Threat Intel — Inteligencia de ciberseguridad DefensOps SIEM

Ciberataques

Vulnerabilidades, ransomware y campañas activas analizadas por el equipo de DefensOps, con la cobertura de detección de nuestro SIEM.

Categoría: Ciberataques · Quitar filtros

CVE-2026-48558: bypass de autenticación en SimpleHelp explotado para desplegar el infostealer Djinn

Una vulnerabilidad crítica (CVSS 10.0) de bypass de autenticación en el flujo OIDC de SimpleHelp permite a un atacante remoto y no autenticado obtener una sesión de técnico totalmente válida con un token de identidad falsificado. Los atacantes ya la están explotando activamente para desplegar el nuevo infostealer Djinn y el malware TaskWeaver. Afecta a SimpleHelp 5.5.15 y anteriores, y a las versiones pre-release de la 6.0.

3 min de lectura

EE.UU. ofrece 10 M$ por hackers rusos que atacan apps de mensajería

El gobierno de Estados Unidos ha puesto precio a la cabeza de actores de amenaza vinculados a Rusia, ofreciendo hasta 10 millones de dólares por información sobre los grupos UNC5792 y UNC4221. Ambos colectivos han centrado sus operaciones en comprometer aplicaciones de mensajería utilizadas por funcionarios gubernamentales, mandos militares y personal aliado. La recompensa refleja la creciente preocupación por el uso de plataformas de comunicación civil como vector de espionaje de alto nivel.

3 min de lectura

Microsoft elimina 119 extensiones de Edge que ocultaban malware en imágenes

Microsoft ha desmantelado una operación maliciosa en su tienda de extensiones Edge que empleaba esteganografía para camuflar código dañino dentro de archivos de imagen y fuentes tipográficas. Las 119 extensiones involucradas, atribuidas a un único actor de amenaza activo desde al menos 2021, permanecían dormidas varios días tras la instalación antes de activarse para robar credenciales y cometer fraude publicitario. La compañía ha bautizado la campaña como StegoAd.

3 min de lectura

CVE-2026-55200: RCE crítico en libssh2 por desbordamiento de escritura

Una vulnerabilidad de escritura fuera de límites en libssh2 hasta la versión 1.11.1 permite a un atacante remoto corromper la memoria del heap y ejecutar código arbitrario enviando paquetes SSH manipulados. El fallo reside en la función ssh2_transport_read(), que no valida correctamente el campo packet_length. Ya existe un PoC público disponible, lo que eleva considerablemente el riesgo de explotación activa.

3 min de lectura

Paquetes npm y Go comprometidos instalan un infostealer Python

Investigadores de seguridad han identificado paquetes npm y Go maliciosos que utilizan las tareas de VS Code para desplegar un ladrón de información escrito en Python. El ataque afecta a sistemas Windows, Linux y macOS, y está diseñado para eludir los controles de seguridad introducidos en versiones recientes de npm. La cadena de suministro de software vuelve a ser el vector elegido por los atacantes para comprometer entornos de desarrollo.

3 min de lectura

SANS ISC Stormcast: resumen de amenazas del 29 de junio de 2026

El SANS Internet Storm Center publica su boletín diario Stormcast correspondiente al lunes 29 de junio de 2026, recogiendo el pulso de las amenazas activas monitorizadas por la comunidad global de analistas. Este tipo de resumen periódico es una referencia habitual para equipos de seguridad que necesitan mantenerse al día sobre vectores de ataque emergentes y actividad sospechosa en la red. DefensOps permite correlacionar estas señales de amenaza mediante su motor de detección incluido en el plan Essential.

2 min de lectura

Brecha en KDDI expone hasta 14,2 millones de credenciales de correo

La operadora de telecomunicaciones japonesa KDDI ha confirmado un incidente de seguridad que comprometió un sistema de correo electrónico compartido con cinco proveedores de internet adicionales. El número de cuentas potencialmente afectadas alcanza los 14,2 millones, lo que lo convierte en uno de los mayores robos de credenciales de correo registrados en Japón. Las credenciales expuestas podrían ser utilizadas en ataques de relleno de credenciales o phishing dirigido.

2 min de lectura

Rusia usó SMS falsos de soporte técnico para robar cuentas de mensajería

Los servicios de inteligencia rusos orquestaron una campaña prolongada de smishing dirigida a funcionarios gubernamentales, militares, políticos y activistas en Ucrania, Europa y Estados Unidos. El objetivo era comprometer cuentas de aplicaciones de mensajería mediante mensajes fraudulentos que suplantaban servicios de soporte técnico. La operación fue destapada de forma conjunta por el Servicio de Seguridad de Ucrania (SSU) y el FBI.

3 min de lectura

Repositorios GitHub aparentemente limpios ocultan malware para agentes IA

Investigadores han demostrado cómo un repositorio de GitHub con apariencia completamente legítima puede contener cargas maliciosas que escapan tanto a la revisión humana como a los escáneres de seguridad automatizados. El vector de ataque aprovecha la confianza que los agentes de codificación con IA depositan en el código fuente que clonan y ejecutan de forma autónoma. Esta técnica pone en evidencia un flanco de riesgo emergente a medida que las organizaciones adoptan flujos de trabajo de desarrollo asistidos por inteligencia artificial.

4 min de lectura

Brechas en proveedores golpean al sector educativo

El sector educativo acumula incidentes de seguridad originados en proveedores externos, exponiendo datos de estudiantes a ransomware y otros ataques. La dependencia de terceros sin una gestión rigurosa del riesgo amplía la superficie de ataque de universidades y colegios. Reforzar la cadena de suministro digital se convierte en una prioridad urgente para las instituciones.

3 min de lectura

Un framework chino detrás de 200.000 webs de inversión fraudulenta

Actores maliciosos están comercializando plantillas de estafa de inversión construidas sobre DCloud Uni-App, un kit de desarrollo legítimo de origen chino. La reutilización de herramientas de desarrollo oficiales dificulta la detección y permite escalar masivamente las operaciones fraudulentas. Se estima que la infraestructura asociada supera los 200.000 sitios activos.

3 min de lectura

La IA acelera el descubrimiento de vulnerabilidades y presiona a los equipos de seguridad

Las herramientas de inteligencia artificial están aflorando vulnerabilidades que llevaban años ocultas en el código, generando un volumen de hallazgos que los equipos de seguridad tienen dificultades para gestionar. Este fenómeno está transformando el ritmo al que deben priorizarse y remediarse los fallos, sin que la capacidad operativa haya crecido al mismo ritmo. El resultado es una brecha creciente entre lo que se descubre y lo que se puede parchear.

3 min de lectura