Entradas de blog de ' 2026 ' ' marzo '

iOS bajo ataque: vulnerabilidades activas que no requieren clic

En ciberseguridad, hay un punto de inflexión claro: cuando una vulnerabilidad deja de ser teórica y comienza a ser explotada activamente, el nivel de riesgo cambia por completo. Eso es precisamente lo que está ocurriendo hoy con recientes fallas en dispositivos iOS, identificadas por Apple. Lo que hace especialmente preocupante este escenario no es solo la complejidad técnica de las vulnerabilidades, sino la forma en que están siendo aprovechadas:

Ataques que no requieren interacción directa del usuario, capaces de ejecutarse simplemente al navegar por un sitio comprometido. Este tipo de amenazas marca una evolución importante en el panorama actual, donde los dispositivos móviles tradicionalmente percibidos como más seguros se están convirtiendo en un nuevo vector crítico de entrada para atacantes, tanto en entornos personales como corporativos.

¿Qué está pasando realmente?

Se han identificado múltiples vulnerabilidades críticas principalmente en el motor web (WebKit) y el Kernel que están siendo utilizadas a través de un exploit kit conocido como Coruna.

¿Lo preocupante?

No necesitas hacer clic en nada sospechoso asta con visitar un sitio comprometido para que el ataque se ejecute provocando que las siguientes acciones se realicen:

• Ejecutar código remoto.
• Escalar privilegios hasta nivel sistema.
• Instalar Malware de forma persistente.

De espionaje avanzado a ciberataque común

Lo que antes era exclusivo de actores de alto nivel (APT o espionaje) ahora está migrando hacia el cibercrimen tradicional, Coruna no es un simple exploit:

• Encadena múltiples vulnerabilidades.
• Automatiza la infección.
• Reduce la necesidad de interacción con el usuario.

🛡️ ¿Cómo responder ante este escenario?

El punto débil: dispositivos legacy, El mayor riesgo no está en los equipos más nuevos, sino en aquellos que ya no reciben actualizaciones frecuentes, permanecen en versiones antiguas de IOS y siguen conectados a entornos corporativos. Estos casos abren una brecha crítica dentro de las organizaciones.

Más alla de la actualización: Si bien es claro que actualizar el dispositivo hasta su version mas reciente de firmware es clave, no es suficiente.

Detectar comportamientos: Con la implementacion de un XDR permita correlacionar patrones sospechosos, incluso firmas conocidas, permitiendo de esta manera la centralización de información.

Cuando el guardián necesita protección

En el mundo de la ciberseguridad, solemos decir que "si tienes un backup, tienes una oportunidad". Pero, ¿qué pasa cuando el atacante no va tras tus datos en vivo, sino directamente tras tu sistema de recuperación?

Veeam ha lanzado una alerta urgente: se han detectado siete vulnerabilidades de alta gravedad en su plataforma Backup & Replication. Con una puntuación de hasta 9.9/10 en la escala de peligrosidad, estos fallos permiten a un atacante tomar el control total de tus servidores de respaldo. Si usas Veeam, el momento de actuar es ahora.

La Amenaza: Una llave maestra para tus backups

Las vulnerabilidades (desde la CVE-2026-21666 hasta la 21708) no son simples errores de software; son puertas abiertas. Lo que las hace especialmente peligrosas es que solo requieren acceso autenticado. ¿Qué significa esto? Que si un atacante obtiene credenciales básicas de un empleado (mediante un simple phishing), puede saltar de una cuenta común a controlar todo el repositorio de copias de seguridad.

¿Por qué este parche es obligatorio?

Veeam es el corazón de la continuidad de negocio para miles de organizaciones. Los grupos de ransomware lo saben: su estrategia actual consiste en cegar a la víctima destruyendo sus respaldos antes de cifrar el resto de la red.

Dado que los detalles técnicos de estos parches ya son públicos, los atacantes están realizando ingeniería inversa en este preciso momento para crear herramientas que exploten los sistemas que aún no se han actualizado. Las instancias sin parchear son ahora el objetivo prioritario.

¿Qué puede hacer un atacante con este acceso?

Ejecución remota de código: Tomar el control total del servidor de backup.

Manipulación silenciosa: Corromper o borrar copias de seguridad para que, cuando intentes restaurar tras un ataque de ransomware, no tengas nada a qué volver.

Escalada de privilegios: Convertir un usuario con permisos limitados en un administrador con control total sobre la base de datos PostgreSQL.

🛡️ Para evitar que tu infraestructura se convierta en la próxima estadística, sigue este plan de acción:

Actualización Inmediata: Si usas V12.x, sube a la versión 12.3.2.4465 o superior:

• Si usas V13.x, actualiza a la 13.0.1.2067 o superior.
• No olvides los proxies y repositorios; todo el ecosistema debe estar al día.

Aislamiento de Red: Veeam nunca debe estar expuesto directamente a Internet. Muévelo a redes de administración dedicadas y aplica MFA (Autenticación Multifactor) sin excepciones.

Higiene de Privilegios: Aplica el principio de "privilegio mínimo". Revisa quién tiene roles de Backup Viewer o Admin y reduce el número de administradores locales en Windows.

Inmutabilidad y Pruebas:

• Asegúrate de tener copias de seguridad inmutables (que no se puedan borrar ni modificar) y realiza pruebas de restauración periódicas. Un backup que no se ha probado no es un backup.

🔍 ¿Qué está pasando exactamente?

La vulnerabilidad CVE-2026-24858 permite a un atacante eludir la autenticación en múltiples productos de Fortinet, incluyendo:

• FortiGate / FortiOS 
• FortiManager
• FortiAnalyzer
• FortiProxy

El vector de ataque se basa en el uso indebido de FortiCloud SSO. Si esta función está habilitada, un atacante con una cuenta válida de FortiCloud podría autenticarse en dispositivos de otras organizaciones.

👉 Aunque esta opción no viene activada por defecto, puede habilitarse automáticamente durante el registro del dispositivo si no se desactiva manualmente.

¿Por qué esta amenaza es tan crítica? 

Porque rompe uno de los principios más importantes de la seguridad: el control de acceso.

Los atacantes están utilizando FortiCloud SSO como una puerta trasera legítima, lo que les permite:

• Acceder como administradores sin credenciales internas
• Evadir mecanismos tradicionales de autenticación
• Mantener acceso persistente sin ser detectados fácilmente

¿Qué hacen los atacantes una vez dentro?

Los incidentes analizados muestran un patrón claro de ataque:

• Creación de cuentas de administrador locales (persistencia).
• Extracción de archivos de configuración completos.
• Obtención de credenciales (incluso si están cifradas de forma reversible).
• Movimiento lateral hacia sistemas internos.
• Escalada rápida dentro de la red corporativa.

En muchos casos, esto permite pasar de un firewall comprometido a una intrusión completa en la red interna en cuestión de tiempo.

Impacto real para las organizaciones

Si esta vulnerabilidad es explotada, el atacante puede obtener:

🔓 Control total del dispositivo perimetral

🔓 Modificación de reglas de seguridad y firewall

🔓 Acceso a credenciales críticas (LDAP / Active Directory)

🔓 Acceso a sistemas internos y datos sensibles

Lo que empieza en el perímetro puede terminar en una brecha total de la organización.

🛡️ ¿Cómo protegerte? (Acciones urgentes)

• 🔧 1. Actualiza inmediatamente: Aplica los parches de seguridad disponibles para CVE-2026-24858 en todos los dispositivos afectados.
• 🔒 2. Desactiva FortiCloud SSO (si no es crítico): Desactiva: “Permitir inicio de sesión administrativo mediante FortiCloud SSO”
• 🌐 3. Limita el acceso administrativo: Solo desde redes internas confiables o VPN seguras.
• 🔑 4. Cambia credenciales expuestas: Cuentas de servicio LDAP, Active Directory y cualquier credencial almacenada en configuraciones.
• 🧾 5. Audita tu entorno: Inicios de sesión sospechosos, nuevas cuentas de administrador y exportaciones de configuración no autorizadas. 👉 Restaura configuraciones seguras y elimina accesos no autorizados.
• 📊 6. Centraliza y conserva logs: Integra con SIEM o syslog, Mantén registros al menos 14 días (ideal: 60–90 días).

Cuidado con quién contratas (y qué descargas)

Imagina esto: tu equipo de Recursos Humanos o Reclutamiento recibe un correo electrónico. Parece un candidato ideal para esa vacante que llevas semanas intentando cubrir. El tono es profesional, adjunta su CV y portafolio en un archivo ZIP, e incluso menciona la posición específica. Parece legítimo, ¿verdad?

Pero detrás de ese perfil perfecto se esconde BlackSanta, una nueva y sofisticada campaña de malware que está atacando activamente los flujos de trabajo de RRHH. No es un simple virus; es un ataque diseñado para burlar tus defensas desde dentro, utilizando el engaño y la ingeniería social como puerta de entrada.

¿Cómo funciona BlackSanta? 

BlackSanta no actúa de forma improvisada. Su ataque es multifásico y meticulosamente planeado:

1. Engaño inicial: Los atacantes se hacen pasar por solicitantes de empleo o reclutadores, incluso referenciando puestos vacantes reales para ganar credibilidad. Los correos suelen contener archivos maliciosos como ZIPs, imágenes ISO o documentos presentados como currículos o portafolios.

2. Infiltración sigilosa

Al abrir estos archivos, BlackSanta no despliega su carga útil de inmediato. En su lugar, utiliza accesos directos, scripts o cargadores integrados que abusan de componentes de confianza de Windows (como "mshta.exe, wscript.exe" o "rundll32.exe") para mimetizarse con la actividad normal del sistema y pasar desapercibido por los escaneos iniciales.

3. Escalada de privilegios y supresión de defensas

Una vez ejecutado, el malware comprueba el entorno, identifica el software antivirus o EDR instalado y determina los privilegios del usuario. Si no tiene acceso de administrador, intenta escalarlo mediante técnicas como la suplantación de identidad por token, la elusión del UAC (User Account Control) o la explotación de servicios mal configurados.

Aquí llega su fase más crítica: la eliminación de EDR (Endpoint Detection and Response). BlackSanta utiliza una técnica avanzada conocida como "traiga su propio controlador vulnerable" (BYOVD) o controladores firmados manipulados para obtener acceso a nivel de kernel. Con este poder, finaliza procesos protegidos, deshabilita la monitorización y bloquea la telemetría, dejando tu sistema de seguridad ciego.

4. Persistencia y Cargas Útiles Adicionales

Con las defensas debilitadas, BlackSanta se asegura de permanecer en el sistema creando tareas programadas, claves de ejecución del registro o entradas de servicio que imitan componentes legítimos. El host comprometido se convierte entonces en un punto de partida para instalar payloads adicionales, como programas para robar credenciales, herramientas de acceso remoto (RATs) o marcos de movimiento lateral, permitiendo a los atacantes moverse por la red y exfiltrar datos con un riesgo mínimo de detección.

¿Por qué BlackSanta es Especialmente Peligroso? Esta campaña destaca por su enfoque deliberado en deshabilitar las soluciones EDR al inicio de la cadena de ataque. Este comportamiento, más común en ciberdelincuentes avanzados y con amplios recursos, aumenta significativamente el tiempo de permanencia del atacante en tu red y amplifica el impacto potencial, ya que los sistemas comprometidos pueden permanecer sin ser detectados durante largos períodos.

Recomendaciones Clave para Proteger tu Empresa:

• Restringir Ejecución: Limita la ejecución de archivos, imágenes ISO y scripts recibidos por correo electrónico, especialmente para los equipos de RRHH.
  
• Aislamiento Avanzado: Implementa sistemas avanzados de aislamiento de archivos adjuntos y bloquea tipos de archivos poco comunes utilizados en los señuelos de solicitudes de empleo.
  
• Salvaguardias Administrativas: Asegúrate de que las medidas de protección estén activas y controladas mediante sólidas salvaguardias administrativas.
  
• Monitoreo de Controladores: Mantente alerta a las cargas de controladores sospechosas o vulnerables y aplica listas de bloqueo siempre que sea posible.
  
• Formación Específica: Proporciona formación específica al personal de RRHH sobre phishing basado en currículos e ingeniería social.
  
• Búsqueda de Indicadores: Busca indicadores de terminación de EDR, servicios deshabilitados o escalada de privilegios anormal.
  
• Limitar Acceso de Administrador Local: Reduce la capacidad del malware de deshabilitar las herramientas de seguridad limitando el acceso de administrador local.

Un ciberataque reivindicado por hackers proiraníes provocó una interrupción global de red en la empresa estadounidense Stryker Corporation, uno de los fabricantes más importantes de dispositivos médicos del mundo.

La compañía confirmó que el incidente afectó su entorno de Microsoft, generando preocupación en hospitales y organizaciones de salud debido al posible impacto en sistemas críticos utilizados en la atención de pacientes.

Aunque la empresa aseguró que no hay indicios de ransomware o malware activo, el ataque vuelve a poner en el centro del debate la seguridad de la infraestructura tecnológica del sector salud.

¿Qué ocurrió exactamente?

Según la información disponible, el ataque provocó una interrupción global de red en varios sistemas de la compañía.

Entre los sistemas afectados se encuentra LifeNet, una plataforma utilizada por servicios médicos de emergencia para enviar datos de pacientes y electrocardiogramas desde ambulancias hacia hospitales.

Autoridades del estado de Maryland informaron que el sistema no estaba funcionando en gran parte del estado, obligando temporalmente al personal médico a volver a métodos tradicionales de comunicación por radio. Aunque la atención a pacientes no se vio comprometida, el incidente evidencia la dependencia crítica del sector salud en la tecnología conectada.

Un contexto geopolítico delicado

Este ataque podría ser uno de los primeros incidentes cibernéticos relevantes vinculados a actores proiraníes contra infraestructura estadounidense desde el inicio de las tensiones militares recientes entre: (Estados Unidos, Irán, e Israel) 

El grupo que se atribuyó el ataque afirmó en redes sociales que la operación fue una represalia por un ataque con misiles contra una escuela en Irán, lo que refuerza la hipótesis de que se trata de ciberoperaciones con motivación política o geoestratégica.

Impacto potencial en el sector salud

Aunque todavía se investiga el alcance del incidente, organizaciones del sector sanitario están monitoreando posibles consecuencias, entre ellas: (interrupciones en sistemas de comunicación médica, riesgos en la disponibilidad de dispositivos conectados, dependencia de plataformas digitales en emergencias médicas y decisiones de hospitales sobre desconectar equipos afectados). 

La situación ha generado presión para que la empresa comparta más información sobre el incidente, ya que los hospitales necesitan determinar si deben aislar o suspender temporalmente algunos sistemas.

La nueva realidad de la ciberguerra El director de alianzas gubernamentales de Sophos, Alex Rose, destacó que las operaciones cibernéticas modernas no requieren grandes recursos. Una computadora portátil, habilidades técnicas y acceso a internet pueden ser suficientes para lanzar ataques capaces de interrumpir servicios críticos o generar caos operativo.

“El ciberataque provocó una interrupción global de la red en los sistemas de la compañía, afectando incluso plataformas utilizadas por servicios de emergencia para enviar datos de pacientes desde ambulancias a hospitales.”

Fuente: CNN

Una campaña de phishing utiliza una página de seguridad de una cuenta de Google falsificada para distribuir una aplicación web progresiva (PWA) maliciosa. La aplicación está diseñada para robar contraseñas de un solo uso, recopilar direcciones de monederos de criptomonedas y convertir los navegadores de las víctimas en servidores proxy para el tráfico de los atacantes.

¿Cuál es la amenaza?

El sitio falso de seguridad de Google forma parte de un esquema de phishing que imita páginas legítimas de verificación de cuentas de Google. Las víctimas son redirigidas a él mediante enlaces que parecen genuinos, a menudo enviados por correo electrónico, anuncios o sitios web comprometidos.

En lugar de presentar un formulario típico de phishing, los atacantes activan la instalación de una PWA directamente en el navegador de la víctima, simulando la interfaz de una aplicación confiable. Sus atributos clave incluyen:

• Ventanas emergentes engañosas de alerta de seguridad
• Indicaciones para volver a verificar o iniciar sesión
• Ventanas que imitan los diálogos nativos del sistema
• Recopilación de credenciales de usuario en tiempo real

A diferencia de los sitios de phishing estándar, la PWA puede permanecer activa incluso después de cerrar el navegador, lo que dificulta su detección.

¿Por qué es digno de mención?

Esta campaña combina ingeniería social con funcionalidades de PWA para que la página de seguridad falsa de Google parezca legítima. Los atacantes utilizan el dominio "google-prism[.]com" y guían a las víctimas a través de un proceso de cuatro pasos que solicita permisos confidenciales y, finalmente, instala la PWA maliciosa.

Una vez instalada, la aplicación puede extraer contactos, ubicación GPS y datos del portapapeles, además de funcionar como proxy de red y escáner de puertos interno. También aprovecha la API WebOTP para capturar códigos de verificación SMS y utiliza notificaciones push para atraer a las víctimas a la aplicación y continuar robando datos.

Una aplicación de Android relacionada, disfrazada de actualización de seguridad urgente, solicita 33 permisos de alto riesgo, como SMS, registros de llamadas, acceso al micrófono y servicios de accesibilidad. Estos permisos facilitan el robo de datos y posibles fraudes financieros. Los usuarios deben tener cuidado con las solicitudes de seguridad no solicitadas y acceder únicamente a las herramientas de la cuenta de Google directamente en myaccount.google.com.

¿Cuál es la exposición o riesgo?

Esta campaña de phishing expone a las víctimas a riesgos significativos, como el robo total de cuentas y pérdidas financieras. Aunque muchos usuarios confían en la autenticación multifactor (MFA), los atacantes la eluden mediante intercepción en tiempo real: la página falsa solicita a las víctimas sus credenciales y códigos de verificación, que se transmiten inmediatamente a los atacantes. A continuación, inician sesión y capturan tokens de sesión válidos antes de que caduquen. Este enfoque de intermediario (AiTM) permite a los delincuentes autenticarse simultáneamente con la víctima, lo que debilita eficazmente las protecciones de la MFA.

La mayoría de las víctimas informan que no sintieron nada sospechoso, pero hay señales de advertencia sutiles: alertas de seguridad inesperadas, solicitudes para instalar una aplicación web como parte de la “verificación”, páginas de inicio de sesión que no están alojadas en dominios oficiales de Google, ventanas emergentes que se comportan como aplicaciones independientes y URL o redirecciones ligeramente alteradas.

Recomendaciones

1. No confíe en ventanas emergentes ni correos electrónicos que le soliciten que “verifique” o “asegura” su cuenta.
2. Escriba manualmente myaccount.google.com o utilice la aplicación de Google; nunca haga clic en los enlaces de seguridad en mensajes o anuncios.
3. No acepte los mensajes “Instalar aplicación” o “Agregar a la pantalla de inicio” a menos que haya iniciado el proceso en un sitio confiable.
4. Verifique la configuración del navegador (Chrome/Edge > Aplicaciones/Aplicaciones instaladas) y elimine cualquier PWA desconocida.
5. Instale aplicaciones de Google o relacionadas con la seguridad únicamente desde Google Play Store y las listas oficiales de desarrolladores.
6. Utilice una aplicación de autenticación (por ejemplo, Google Authenticator, Authy) en lugar de SMS para reducir el riesgo de abuso de WebOTP.

Según informó SecurityWeek el 20 de febrero de 2026, PromptSpy es una familia de malware para Android recientemente identificada y desarrollada por cibercriminales. Su principal función es usar Google Gemini en tiempo de ejecución para analizar el contenido en pantalla y ayudar al malware a permanecer instalado y activo en los dispositivos infectados.

¿Cuál es la amenaza?

PromptSpy es una cepa de malware para Android que se distribuye a través de aplicaciones maliciosas (APK). Su comportamiento característico es usar Google Gemini en tiempo real para interpretar los elementos en pantalla. Esto le permite decidir cómo reaccionar cuando los usuarios abren la configuración de seguridad, las páginas de administración de aplicaciones o los diálogos de eliminación, lo que dificulta considerablemente su desinstalación.

El malware observa la interfaz de usuario, llama a Gemini para interpretarla y modifica su comportamiento para mantener los permisos y servicios en funcionamiento. Esta toma de decisiones basada en IA le otorga a PromptSpy una ventaja sobre el malware que depende de suposiciones fijas de la interfaz de usuario.

¿Por qué es digno de mención?

Primer ejemplo de malware móvil asistido por IA

PromptSpy es una de las primeras familias de malware para Android observadas públicamente que integra un sistema de IA generativa durante la ejecución, no solo durante el desarrollo. Esto demuestra cómo los atacantes están evolucionando, pasando de usar IA para escribir código a usarla como componente activo del comportamiento del malware.

Persistencia adaptativa a través de la comprensión de la interfaz de usuario

Al delegar la interpretación de la interfaz de usuario a Gemini, PromptSpy evita las reglas frágiles vinculadas a la ubicación de botones, versiones o idiomas específicos. Esto le proporciona una mayor persistencia en compilaciones de Android, máscaras OEM e interfaces localizadas, y le permite responder con mayor flexibilidad cuando los usuarios intentan acceder a las pantallas de información de la aplicación, seguridad o desinstalación.

Más difícil de detectar utilizando heurísticas tradicionales

Los comportamientos guiados por IA pueden variar según el contexto. Esto dificulta su detección por parte de las herramientas de seguridad que se basan en firmas estáticas o patrones de comportamiento predecibles. Los sistemas diseñados para identificar flujos de trabajo fijos pueden pasar por alto acciones generadas dinámicamente e impulsadas por IA.

Una señal de las futuras tendencias del malware

PromptSpy demuestra que los adversarios pueden integrar plataformas comerciales de IA directamente en el malware. Las futuras familias podrían ampliar este enfoque para eludir los diálogos de seguridad, identificar datos valiosos para la exfiltración o crear avisos de ingeniería social en tiempo real.

¿Cuál es la exposición o riesgo?

Una vez instalado, PromptSpy presenta varios riesgos:

• Acceso no autorizado a largo plazo: la persistencia impulsada por IA dificulta la eliminación, lo que permite un control sostenido por parte de los atacantes.
• Privacidad y exposición de datos: Puede acceder a mensajes, correos electrónicos y contenido de aplicaciones, creando oportunidades para el robo de datos y la exposición de información sensible.
• Interacción remota del dispositivo: admite control remoto interactivo, brindando visibilidad en tiempo real de la interfaz del dispositivo.
• Abuso secundario: los dispositivos comprometidos pueden utilizarse para fraudes adicionales, botnets o eludir la MFA.

Para las empresas que gestionan dispositivos Android corporativos o BYOD, PromptSpy puede provocar fugas de datos, acceso oculto a flujos de trabajo internos y un tiempo de permanencia prolongado, especialmente cuando la visibilidad de MDM/EDR es limitada.

Recomendaciones

1. Limite las instalaciones a Google Play o tiendas empresariales de confianza y bloquee la instalación local cuando sea posible.
2. Audite periódicamente aplicaciones con Servicios de Accesibilidad, superposición o grabación de pantalla.
3. Utilice soluciones antivirus/EDR móviles confiables e integre alertas en el SOC.
4. Mantenga Android y aplicaciones actualizadas y no desactive Google Play Protect.
5. Capacite a los usuarios sobre riesgos de tiendas de terceros y establezca protocolos claros ante incidentes.
6. Incorpore modelos de amenazas basados en IA y supervise tráfico sospechoso hacia plataformas de IA.

Componentes afectados

• VMware Aria Operations (todas las versiones 8.x anteriores a 8.18.6)
• Paquetes de VMware Cloud Foundation Operations y Aria (versiones anteriores a 9.0.2.0)
• Variantes de VMware Telco Cloud Platform y Telco Cloud Infrastructure que ejecutan versiones de Aria Operations anteriores a las versiones corregidas

Recomendaciones

• VMware Aria Operations: Actualice a 8.18.6 o posterior.
• VMware Cloud Foundation: actualice a 9.0.2.0 o posterior.
• Plataforma/infraestructura en nube de telecomunicaciones: aplique los parches correspondientes como se describe en KB428241.
• Asegúrese de que Aria Operations esté aislado en una red de administración restringida y no esté expuesto a Internet público.