. Proofpoint documentó los detalles de la actividad en agosto de 2025.

Robo de cuentas de mensajería

Actores maliciosos vinculados a Rusia están intentando infiltrarse en las cuentas de Signal y WhatsApp de funcionarios gubernamentales, periodistas y militares de todo el mundo con el objetivo de obtener acceso no autorizado, no mediante la vulneración del cifrado, sino simplemente engañando a las personas para que revelen sus códigos de verificación de seguridad o PIN.

"El método más frecuente utilizado por consiste en hacerse pasar por un chatbot de soporte de Signal para inducir a sus víctimas a divulgar sus códigos", informaron el Servicio de Inteligencia y Seguridad de la Defensa de los Países Bajos (MIVD) y el Servicio General de Inteligencia y Seguridad (AIVD). "Los atacantes pueden usar estos códigos para tomar el control de la cuenta del usuario. Otro método utilizado por los ciberdelincuentes rusos aprovecha la función de 'dispositivos vinculados' de Signal y WhatsApp".

Cabe destacar que Alemania emitió una advertencia similar el mes pasado. "Estos ataques se ejecutaron mediante sofisticadas campañas de phishing, diseñadas para engañar a los usuarios y obtener información (códigos SMS o PIN de Signal) para acceder a sus cuentas", declaró Signal. Google advirtió el año pasado que el uso generalizado de Signal entre soldados, políticos y periodistas ucranianos lo había convertido en un objetivo frecuente para las operaciones de espionaje rusas.

Violación de la nube mediante fallos de software

Google ha revelado que los ciberdelincuentes están explotando cada vez más las vulnerabilidades del software de terceros para infiltrarse en entornos de nube. "El lapso entre la divulgación de una vulnerabilidad y su explotación masiva se redujo drásticamente, de semanas a días", declaró la división de nube del gigante tecnológico.

"Si bien aumentaron las vulnerabilidades basadas en software, el acceso inicial por parte de los ciberdelincuentes mediante configuraciones incorrectas, que representó el 29,4% de los incidentes en el primer semestre de 2025, se redujo al 21% en el segundo semestre de 2025. De manera similar, la exposición de interfaces de usuario o API sensibles continuó su tendencia a la baja, pasando del 11,8% en el primer semestre al 4,9% en el segundo. Este descenso sugiere que las medidas de seguridad automatizadas dificultan la explotación de errores de identidad y configuración, y que los ciberdelincuentes se ven obligados a recurrir a vectores más sofisticados y costosos que se dirigen específicamente a las vulnerabilidades del software para infiltrarse".

En la mayoría de los ataques investigados por Google, el objetivo del atacante era la extracción silenciosa de grandes volúmenes de datos sin extorsión inmediata y con persistencia a largo plazo.

Campaña de malware PlugX

Check Point ha revelado campañas dirigidas contra entidades en Qatar que utilizan contenido relacionado con conflictos como señuelo para distribuir familias de malware como PlugX y Cobalt Strike.

La cadena de ataque utiliza archivos de acceso directo de Windows (LNK) contenidos en archivos ZIP, que, al abrirse, provocan la descarga de una carga útil de siguiente nivel desde un servidor comprometido. Esta carga útil muestra el documento señuelo mientras utiliza la carga lateral de DLL para desplegar PlugX. La actividad, detectada el 1 de marzo de 2026, se ha atribuido a Mustang Panda (también conocido como Camaro Dragon).

Se ha observado un segundo ataque que utiliza un archivo protegido con contraseña para ejecutar un cargador de Rust previamente no documentado, responsable del despliegue de Cobalt Strike mediante la carga lateral de DLL. "Este cargador explota el secuestro de la DLL nvdaHelperRemote.dll, un componente del lector de pantalla de código abierto NVDA. El abuso de este componente se había observado anteriormente solo en un número limitado de campañas vinculadas a China, incluyendo actividades alineadas con China asociadas a una campaña que distribuía la puerta trasera Voldemort, así como una oleada de ataques dirigidos a Filipinas y Myanmar en 2025", declaró Check Point.

Si bien este ataque se considera vinculado a China, no se ha atribuido a un actor de amenazas específico. "Los atacantes aprovecharon la guerra en curso en Oriente Medio para hacer que sus señuelos fueran más creíbles y atractivos, demostrando su capacidad para adaptarse rápidamente a los acontecimientos importantes y las noticias de última hora", afirmó la compañía.

Inicio de sesión en Windows resistente al phishing

Microsoft está implementando la compatibilidad con claves de acceso para Microsoft Entra en dispositivos Windows, añadiendo autenticación sin contraseña resistente al phishing mediante Windows Hello.

"Estamos introduciendo las claves de acceso de Microsoft Entra en Windows para habilitar el inicio de sesión resistente al phishing en recursos protegidos por Entra. Esta actualización permite a los usuarios crear claves de acceso vinculadas al dispositivo, almacenadas en el contenedor de Windows Hello, y autenticarse mediante los métodos de Windows Hello (reconocimiento facial, huella digital o PIN)", afirmó Microsoft. "También amplía la autenticación sin contraseña a los dispositivos Windows que no están unidos a Entra ni registrados, lo que ayuda a las organizaciones a reforzar la seguridad y reducir la dependencia de las contraseñas."

Sysmon integrado en Windows

Microsoft ha integrado de forma nativa la funcionalidad del Monitor del Sistema (Sysmon) directamente en Windows 11 y Windows Server 2025 como una característica integrada opcional desde la actualización de características de marzo de Windows 11 (KB5079473). Está deshabilitada por defecto.

La compañía anunció la integración en noviembre de 2025. "Ya no es necesario empaquetarlo dinámicamente; simplemente se puede habilitar mediante programación a través de PowerShell", afirmó Nick Carroll, gerente de respuesta a incidentes cibernéticos en Nightwing. "Junto con el anuncio simultáneo de Microsoft de que Windows Intune habilitará la aplicación de parches en caliente por defecto en mayo de 2026, esto reduce drásticamente la barrera de entrada para una visibilidad profunda de los endpoints y representa una gran ventaja operativa para los responsables de la seguridad de la red".

Campaña de phishing patrocinadas

Una campaña de phishing activa está dirigida a residentes canadienses (y posiblemente a personas en otros países) mediante dominios fraudulentos que suplantan la identidad de instituciones de confianza, como el Gobierno de Columbia Británica e Hydro-Québec, con el objetivo de obtener información personal y datos de tarjetas de crédito, según informó Flare.

La infraestructura de alojamiento detrás de esta campaña está vinculada a RouterHosting LLC (también conocida como Cloudzy), un proveedor que fue acusado públicamente en 2023 de prestar servicios a al menos 17 grupos de patrocinados por estados de países como Irán, China, Rusia y Corea del Norte.

Seguridad de enlaces privados en chats en Meta

Meta ha detallado el funcionamiento de la Protección Avanzada de Navegación (ABP) en Messenger, que protege la privacidad de los enlaces en los que se hace clic dentro de los chats, a la vez que advierte a los usuarios sobre enlaces maliciosos.

"En su configuración estándar, la Navegación Segura utiliza modelos en el dispositivo para analizar los enlaces maliciosos compartidos en los chats", explicó la compañía. Pero hemos ampliado esta función con una configuración avanzada llamada Protección Avanzada de Navegación (ABP), que utiliza una lista de vigilancia actualizada continuamente con millones de sitios web potencialmente maliciosos.

ABP emplea un método llamado recuperación de información privada (PIR) para implementar un esquema de coincidencia de URL que preserva la privacidad entre la consulta del cliente y el servidor que aloja la base de datos, junto con HTTP Oblivious, AMD SEV-SNP y Path ORAM para garantizar una mayor privacidad.

BlackSanta, el asesino de EDR

Una sofisticada campaña de ataque dirigida a departamentos de recursos humanos y reclutadores ha combinado ingeniería social con técnicas avanzadas de evasión para comprometer sigilosamente los sistemas, evitando los entornos de análisis y utilizando un módulo especializado diseñado para desactivar el software antivirus y de detección de endpoints.

El ataque comienza con un archivo ISO con temática de currículum, probablemente distribuido a través de correos electrónicos no deseados o de phishing, que luego descarga cargas útiles de la siguiente etapa, incluyendo una DLL que se ejecuta mediante carga lateral de DLL para recopilar información básica del sistema, iniciar la comunicación con un servidor remoto, realizar comprobaciones de sandbox, emplear filtrado geográfico para evitar ejecutarse en regiones restringidas y descargar cargas útiles adicionales, como BlackSanta EDR que utiliza controladores de kernel legítimos pero vulnerables para debilitar las defensas del sistema, una táctica conocida como Bring Your Own Vulnerable Driver (BYOVD).

"En lugar de funcionar como una simple carga útil auxiliar, BlackSanta actúa como un módulo dedicado de neutralización de defensas que identifica e interfiere programáticamente con los procesos de protección y monitoreo antes del despliegue de las etapas posteriores", dijo Aryaka. "Al atacar los motores de seguridad de los endpoints junto con los agentes de telemetría y registro, reduce directamente la generación de alertas, limita el registro de comportamiento y debilita la visibilidad de la investigación en los hosts comprometidos".

Actualmente se desconoce cuáles son las cargas útiles posteriores o qué tan extendida está la campaña. Las campañas de phishing no solo atacan a los equipos de recursos humanos, sino que también suplantan su identidad en los ataques. "Suplantar la identidad de recursos humanos ofrece muchas ventajas a los ciberdelincuentes. Las tareas de recursos humanos suelen ser obligatorias, por lo que los correos electrónicos de este departamento tienen autoridad", explicó Cofense. "Además, las tareas legítimas de recursos humanos pueden tener plazos estrictos, lo que un ciberdelincuente puede aprovechar para generar urgencia. Por último, los empleados esperan que se realicen las tareas habituales de recursos humanos".

Técnica de evasión de ZIP

Una nueva técnica, denominada Zombie ZIP, permite a los atacantes ocultar cargas útiles en archivos comprimidos especialmente diseñados que pueden eludir las herramientas de seguridad. "Los encabezados ZIP mal formados pueden provocar que los antivirus y el software de detección y respuesta de endpoints (EDR) generen falsos negativos", declaró el Centro de Coordinación CERT (CERT/CC).

"A pesar de la presencia de encabezados mal formados, algunos programas de extracción aún pueden descomprimir el archivo ZIP, lo que permite la ejecución de cargas útiles potencialmente maliciosas tras la descompresión del archivo".

La vulnerabilidad, identificada como CVE-2026-0866, ha sido bautizada como Zombie Zip por el investigador Christopher Aziz, quien la descubrió. La técnica fue demostrada por Chris Aziz, investigador de seguridad de Bombadil Systems.

Agente de IA vulnera la plataforma de McKinsey

Investigadores de CodeWall, una startup de seguridad ofensiva autónoma, afirmaron que su agente de IA hackeó Lili, la plataforma interna de IA de McKinsey, y obtuvo acceso completo de lectura y escritura a la plataforma de chatbot en tan solo dos horas.

Esto permitió el acceso a toda la base de datos de producción, incluyendo 46,5 millones de mensajes de chat sobre estrategia, fusiones y adquisiciones, y relaciones con clientes, todo en texto plano, junto con 728.000 archivos que contenían datos confidenciales de clientes, 57.800 cuentas de usuario y 95 mensajes del sistema que controlaban el comportamiento de la IA. Este desarrollo indica que las herramientas de IA con agentes son cada vez más efectivas para llevar a cabo ciberataques.

El agente informó haber encontrado más de 200 puntos finales totalmente expuestos, de los cuales 22 no estaban protegidos. Uno de estos puntos finales, que escribía consultas de búsqueda de usuarios en la base de datos, sufrió una inyección SQL que podría haber permitido acceder a datos confidenciales y modificar silenciosamente los mensajes del sistema. McKinsey ya ha solucionado el problema. No hay evidencia de que la vulnerabilidad haya sido explotada en la práctica.

Malware de ingeniería social en Teams

Atacantes contactaron a empleados de organizaciones financieras y de salud a través de Microsoft Teams para engañarlos y obtener acceso remoto mediante Asistencia Rápida e implementar un nuevo malware llamado A0Backdoor.

El modus operandi, que coincide con el de Storm-1811 (también conocido como STAC5777 o Blitz Brigantine), utiliza ingeniería social para ganarse la confianza del empleado, primero inundando su bandeja de entrada con spam y luego contactándolo a través de Teams, haciéndose pasar por personal de TI de la empresa y ofreciéndole ayuda con el problema.

Para obtener acceso al equipo objetivo, el atacante le indica al usuario que inicie una sesión remota de Quick Assist, que se utiliza para desplegar un conjunto de herramientas maliciosas que incluye paquetes MSI firmados digitalmente, algunos de los cuales estaban alojados en el almacenamiento en la nube de Microsoft vinculado a cuentas personales. Los instaladores sirven como conducto para lanzar una DLL que, a su vez, descifra y ejecuta un shellcode responsable de realizar comprobaciones anti-análisis y desplegar A0Backdoor, que establece contacto con un servidor remoto mediante tunelización DNS para recibir comandos. La actividad ha estado activa desde al menos agosto de 2025 hasta finales de febrero de 2026.

Red de desinformación industrializada

La operación de influencia rusa conocida como Doppelgänger ha sido descrita como industrializada y prioriza la resiliencia de la infraestructura, la escalabilidad y la continuidad operativa por encima de la visibilidad a corto plazo.

"En lugar de funcionar como una colección dispersa de sitios web falsificados o medios de propaganda transitorios, la red presenta las características de un aparato de influencia coordinado y gestionado profesionalmente", afirmó DomainTools. "En esencia, el ecosistema se basa en la suplantación sistemática de marcas de medios ejecutada a gran escala".

Las campañas lanzadas como parte de la operación muestran una microsegmentación geográfica deliberada en los estados miembros de la Unión Europea y Estados Unidos.

Disputa entre el Pentágono y Anthopic sobre IA

Anthropic ha presentado una demanda para impedir que el Pentágono la incluya en una lista negra de seguridad nacional, alegando que la designación de riesgo para la cadena de suministro fue ilegal y violó sus derechos a la libertad de expresión y al debido proceso.

Esto ocurre después de que el Pentágono calificara formalmente a la empresa de inteligencia artificial (IA) como un riesgo para la cadena de suministro tras su negativa a eliminar las restricciones que impiden el uso de su tecnología para armas autónomas o vigilancia interna. En su propio comunicado, Anthropic afirmó: Durante los últimos días, hemos mantenido conversaciones productivas con el Departamento de Guerra, tanto sobre cómo podríamos prestarle nuestros servicios respetando nuestras dos excepciones específicas, como sobre cómo garantizar una transición sin contratiempos en caso de que esto no sea posible".

Sin embargo, el Pentágono declaró que no hay ninguna negociación activa con Anthropic. Asimismo, reiteró que el departamento "no realiza ni realizará vigilancia masiva interna". Este acontecimiento se produce tras el acuerdo alcanzado por OpenAI con el Departamento de Defensa de EE.UU., en el que su director ejecutivo, Sam Altman, declaró que el contrato de defensa incluiría protecciones contra las mismas líneas rojas que Anthropic había exigido.

Posteriormente, la empresa modificó su contrato para garantizar que "el sistema de IA no se utilice intencionadamente para la vigilancia interna de ciudadanos estadounidenses". El director ejecutivo de Anthropic, Dario Amodei, calificó el mensaje de OpenAI de "teatro de la seguridad mentiras descaradas".

Malware SEO de GitHub

Una nueva campaña de robo de información que distribuye BoryptGrab aprovecha una red de más de 100 repositorios públicos de GitHub que afirman ofrecer herramientas de software gratuitas, utilizando palabras clave de optimización para motores de búsqueda (SEO) para atraer a las víctimas.

La cadena de infección, que consta de varias etapas, comienza cuando se descarga un archivo ZIP desde una página de descarga falsa de GitHub. BoryptGrab puede recopilar datos del navegador, información de monederos de criptomonedas e información del sistema. También es capaz de capturar capturas de pantalla, recopilar archivos comunes y extraer información de Telegram, tokens de Discord y contraseñas.

Como parte del ataque, se distribuye una puerta trasera llamada TunnesshClient que establece un túnel SSH inverso para comunicarse con el atacante y actúa como un proxy SOCKS5. El archivo ZIP más antiguo data de finales de 2025. Se ha descubierto que ciertas versiones de la campaña distribuyen Vidar Stealer o un descargador de Golang llamado HeaconLoad, que luego descarga y ejecuta cargas útiles adicionales.

Campaña de RAT contra la India

El grupo de ciberdelincuentes vinculado a Pakistán, conocido como Transparent Tribe, ha sido responsable de una nueva serie de ataques dirigidos a entidades gubernamentales indias para infectar sus sistemas con un RAT que permite la ejecución remota de comandos, la monitorización y terminación de procesos, la ejecución remota de programas, la carga y descarga de archivos, la enumeración de archivos, la captura de pantallas y la monitorización de pantalla en tiempo real.

"La campaña se basa principalmente en técnicas de ingeniería social, distribuyendo un archivo ZIP malicioso disfrazado de documentos relacionados con exámenes para persuadir a los destinatarios a interactuar con los archivos", declaró CYFIRMA. "Tras la extracción, el archivo descarga archivos de acceso directo engañosos junto con un complemento de PowerPoint habilitado para macros, que en conjunto inician la cadena de infección. Los ciberdelincuentes emplean múltiples capas de ofuscación y mecanismos de ejecución redundantes para aumentar la probabilidad de éxito en la intrusión y, al mismo tiempo, reducir la probabilidad de que el usuario sospeche".

Malware de phishing firmado

Microsoft advierte sobre múltiples campañas de phishing que utilizan señuelos de reuniones de trabajo, archivos PDF adjuntos y el uso indebido de binarios legítimos para distribuir malware firmado. La actividad, observada en febrero de 2026, no se ha atribuido a ningún actor o grupo de amenazas específico.

"Los correos electrónicos de phishing incitaban a los usuarios a descargar ejecutables maliciosos que se hacían pasar por software legítimo". Los archivos estaban firmados digitalmente con un certificado de Validación Extendida (EV) emitido a TrustConnect Software PTY LTD. Una vez ejecutadas, las aplicaciones instalaban herramientas de monitorización y gestión remota (RMM) que permitían al atacante obtener acceso persistente a los sistemas comprometidos. Algunas de las herramientas RMM desplegadas incluyen ScreenConnect, Tactical RMM y MeshAgent. El uso de la marca TrustConnect fue revelado por Proofpoint la semana pasada.

Además, el despliegue de múltiples marcos RMM en una sola intrusión indica una estrategia deliberada para garantizar el acceso continuo y la resiliencia operativa, incluso si se detecta o elimina un mecanismo de acceso. "Estas campañas demuestran cómo se puede abusar de marcas conocidas y firmas digitales de confianza para eludir la sospecha del usuario y obtener acceso inicial a entornos empresariales", añadió Microsoft.

Aumento del 12% en vulnerabilidades y ransomware

Flashpoint informó haber catalogado 44.509 vulnerabilidades en 2025, un aumento del 12% interanual. De estas, se confirmó que 466 habían sido explotadas. Casi el 33%, o 14.593 vulnerabilidades, tenían código de explotación disponible públicamente.

Los ataques de ransomware también aumentaron un 53% interanual en 2025, con un total de 8.835 ataques registrados. Los principales grupos de RaaS por volumen de ataques en 2025 fueron Qilin con 1.213 ataques, Akira con 1.044, Cl0p con 529, Safepay con 452 y Play con 395. La industria manufacturera fue la más atacada con 1.564 ataques, seguida de la tecnología con 987 y la atención médica con 905. Estados Unidos representó aproximadamente el 53% de las organizaciones víctimas identificadas.

Botnet RondoDox explota 174 vulnerabilidades

Se ha descubierto que la botnet DDoS RondoDox implementó 174 exploits diferentes entre el 25 de mayo de 2025 y el 16 de febrero de 2026, alcanzando un pico de 15.000 intentos de explotación en un solo día entre diciembre de 2025 y enero de 2026.

Se cree que los atacantes utilizan direcciones IP residenciales comprometidas como infraestructura de alojamiento. "Los operadores de RondoDox han estado empleando una estrategia de ataque masivo, enviando múltiples exploits al mismo punto final con la esperanza de que alguno funcione", afirmó Bitsight.

De las 174 vulnerabilidades diferentes, 15 cuentan con una prueba de concepto (PoC) pública, pero sin CVE, y 11 no tienen código PoC. RondoDox destaca por su rápida incorporación de vulnerabilidades recientemente descubiertas, en algunos casos incluyendo la prueba de concepto incluso antes de la publicación del CVE (por ejemplo, CVE-2025-62593).

Ataque de keylogger solo en memoria

Se están utilizando correos electrónicos de phishing con señuelos de órdenes de compra para distribuir un ejecutable dentro de archivos RAR. Una vez ejecutado, el binario extrae y ejecuta VIP Keylogger en memoria sin acceder al disco.

"Este keylogger captura cookies del navegador, inicios de sesión, datos de tarjetas de crédito, autocompletado, URL visitadas, descargas o sitios web más visitados desde los archivos correspondientes en cada una de las carpetas designadas de la aplicación", afirmó K7 Labs. También es capaz de atacar una amplia gama de navegadores web, robar cuentas de correo electrónico de Outlook, Foxmail, Thunderbird y Postbox, y recopilar tokens de Discord.

Phishing protegido por Cloudflare

Se ha detectado una nueva campaña de robo de credenciales de Microsoft 365 que abusa de los servicios de Cloudflare para retrasar la detección y la elaboración de perfiles de riesgo. El sistema de control está diseñado para garantizar que el visitante sea un objetivo real y no un escáner de seguridad o un bot.

"La campaña implementó múltiples técnicas anti-detección, incluyendo la verificación humana de Cloudflare, listas de bloqueo de IP predefinidas, comprobaciones de agente de usuario y múltiples sitios y redirecciones", informó DomainTools.

Fuente: THN



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!