⚡ Resumen semanal: SD-WAN de 0 días, CVE críticos, Telegram Probe, Smart TV Proxy SDK y más...

Esta semana no se trata de un gran evento. Muestra hacia dónde se mueven las cosas. Los sistemas de red, las configuraciones en la nube, las herramientas de inteligencia artificial y las aplicaciones comunes se impulsan de diferentes maneras. Las pequeñas brechas en el control de acceso, las claves expuestas y las funciones normales se utilizan como puntos de entrada.

El patrón se vuelve claro solo cuando ves todo junto. Escaneos más rápidos, uso indebido más inteligente de los servicios confiables y focalización constante en los sectores de alto valor. Cada historia añade contexto. Al leerlos todos, se obtiene una imagen más completa de cómo está evolucionando el panorama actual de las amenazas.

⚡ Amenaza de la semana

Explotado el día cero de Cisco SD-WAN — Una falla de seguridad de máxima gravedad recientemente revelada en Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Catalyst SD-WAN Manager (antes vManage) ha sido explotada activamente en estado salvaje como parte de una actividad maliciosa que se remonta a 2023. La vulnerabilidad, registrada como CVE-2026-20127 (puntuación CVSS: 10,0), permite a un atacante remoto no autenticado eludir la autenticación y obtener privilegios administrativos en un sistema afectado mediante el envío de una solicitud diseñada. Cisco acreditó al Centro Australiano de Ciberseguridad (ASD-ACSC) de la Dirección de Señales de Australia por informar sobre la vulnerabilidad. La empresa especializada en equipos de redes está rastreando la explotación y las consiguientes actividades posteriores a la puesta en peligro con el nombre de UAT-8616, y describe al clúster como un «actor de ciberamenazas altamente sofisticado».

Controle a sus agentes de IA antes de que ellos lo controlen a usted

Airia es la capa de gobierno y orquestación de la IA empresarial. Supervise las desviaciones, aplique las políticas, optimice los costos de inferencia y genere pruebas listas para ser auditadas, de modo que su IA escale de forma segura, compatible y rentable.

Solicita una demostración ➝

🔔 Noticias principales

• Anthropic acusa a 3 empresas chinas de ataques de destilación — Anthropic acusó a tres empresas chinas de inteligencia artificial de participar en campañas concertadas de ataques de destilación a «escala industrial» con el objetivo de extraer información de su modelo, lo que la convirtió en la última empresa tecnológica estadounidense en hacer tales afirmaciones después de que OpenAI emitiera quejas similares. Se dice que DeepSeek, Moonshot AI y MiniMax han inundado a Claude con grandes volúmenes de mensajes especialmente diseñados para obtener respuestas que les permitieran entrenar sus propios modelos patentados. El mes pasado, OpenAI presentó una carta abierta a los legisladores estadounidenses en la que afirmaba haber observado actividades «indicativas de los continuos intentos de DeepSeek de destilar modelos vanguardistas de OpenAI y otros laboratorios fronterizos estadounidenses, incluso mediante métodos nuevos y confusos». La revelación reavivó el debate sobre el entrenamiento de las fuentes de datos y las técnicas de destilación, y algunos criticaron a la empresa por entrenar sus propios sistemas utilizando material protegido por derechos de autor sin permiso. «Anthropic es culpable de robar datos de entrenamiento a gran escala y ha tenido que pagar acuerdos multimillonarios por su robo», dijo el director ejecutivo de xAi, Elon Musk.
• Google interrumpe la campaña GRIDTIDE de la UNC2814 — Google reveló que había trabajado con socios de la industria para desbaratar la infraestructura de un supuesto grupo de ciberespionaje relacionado con China, rastreado como UNC2814, que atacó al menos a 53 organizaciones en 42 países. El gigante tecnológico describió la UNC2814 como un actor prolífico y esquivo que tiene un historial de ataques contra gobiernos internacionales y organizaciones mundiales de telecomunicaciones de África, Asia y las Américas. Un elemento central de las operaciones del grupo de hackers es una nueva puerta trasera denominada GRIDTIDE, que utiliza la API de Google Sheets como canal de comunicación para disfrazar el tráfico de C2 y facilitar la transferencia de datos sin procesar y comandos de shell. Los grupos de ciberespionaje chinos siempre han dado prioridad al sector de las telecomunicaciones como objetivo, precisamente por el acceso que sus redes proporcionan a datos confidenciales y a una infraestructura de interceptación legal.
• Miles de claves de API públicas de Google Cloud expuestas con Gemini Access — Una nueva investigación ha descubierto que las claves de API de Google Cloud, normalmente designadas como identificadores de proyectos para fines de facturación, podrían utilizarse de forma abusiva para autenticarse en terminales sensibles de Gemini y acceder a datos privados. El problema se produce cuando los usuarios habilitan la API de Gemini en un proyecto de Google Cloud (es decir, la API de lenguaje generativo), lo que hace que las claves de API existentes en ese proyecto, incluidas las accesibles a través del código JavaScript del sitio web, obtengan acceso subrepticio a los puntos finales de Gemini sin previo aviso ni aviso. Con una clave válida, un atacante puede acceder a los archivos cargados, a los datos almacenados en caché e incluso acumular cargos por el uso del LLM, según Truffle Security. Desde entonces, Google ha solucionado el problema.
• El UAT-10027 apunta a los sectores de educación y salud de EE. UU. — Un grupo de actividades de amenazas previamente indocumentado conocido como UAT-10027 se ha atribuido a una campaña maliciosa en curso dirigida a los sectores de la educación y la salud en los EE. UU. desde al menos diciembre de 2025. El objetivo final de los ataques es crear una puerta trasera nunca antes vista con el nombre en código Dohdoor. «Dohdoor utiliza la técnica DNS a través de HTTPS (DoH) para las comunicaciones de comando y control (C2) y tiene la capacidad de descargar y ejecutar otros archivos binarios de carga útil de forma reflexiva», afirma Cisco Talos. El análisis de la campaña no ha revelado ninguna evidencia de filtración de datos hasta la fecha. Si bien no se ha observado ninguna carga útil final, aparte de lo que parece ser el Cobalt Strike Beacon para entrar por la puerta trasera en el entorno de la víctima, se cree que las acciones del UAT-10027 probablemente estén motivadas por un beneficio económico, según el patrón victimológico.
• Las fallas de Claude Code permiten la ejecución remota de código y la exfiltración de claves de API — Las vulnerabilidades de seguridad de Anthropic Claude Code podrían haber permitido a los atacantes ejecutar código de forma remota en las máquinas de los usuarios y robar claves de API inyectando configuraciones maliciosas en los repositorios y esperando a que un desarrollador desprevenido clonara y abriera un proyecto poco fiable. Las vulnerabilidades se solucionaron entre septiembre de 2025 y enero de 2026. «La capacidad de ejecutar comandos arbitrarios a través de archivos de configuración controlados por el repositorio creaba graves riesgos para la cadena de suministro, ya que una sola confirmación malintencionada podía comprometer a cualquier desarrollador que trabajara con el repositorio afectado», afirma Check Point. «La integración de la IA en los flujos de trabajo de desarrollo aporta enormes beneficios de productividad, pero también introduce nuevas superficies de ataque que no estaban presentes en las herramientas tradicionales».

‎️ 🔥 CVs de tendencia

Cada día aparecen nuevas vulnerabilidades y los atacantes actúan con rapidez. La revisión y la aplicación temprana de parches mantienen la resiliencia de sus sistemas.

Estas son las fallas más importantes de esta semana para verificar primero: CVE-2025-40538, CVE-2025-40539, CVE-2025-40540, CVE-2025-40541 (SolarWinds Serv-U), CVE-2026-20127 , CVE-2026-20122, CVE-2026-20126, CVE-2026-20128 (Cisco Catalyst SD-WAN), CVE-2026-25755 (JS PDF), CVE-2025-12543 (Activador de servicios HPE Telco), CVE-2026-22719, CVE-2026-22720, CVE-2026-22721 (Operaciones de Broadcom VMware Aria), CVE-2026-3061, CVE-2026-3062, CVE-2026-3063 (Google Chrome), CVE-2025-10010 (CryptoPro Secure Disk para BitLocker), CVE-2025-13942, CVE-2025-13943, CVE-2026-1459 (Zyxel), CVE-2025-71210, CVE-2025-71211 (Trend Micro Apex One), CVE-2026-0542 (Plataforma de IA ServiceNow), CVE-2026-24061 (telnet), CVE-2026-21902 (Sistema operativo Junos de Juniper Networks), CVE-2025-29631, CVE-2025-1242 (Kit Gardyn Home), CVE-2025-15576 (BSD gratuito), CVE-2026-26365 (Akamai), CVE-2026-27739 (Angular) y SVE-2025-50109 (Sistema operativo Samsung Tizen).

🎥 Seminarios web sobre ciberseguridad

• Automatizar las pruebas de seguridad en el mundo real para demostrar lo que realmente funciona → Este seminario web explica por qué las evaluaciones de seguridad únicas ya no son suficientes y muestra cómo las organizaciones pueden automatizar las pruebas continuas y reales de sus defensas para descubrir brechas y medir qué tan bien los controles resisten las técnicas de ataque reales.
• Cuando los agentes de IA se convierten en tu nueva superficie de ataque → En este seminario web se explica que, a medida que las herramientas de inteligencia artificial se convierten en agentes autónomos que pueden navegar, llamar a las API y acceder a los sistemas internos, el riesgo de seguridad se extiende más allá del modelo y abarca todo el entorno en el que operan, lo que requiere controles de acceso, supervisión y medidas de seguridad a nivel del sistema más estrictos, en lugar de solo realizar pruebas con modelos.
• Quantum está llegando: preparándose para el fin de la encriptación actual → Este seminario web explica cómo las computadoras cuánticas del futuro podrían romper el cifrado actual, por qué los ataques de «cosechar ahora y descifrar después» representan un riesgo real y qué medidas prácticas pueden tomar las organizaciones ahora para comenzar a pasar a la criptografía poscuántica.

📰 En todo el mundo cibernético

• UNC6384 lanza la nueva variante PlugX — SECTA III y LABORATORIO52 han detallado las nuevas actividades del grupo de ciberespionaje chino UNC6384 . Los ataques siguen un conocido modus operandi que consiste en utilizar STATICPLUGIN, un descargador firmado digitalmente, para ofrecer versiones actualizadas de PlugX mediante la carga lateral de DLL. Las cargas maliciosas se distribuyen a través de correos electrónicos de suplantación de identidad con invitaciones a reuniones o mediante actualizaciones de software falsas.
• OpenAI toma medidas contra las cuentas de ChatGPT utilizadas con fines dañinos — OpenAI dijo que eliminó las cuentas de ChatGPT utilizadas para operaciones de influencia, suplantación de identidad y desarrollo de malware. Esto incluyó una posible operación de inteligencia china en la que una persona vinculada a las fuerzas del orden chinas utilizó la herramienta de inteligencia artificial para ejercer influencia encubierta contra adversarios nacionales y extranjeros. La empresa también actuó contra las agrupaciones que realizaban reconocimientos sobre personas estadounidenses y ubicaciones de edificios federales, las estafas románticas en línea y las operaciones de influencia rusa en África mediante la publicación de publicaciones en las redes sociales y artículos de comentarios extensos. «Inusualmente, esta red fraudulenta combinaba la incitación manual de ChatGPT y un chatbot automatizado con inteligencia artificial para intentar atrapar a sus objetivos», OpenAI dijo sobre la operación fraudulenta que se está llevando a cabo en Camboya. Algunas de estas estafas estaban dirigidas a buscadores de amor indonesios. Otras estafas utilizaron ChatGPT para crear contenido que supuestamente provenía de bufetes de abogados ficticios, así como para hacerse pasar por verdaderos abogados y agentes del orden de EE. UU. como parte de una estafa de recuperación dirigida a las víctimas del fraude.
• Movimiento lateral inducido por la IA — Una nueva investigación de Orca Security ha puesto de relieve cómo la IA puede convertirse en una «tercera dimensión» en el mundo del movimiento lateral, después de la red y la identidad, lo que permite a los atacantes ampliar su alcance. «Los piratas informáticos pueden engañar a los LLM, abusar de las herramientas de la agencia y llevar a cabo importantes incidentes de seguridad al introducir inyecciones rápidas en campos que pasan desapercibidos y que son captados por los agentes de inteligencia artificial», explica Orca dijo . «Los LLM no entienden realmente la diferencia entre datos e instrucciones, y cuando los resultados de la herramienta se incorporan al modelo, pueden interpretarse como algo sobre lo que hay que actuar. Esto abre una ventana a las actividades del movimiento lateral inducido por la IA (AILM)».
• Rusia lanza una investigación sobre el CEO de Telegram — Las autoridades rusas iniciaron una investigación penal contra el fundador y director ejecutivo de Telegram, Pavel Durov. Al parecer, está acusado de promover y facilitar la actividad terrorista en la plataforma de mensajería al no responder a las solicitudes de retirada de las fuerzas del orden. Las autoridades rusas han acusado a Durov de elegir un «camino de violencia y permisividad» al no cooperar con sus organismos encargados de hacer cumplir la ley, según la Rossiyskaya Gazeta . La medida se produce después de que Rusia comenzara a restringir el acceso a Telegram en el país en favor de MAX. El mes pasado, Durov llamada es un «intento de obligar a sus ciudadanos a cambiar a una aplicación controlada por el estado creada para la vigilancia y la censura política».
• La aplicación de oración pirateada envía mensajes de rendición — Según informes de El Wall Street Journal y CABLEADO , piratas informáticos no identificados se apoderaron de una aplicación de oración iraní durante un ataque conjunto entre Estados Unidos e Israel para enviar mensajes instando al ejército iraní a deponer las armas y prometiendo una amnistía si se rendían. Los mensajes se enviaron en forma de notificaciones automáticas a la aplicación BaDeSaba Calendar. Actualmente no está claro quién está detrás del hackeo. La aplicación se ha descargado más de 5 millones de veces desde Google Play Store. Tras la guerra entre Estados Unidos e Israel contra Irán, el gobierno cerrar todo el acceso a Internet en el país.
• Los televisores inteligentes se convirtieron en raspadores de contenido de IA — Varios fabricantes de aplicaciones de TV inteligentes están implementando un nuevo SDK llamado Bright SDK que permite a los usuarios ver menos anuncios, pero también convierte sigilosamente su televisor en un nodo de una red proxy global que rastrea y rastrea la web. Bright Data, la empresa que está detrás del SDK, afirma operar más de 150 millones de direcciones IP de proxy residenciales en 195 países.
• Se detectaron varias familias de malware Stealer — Se han detectado múltiples familias de ladrones de información en estado salvaje. Esto incluye Arkanix , Charlie Kirk GRABBER , ComSuon , Nube oscura , Distribuidor MAA , y MIOlab (NovaStealer). El análisis de Arkanix realizado por Kaspersky ha revelado que probablemente se desarrolló como un experimento asistido por un LLM, lo que redujo el tiempo y los costos de desarrollo. Si bien Arkanix se promocionó en foros clandestinos en octubre de 2025, el malware como servicio (MaaS) parece haber desaparecido hacia finales de 2025. Los resultados demuestran que sigue existiendo una demanda constante de software malicioso que se destina fácilmente a los ladrones, lo que crea un ecosistema que permite a otros actores de amenazas comprar los registros de los ladrones para obtener un acceso inicial a los objetivos. «Los registros de Infostealer sin procesar se filtran meticulosamente por dominio corporativo, se empaquetan y se venden a agentes de acceso inicial y atacantes que buscan puntos de acceso sin problemas a redes corporativas de alto valor», Hudson Rock dijo . El desarrollo se ha complementado con redes clandestinas que se han convertido en mercados de ciberdelincuencia, con sistemas de reputación, depósitos en garantía y vendedores especializados, añadió Varonis. «Un operador utiliza robots de información en miles de máquinas. Otro extrae y clasifica las credenciales. Un tercero vende acceso controlado», dijo el investigador de seguridad Daniel Kelley dijo . «Un cuarto implementa el ransomware. Cada persona se centra en lo que mejor sabe hacer, y el ecosistema se ha vuelto implacablemente eficiente».
• Nacional chileno extraditado a EE. UU. por delitos de fraude financiero — Alex Rodrigo Valenzuela Monje (también conocido como VAL4K), ciudadano chileno de 24 años, ha sido extraditado a los Estados Unidos por su presunta participación en la dirección de una operación de ciberdelincuencia que implicaba el tráfico de datos de tarjetas de pago. El acusado está acusado de traficar con números de tarjetas de crédito robadas e información de más de 26.500 tarjetas de crédito. «Al menos desde mayo de 2021 hasta agosto de 2023, Valenzuela Monje dirigió una tienda ilegal de tarjetas en línea, que vendía montones de dispositivos de acceso no autorizado a través de los canales de Telegram», dijo el Departamento de Justicia de los Estados Unidos dijo . «Supuestamente operaba los canales conocidos como MacaCocc Collective y Novato Carding, que ofrecían datos de tarjetas de pago para prácticamente todas las tarjetas de pago estadounidenses».
• Descubierta la nueva infraestructura FUNNULL — QianXin tiene marcado nueva infraestructura asociada a DIVERTIDO NULO , una red de distribución de contenido (CDN) con sede en Filipinas sancionada el año pasado por el Tesoro de los Estados Unidos por facilitar las operaciones de ciberestafa. «Anteriormente, su método principal consistía en envenenar los servicios de CDN públicos existentes; ahora han evolucionado para desarrollar de forma independiente suites completas de ataques desde el lado del servidor (RingH23), infiltrándose activamente en los nodos de la CDN, lo que ha demostrado una mejora significativa en cuanto a control y sofisticación técnica», afirma QianXin xLab. Se han identificado dos canales independientes de infección en la cadena de suministro: el compromiso de maccms.la de distribuir un backdoor PHP malintencionado a través de su canal de actualización, y el compromiso del nodo de administración de CDN de GoEdge de implantar un módulo de infección e implementar la suite de ataques patentada RingH23 en todos los nodos periféricos mediante comandos remotos de SSH. La campaña ha puesto en peligro 10.748 direcciones IP únicas, principalmente sitios de streaming de vídeo.
• Aumento del número de escaneos de dispositivos SonicWall — GreyNoise dijo que detectó un aumento en los escaneos de dispositivos SonicWall que se originaban en la infraestructura de un proveedor de proxy conocido. La actividad comenzó el 22 de febrero de 2026 y se analizó en busca de VPN SSL de SonicWALL expuestas. Entre el 22 y el 25 de febrero de 2026 se realizaron un total de 84 142 sesiones de escaneo dirigidas a la infraestructura SonicOS de SonicWall SonicOS. El escaneo procedió de 4.305 direcciones IP únicas distribuidas en 20 sistemas autónomos. «El noventa y dos por ciento de las sesiones sondearon un único punto final de API para determinar si la VPN SSL estaba habilitada, lo cual era un requisito previo antes de atacar las credenciales», dijo GreyNoise dijo . «Un servicio de representación comercial generó el 32% del volumen de la campaña a través de 4.102 direcciones IP de salida rotativas en dos ráfagas quirúrgicas que sumaron un total de 16 horas».
• Google elimina 115 aplicaciones de Android vinculadas al fraude publicitario — Una nueva operación de fraude publicitario denominada Génesis implicó el secuestro de dispositivos Android para ejecutar actividades maliciosas en segundo plano. La actividad aprovechó un conjunto de 115 aplicaciones que abrían sigilosamente sitios web dentro de ventanas ocultas del navegador para generar ingresos por la visualización de anuncios para sus creadores. Se generaron más de 500 dominios utilizando herramientas de inteligencia artificial para publicar los anuncios. «Aparecen como blogs genéricos, sitios de noticias y propiedades informativas producidos a gran escala, creados no para atraer audiencias reales sino para recibir tráfico fraudulento y monetizar el tráfico fraudulento», afirma Integral Ads. Desde entonces, Google ha eliminado las aplicaciones. Los hallazgos se basan en otro esquema de fraude publicitario móvil llamado Arcada en el que las aplicaciones móviles generaban actividad oculta en el navegador de la aplicación para cargar sitios web en segundo plano y convertir la actividad de origen móvil en tráfico web.
• Zerobot aprovecha las fallas en los enrutadores n8n y Tenda — Una botnet de IoT basada en Mirai llamada Zerobot se ha observado que explotan vulnerabilidades en la plataforma de automatización de IA n8n ( CVE-2025-68613 ) y enrutadores Tenda ( CVE-2025-7544 ) para ampliar su alcance. La actividad se detectó por primera vez en enero de 2026. «La vulnerabilidad n8n es especialmente interesante: las botnets suelen aprovechar los dispositivos del Internet de las cosas (IoT), como cámaras de seguridad, DVR y enrutadores, pero n8n pertenece a una categoría completamente diferente», señala Akamai dijo . «Si bien este comportamiento no es del todo nuevo para las botnets, este tipo de ataques representan un peligro mayor para las organizaciones, ya que exponen más infraestructuras críticas a riesgos, ya que el exploit n8n podría permitir el movimiento lateral de un actor de amenazas».
• Se han detectado varias campañas de ClickFix — Los cazadores de amenazas revelaron varias campañas de ClickFix, incluida una que provocó un ataque práctico con el teclado en el que se utilizó el ransomware Termite. El ataque se ha atribuido a un grupo conocido como Velvet Tempest (DEV-0504). Otra campaña de ClickFix, con nombre en código Corfijo , utilizaban sitios web que se hacían pasar por la herramienta de OCR Tesseract como plataforma de lanzamiento para enviar malware que utilizaba Ocultación de éter para recuperar el servidor C2, enviar información del sistema y esperar más instrucciones. Se ha descubierto una tercera campaña que emplea repositorios falsos de GitHub hacerse pasar por empresas de software y aprovechar ClickFix para diseñar socialmente a las víctimas para que instalen ladrones de información, como SHub Stealer v2.0.
• Esquema de suplantación de identidad de GTFire detallado — Una campaña de suplantación de identidad denominada GTFire utiliza Google Firebase para alojar páginas de suplantación de identidad y Google Translate para disfrazar las URL maliciosas y eludir los filtros de seguridad web y de correo electrónico. «Al encadenar estos servicios, los atacantes crean enlaces de suplantación de identidad que parecen benignos, aprovechan la reputación de Google y redirigen dinámicamente a las víctimas a páginas de inicio de sesión que se hacen pasar por marcas», dijo Group-IB dijo . «Una vez que se envían y recopilan las credenciales, a menudo se redirige a las víctimas al sitio web legítimo de la organización objetivo, lo que reduce las sospechas y retrasa la respuesta a los incidentes». Se estima que la campaña ha recolectado miles de credenciales robadas asociadas a más de mil organizaciones de más de cien países y cientos de industrias. El actor de amenazas detrás de la operación ha estado activo al menos desde el 1 de enero de 2022. México, EE. UU., España, India y Argentina se encuentran entre los objetivos destacados.
• El ransomware C77L apunta a Rusia — Una operación de ransomware llamada C77L ha estado vinculada a al menos 40 ataques contra empresas rusas y bielorrusas desde marzo de 2025. Se estima que el grupo opera fuera de Irán. El acceso inicial a las redes objetivo se logra mediante contraseñas débiles para los puntos finales RDP y VPN disponibles al público. «Los objetivos de los ataques son los sistemas Windows, debido a su abrumador predominio en las infraestructuras de TI de las medianas y pequeñas empresas», dijo F6 dijo .
• El malware RESURGE puede permanecer inactivo en los dispositivos Ivanti infectados — La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) actualizado su alerta original para RESURGIR , un malware que se implementó como parte de una actividad de explotación dirigida a una falla de seguridad ahora corregida en los dispositivos Ivanti Connect Secure (ICS). La agencia afirmó que «RESURGE cuenta con técnicas sofisticadas de evasión y autenticación a nivel de red, que utilizan métodos criptográficos avanzados y certificados TLS falsificados para facilitar las comunicaciones encubiertas», y añadió que «RESURGE puede permanecer latente en los sistemas hasta que un actor remoto intente conectarse al dispositivo infectado».
• Arrestan a 30 miembros de The Com — Una operación coordinada de aplicación de la ley dirigida por Europol detenido 30 personas conectadas a una comunidad clandestina en línea conocida como La Com . La operación, lanzada en enero de 2025, lleva el nombre en código Project Compass. Como parte de la investigación, también se identificó a 179 miembros adicionales. The Com es el nombre que se le asigna a un colectivo de ciberdelincuentes muy unido al que se ha vinculado con el doxxing en línea, el acoso, las amenazas de violencia, la extorsión, la explotación sexual, la suplantación de identidad, el intercambio de tarjetas SIM, el ransomware y otros delitos digitales. Europol describió a The Com como una red extremista descentralizada.
• El gobierno del Reino Unido reduce los tiempos de reparación de los ciberataques en un 84% — El gobierno del Reino Unido ha reclamado ha reducido su acumulación de vulnerabilidades críticas en un 75% y ha reducido los tiempos de reparación de los ciberataques en un 87%. Las deficiencias graves de seguridad de los sitios web del sector público se corrigen seis veces más rápido, lo que reduce el tiempo medio de casi dos meses a poco más de una semana, según afirma el gobierno del Reino Unido en una actualización publicada el 26 de febrero.
• Polonia desmantela un grupo del crimen organizado — Oficina Central de Lucha contra la Ciberdelincuencia de Polonia (CBZC) desmantelado un grupo organizado que utilizaba la suplantación de identidad para tomar el control de las cuentas de Facebook y extraer los códigos de pago BLIK de las víctimas. Se identificó a once miembros de un grupo delictivo organizado que operaba en Polonia y Alemania entre mayo de 2022 y mayo de 2024. Seis sospechosos han sido puestos en prisión preventiva como parte de la investigación y se han incautado más de 100 000 credenciales. El grupo utilizó «técnicas de suplantación de identidad para obtener los datos de inicio de sesión de las cuentas de Facebook y, a continuación, accedió a ellas y utilizó la mensajería instantánea para extorsionar a otros usuarios del portal con códigos BLIK», afirma CBZC.
• Un hacker explota Clade para atacar sitios del gobierno mexicano — Un hacker desconocido explotado El chatbot Claude de Anthropic llevará a cabo ataques contra agencias gubernamentales mexicanas, según un informe de Gambit Security. «Un mes después del compromiso inicial, diez organismos gubernamentales y una institución financiera se vieron afectados, se expusieron aproximadamente 195 millones de identidades y se filtraron aproximadamente 150 GB de datos: registros fiscales, archivos del registro civil, datos de votantes», explica la empresa dijo . «El atacante incluso creó un sistema automatizado que falsifica los certificados fiscales oficiales del gobierno utilizando datos en tiempo real. Lo orquestó un actor individual que dirigía a la IA para que funcionara como un equipo de operadores y analistas a nivel nacional y estatal». La operación se llevó a cabo con más de 1000 instrucciones y pasó información con regularidad al GPT-4.1 de OpenAI para su análisis. La violación comenzó a finales de diciembre de 2025 y continuó durante aproximadamente un mes. Desde entonces, Anthropic interrumpió la actividad y prohibió todas las cuentas implicadas. Los ataques no se han atribuido a un grupo específico.

🔧 Herramientas de ciberseguridad

• Tito → Es una herramienta de código abierto de Praetorian que escanea el código, los archivos, los repositorios y el tráfico para encontrar credenciales filtradas, como claves de API y tokens. Utiliza cientos de reglas de patrones y puede comprobar si un secreto detectado está realmente activo. Puedes ejecutarlo como una herramienta de línea de comandos, usarlo dentro de otras herramientas como una biblioteca de Go o usarlo como extensiones en Burp Suite o en un navegador para descubrir fugas de credenciales en diferentes flujos de trabajo.
• Sirio → Es una plataforma de escaneo de vulnerabilidades de código abierto en GitHub que automatiza las comprobaciones de seguridad de la red y el sistema para encontrar debilidades y riesgos en la infraestructura. Combina datos de seguridad impulsados por la comunidad con pruebas automatizadas, se ejecuta dentro de contenedores y brinda a los operadores una visión unificada de las vulnerabilidades para priorizar la corrección.

Descargo de responsabilidad: Estas herramientas se proporcionan únicamente para fines educativos y de investigación. No se someten a auditorías de seguridad y pueden causar daños si se utilizan de forma indebida. Revise el código, pruébelo en entornos controlados y cumpla con todas las leyes y políticas aplicables.

Conclusión

Vistos uno por uno, estos incidentes parecen contenidos. En conjunto, muestran cómo el riesgo ahora fluye a través de los sistemas conectados en los que las organizaciones confían a diario. La infraestructura, las plataformas de inteligencia artificial, los servicios en la nube y las herramientas de terceros están profundamente entrelazados, y la tensión en un área suele exponer otra.

La conclusión es claridad, no alarma. Los adversarios están mejorando la eficiencia, ampliando el acceso y operando dentro de los procesos normales. La lectura de cada informe ayuda a trazar un mapa de ese cambio y a comprender cómo está cambiando el entorno en general.