Recuento
Durante las últimas semanas, las principales vulnerabilidades estuvieron marcadas por la explotación activa de múltiples fallas de día cero y vulnerabilidades críticas en productos ampliamente utilizados. Destacaron los ataques contra Cisco SD-WAN Manager, Exchange Server, Google Chrome, Check Point VPN, Oracle PeopleSoft, Ivanti Sentry y diversos productos de Fortinet, además de la incorporación constante de nuevas vulnerabilidades al catálogo KEV de CISA. Paralelamente, fabricantes como Microsoft, SAP, Cisco, F5, Veeam, Splunk y Apple publicaron actualizaciones para corregir fallas de alta severidad que permitían ejecución remota de código, escalamiento de privilegios o acceso no autorizado. También cobraron relevancia los ataques contra la cadena de suministro de software, con compromisos en plugins de WordPress, JetBrains Marketplace, Gogs y componentes ampliamente utilizados como FFmpeg y NGINX, reforzando la necesidad de mantener una gestión oportuna de parches y revisar la integridad de componentes de terceros.
En el panorama de ciberamenazas predominó el uso de campañas cada vez más sofisticadas orientadas al robo de credenciales y al compromiso de cadenas de suministro de software. Se identificaron operaciones que abusaron de plataformas legítimas como OpenAI, Microsoft Teams, WhatsApp, Steam Workshop, GitHub y Shop para distribuir malware, mientras que campañas como Miasma, Shai-Hulud, Mastra AI, Arch Linux y ShapedPlugin demostraron el creciente interés de los atacantes por comprometer ecosistemas de desarrollo y repositorios de código. Asimismo, surgieron nuevas familias de malware y puertas traseras como Mistic, Edgecution, Gaslight, Rokarolla y SprySOCKS, junto con la evolución de operaciones de ransomware como DragonForce, Gentlemen, Prinz Eugen e Icarus. En paralelo, continuaron las campañas de espionaje atribuidas a actores vinculados con China y Corea del Norte, dirigidas contra organismos gubernamentales, instituciones médicas y empresas.
Respecto a los principales riesgos de ciberseguridad, el período volvió a evidenciar la creciente exposición de las organizaciones frente a la dependencia de software de terceros, plataformas cloud y herramientas de inteligencia artificial. Los incidentes que afectaron repositorios de código, marketplaces de complementos y mecanismos de actualización demostraron cómo un único compromiso puede propagarse rápidamente a miles de organizaciones. A ello se suman los riesgos asociados al uso de agentes de IA y plataformas de desarrollo asistidas por inteligencia artificial, donde investigaciones sobre OpenClaw, AutoGen Studio y Microsoft 365 Copilot mostraron nuevos escenarios de abuso y filtración de información. Finalmente, diversas incidencias operacionales en Windows y Microsoft Office reforzaron la importancia de evaluar cuidadosamente los procesos de actualización y mantener estrategias de continuidad operacional en entornos empresariales.
Vulnerabilidades
Mandiant revela cómo explotaron el día cero de Cisco SD-WAN para obtener acceso root
Mandiant entregó nuevos antecedentes sobre la explotación de la vulnerabilidad CVE-2026-20245 en Cisco Catalyst SD-WAN, utilizada en ataques de día cero para obtener privilegios de administrador. La falla, causada por una validación insuficiente de entradas, permitió a atacantes autenticados ejecutar comandos como root mediante la carga de archivos especialmente diseñados. Cisco ya publicó actualizaciones de seguridad y confirmó que la vulnerabilidad fue explotada en un número limitado de incidentes.
La investigación indica que los atacantes primero obtuvieron acceso mediante conexiones SD-WAN no autorizadas y luego aprovecharon la vulnerabilidad cargando un archivo CSV malicioso para crear una cuenta con privilegios root. Posteriormente eliminaron rastros de la intrusión restaurando configuraciones, borrando archivos temporales y suprimiendo evidencias. Mandiant publicó indicadores de compromiso y recomendó revisar conexiones de peering no autorizadas y actualizar los dispositivos afectados.
Cisco alerta explotación activa de falla crítica en Unified Communications Manager
Cisco confirmó que la vulnerabilidad CVE-2026-20230, de tipo SSRF y con alta severidad, está siendo explotada activamente contra Cisco Unified Communications Manager y Unified CM SME. La falla, corregida el 3 de junio, permite que un atacante remoto sin autenticación escriba archivos en el sistema operativo subyacente, lo que posteriormente puede facilitar la obtención de privilegios de administrador.
La empresa de inteligencia Defused detectó intentos de explotación desde una misma dirección IP utilizando cargas útiles file:// para crear archivos de prueba en los dispositivos vulnerables. Tras conocerse la actividad maliciosa, SSD Secure publicó un análisis técnico y un código de prueba que demuestra cómo la vulnerabilidad puede utilizarse para escribir archivos arbitrarios y, eventualmente, ejecutar código con privilegios de root.
CISA advierte explotación activa de vulnerabilidades críticas en equipos Ubiquiti y Lantronix
La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) incorporó cuatro vulnerabilidades a su catálogo de fallas explotadas activamente, incluyendo tres de máxima severidad en Ubiquiti UniFi OS y una en servidores Lantronix EDS5000. Las vulnerabilidades permiten eludir controles de acceso, acceder a archivos sensibles e incluso ejecutar comandos arbitrarios de forma remota.
CISA ordenó a las agencias federales aplicar los parches o mitigaciones recomendadas en un plazo de tres días. Ubiquiti había publicado las actualizaciones en mayo y posteriormente investigadores de Bishop Fox demostraron que las tres fallas podían combinarse para obtener ejecución remota de código con privilegios elevados. Lantronix también publicó una actualización para corregir la vulnerabilidad presente en el módulo HTTP RPC de sus dispositivos.
Microsoft confirma que Windows 11 26H2 llegará mediante un paquete de habilitación
Microsoft confirmó que Windows 11 26H2 será la próxima actualización de funciones del sistema operativo y anunció que los equipos con las versiones 24H2 y 25H2 podrán instalarla mediante un pequeño paquete de habilitación (enablement package). La compañía ya comenzó a probar esta versión con los participantes del programa Windows Insider en el canal Dev, manteniendo el modelo de actualizaciones anuales.
La empresa explicó que las versiones 24H2, 25H2 y 26H2 comparten la misma rama de mantenimiento, por lo que la actualización solo activará funciones ya presentes en el sistema mediante un archivo de 174 KB y un reinicio. En cambio, los dispositivos con Windows 11 23H2 o versiones anteriores deberán descargar la actualización completa, de aproximadamente 6,5 GB. Microsoft aún no informó la fecha de disponibilidad general.
FortiBleed utilizó un sniffer personalizado para robar credenciales desde firewalls FortiGate
SOCRadar amplió su investigación sobre la campaña FortiBleed y señaló que los atacantes utilizaron una herramienta denominada FortigateSniffer para capturar credenciales desde dispositivos FortiGate previamente comprometidos. La operación habría afectado a más de 430.000 firewalls desde febrero de 2026 y estaría asociada a un intermediario de acceso inicial que emplea fuerza bruta, credential stuffing y otras técnicas para comprometer redes corporativas.
Según el informe, la herramienta aprovecha una función legítima de diagnóstico de FortiOS para inspeccionar tráfico de autenticación y extraer contraseñas, hashes y secretos de protocolos como Kerberos, LDAP, NTLM y RADIUS. Posteriormente, los datos son procesados y preparados para su descifrado mediante Hashcat en una infraestructura con múltiples GPU. Los administradores fueron instados a revisar los indicadores publicados e investigar posibles compromisos.
PixelSmash expone a FFmpeg a ejecución remota de código y ataques de denegación de servicio
Investigadores de JFrog revelaron la vulnerabilidad CVE-2026-8461, denominada PixelSmash, que afecta al decodificador MagicYUV de FFmpeg. El fallo consiste en una escritura fuera de límites en memoria y puede activarse mediante archivos AVI, MKV o MOV especialmente manipulados. La vulnerabilidad recibió una puntuación CVSS de 8,8 y fue corregida en la versión 8.1.2 de FFmpeg.
La falla puede provocar ataques de denegación de servicio en aplicaciones como Kodi, OBS Studio, Emby, Nextcloud y PhotoPrism, además de permitir ejecución remota de código en determinados escenarios, como servidores Jellyfin con protecciones deshabilitadas o combinando otra vulnerabilidad. Debido a que FFmpeg es utilizado por cientos de proyectos, los investigadores advirtieron que el impacto se extiende ampliamente a la cadena de suministro de software.
Splunk corrige falla crítica explotada activamente y CISA exige parche inmediato
La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA) confirmó la explotación activa de la vulnerabilidad CVE-2026-20253 en Splunk Enterprise y ordenó a las agencias federales aplicar las actualizaciones antes del plazo establecido. La falla afecta a las versiones 10.2.0-10.2.3 y 10.0.0-10.0.6, permitiendo que atacantes remotos sin autenticación creen o modifiquen archivos mediante el servicio PostgreSQL Sidecar.
Splunk había publicado los parches días antes y posteriormente reconoció casos de explotación limitada en entornos reales. La compañía recomendó actualizar inmediatamente los sistemas o, como medida temporal, deshabilitar el servicio PostgreSQL Sidecar, aunque advirtió que esto afecta funciones como Edge Processor y determinadas canalizaciones de datos. CISA incorporó la vulnerabilidad a su catálogo de fallas explotadas activamente.
Ataques explotan vulnerabilidad de Gravity SMTP en más de 100.000 sitios WordPress
Actores maliciosos están explotando la vulnerabilidad CVE-2026-4020 en el complemento Gravity SMTP para WordPress, instalado en alrededor de 100.000 sitios. El fallo permite acceder sin autenticación a un informe del sistema que expone claves API, secretos, tokens OAuth, credenciales de servicios de correo, información del servidor y detalles de la configuración del sitio. La vulnerabilidad fue corregida en la versión 2.1.5.
Wordfence informó haber bloqueado más de 17 millones de intentos de explotación, con un fuerte incremento de actividad registrado el 7 de junio. La empresa recomendó revisar los registros del servidor en busca de solicitudes dirigidas al endpoint vulnerable y actualizar inmediatamente el complemento. Además, alertó sobre otra vulnerabilidad crítica en Avada Builder, aunque indicó que esta última aún no presenta explotación activa.
Microsoft corrige AutoJack, una cadena de fallas que permitía ejecutar código en AutoGen Studio
Microsoft solucionó una cadena de vulnerabilidades denominada AutoJack en AutoGen Studio, la interfaz gráfica de su framework de inteligencia artificial AutoGen. La combinación de tres debilidades permitía que un agente de IA, al visitar una página web maliciosa, ejecutara comandos arbitrarios en el equipo del desarrollador mediante conexiones WebSocket y parámetros manipulados.
La compañía indicó que el problema fue detectado y corregido durante el desarrollo, antes de publicarse en PyPI, por lo que solo afectó a quienes compilaron AutoGen Studio directamente desde GitHub durante un período específico. Microsoft recomendó utilizar la herramienta únicamente en entornos aislados, con privilegios limitados y evitando ejecutar agentes capaces de navegar o ejecutar código sobre contenido no confiable.
Plugins maliciosos en JetBrains roban claves API de servicios de IA
Aikido Security identificó una campaña que distribuyó al menos 15 complementos maliciosos a través de JetBrains Marketplace con el objetivo de robar claves API de servicios de inteligencia artificial utilizadas por desarrolladores. Los plugins, publicados desde octubre de 2025 bajo siete cuentas distintas, simulaban ser asistentes de programación, herramientas de revisión de código y utilidades para Git, acumulando cerca de 70.000 descargas.
Los investigadores determinaron que, al ingresar una clave API y pulsar «Apply», el complemento enviaba la credencial a un servidor controlado por los atacantes mediante una conexión HTTP. Además, detectaron una función que entregaba claves API a usuarios de pago, lo que sugiere que las credenciales robadas podrían reutilizarse. Al cierre del informe, algunos de estos complementos seguían disponibles en el Marketplace de JetBrains.
Microsoft prepara parche para vulnerabilidad RoguePlanet en Defender
Microsoft confirmó que desarrolla una actualización de seguridad para corregir la vulnerabilidad RoguePlanet, ahora identificada como CVE-2026-50656, que afecta al motor de protección de Microsoft Defender. El fallo fue divulgado públicamente una semana antes junto con un código de prueba que demuestra la posibilidad de obtener privilegios SYSTEM mediante una condición de carrera en equipos Windows 10 y Windows 11 completamente actualizados.
La compañía indicó que investiga la vulnerabilidad y que publicará una actualización cuando esté lista. El investigador que reveló RoguePlanet afirmó que el exploit funciona con o sin la protección en tiempo real habilitada y señaló que forma parte de una serie de vulnerabilidades divulgadas recientemente en medio de un desacuerdo con Microsoft respecto de sus programas de divulgación y recompensas por fallos de seguridad.
F5 publica parches fuera de ciclo para vulnerabilidades críticas en NGINX
F5 lanzó actualizaciones de seguridad fuera de su calendario habitual para corregir múltiples vulnerabilidades en NGINX, incluidas dos fallas críticas identificadas como CVE-2026-42530 y CVE-2026-42055. Ambas permiten que atacantes remotos no autenticados provoquen denegaciones de servicio o ejecuten código en determinadas configuraciones no predeterminadas del servidor web.
Las correcciones están disponibles para NGINX Plus, NGINX Open Source, NGINX Gateway Fabric y NGINX Instance Manager. Como mitigación temporal, F5 recomendó deshabilitar HTTP/3 o modificar determinadas directivas de configuración. La empresa indicó que no existen evidencias de explotación activa, aunque recordó que vulnerabilidades en sus productos han sido utilizadas previamente en campañas de cibercrimen y espionaje.
Apple corrige falla en Beats Studio Buds que permitía escuchar conversaciones
Apple publicó una actualización de firmware para solucionar la vulnerabilidad CVE-2025-20701, una falla de alta gravedad que afecta a los audífonos Beats Studio Buds. El problema permitía que un atacante situado dentro del alcance de Bluetooth pudiera activar el micrófono de un dispositivo aún no emparejado y escuchar conversaciones cercanas.
La vulnerabilidad, descubierta por investigadores de ERNW GmbH, se originaba en una debilidad de autenticación del chip Bluetooth Airoha. Apple distribuye automáticamente el firmware 1B211 cuando los audífonos se encuentran emparejados y próximos a un iPhone, iPad o Mac. Los investigadores señalaron que la explotación requiere cercanía física y conocimientos técnicos avanzados.
Ataque a la cadena de suministro compromete plugins OptinMonster, TrustPulse y PushEngage
Los plugins de WordPress OptinMonster, TrustPulse y PushEngage fueron comprometidos en un ataque a la cadena de suministro que afectó la red de distribución de contenido (CDN) de Awesome Motive. Investigadores de Sansec detectaron que, durante un periodo limitado entre el 12 y el 13 de junio, se distribuyó código JavaScript malicioso a los sitios que utilizaban estos complementos.
El código se ejecutaba cuando un administrador visitaba el sitio afectado, obteniendo tokens de autenticación para crear cuentas administrativas no autorizadas e instalar plugins ocultos con funciones de puerta trasera. Awesome Motive indicó que los atacantes obtuvieron credenciales del CDN tras comprometer un servidor de marketing mediante una vulnerabilidad conocida en UpdraftPlus y aseguró que sus sistemas de producción y los datos de clientes no fueron afectados.
Vulnerabilidad crítica en SimpleHelp permite crear cuentas privilegiadas
Investigadores de Horizon3.ai identificaron la vulnerabilidad crítica CVE-2026-48558 en el software de administración remota SimpleHelp. La falla permite que un atacante no autenticado cree cuentas de técnico con privilegios elevados cuando el servidor utiliza autenticación mediante OpenID Connect (OIDC), sin necesidad de superar la autenticación multifactor.
El problema afecta las versiones 5.5.15 y anteriores, además de las versiones preliminares de la rama 6.0. SimpleHelp corrigió la vulnerabilidad con las versiones 5.5.16 y 6.0RC2. Los investigadores precisaron que el riesgo depende de configuraciones específicas relacionadas con OIDC y publicaron indicadores de compromiso para ayudar a identificar posibles explotaciones.
Vulnerabilidades críticas de FortiSandbox son explotadas en ataques
La empresa Defused informó que varias vulnerabilidades críticas de Fortinet FortiSandbox, identificadas como CVE-2026-39813, CVE-2026-39808 y CVE-2026-25089, comenzaron a ser explotadas en ataques. Las fallas permiten a atacantes no autenticados elevar privilegios y ejecutar código remoto mediante ataques de inyección de comandos con baja complejidad.
Fortinet publicó actualizaciones para corregir estas vulnerabilidades entre abril y junio de 2026. Defused detectó actividad de explotación durante las últimas 24 horas e indicó que una de las fallas no registraba explotación pública previa. La compañía recomendó actualizar las implementaciones afectadas para impedir nuevos intentos de compromiso.
CISA alerta sobre vulnerabilidad activa en plugin LiteSpeed para cPanel
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) incorporó al catálogo de vulnerabilidades explotadas la falla CVE-2026-48172 del plugin LiteSpeed para cPanel. El problema afecta versiones anteriores a la 2.4.8 y permite elevar privilegios hasta obtener acceso root en servidores compartidos con CloudLinux y CageFS.
LiteSpeed informó que la vulnerabilidad está siendo explotada activamente y publicó actualizaciones de seguridad junto con un procedimiento para detectar posibles compromisos mediante el análisis de registros. CISA otorgó a las agencias federales un plazo de tres días para aplicar las mitigaciones establecidas por la directiva BOD 26-04.
Microsoft corrige fallas de instalación de actualizaciones mediante WUSA
Microsoft solucionó un problema conocido que impedía instalar correctamente actualizaciones de Windows distribuidas desde mayo de 2025 cuando se utilizaba Windows Update Standalone Installer (WUSA) con archivos .msu almacenados en recursos compartidos de red. La incidencia afectaba a equipos con Windows 11 24H2, 25H2 y Windows Server 2025 en entornos empresariales, sin impacto habitual en dispositivos domésticos.
La corrección fue incorporada en las actualizaciones acumulativas de junio de 2026 para Windows 11 y Windows Server 2025. Microsoft indicó que quienes aún experimenten el problema pueden instalar temporalmente los archivos .msu desde almacenamiento local. La empresa recordó además que recientemente resolvió otros errores relacionados con la distribución de actualizaciones en entornos corporativos.
phpBB corrige vulnerabilidad que permitía eludir la autenticación
Los desarrolladores de phpBB corrigieron una vulnerabilidad de autenticación presente durante aproximadamente diez años que permitía iniciar sesión como cualquier usuario, incluidos administradores, mediante una única solicitud HTTP. El fallo afecta a las versiones 3.3.16 e inferiores y a la rama 4.0.0-a2, donde aún no existe una versión estable con la corrección.
El problema fue descubierto por investigadores de Aikido el 2 de junio y corregido el 6 de junio en phpBB 3.3.17 tras ser reportado mediante HackerOne. De ser explotado, un atacante podría acceder a mensajes privados, modificar contenido, administrar cuentas o alterar foros completos. Los investigadores aplazaron la publicación de los detalles técnicos para facilitar la actualización de las instalaciones afectadas.
Microsoft 365 Copilot corrige cadena crítica de vulnerabilidades SearchLeak
Microsoft solucionó la vulnerabilidad crítica CVE-2026-42824, denominada SearchLeak, que permitía extraer información de Microsoft 365 Copilot Enterprise mediante una cadena de tres fallos. La técnica hacía posible obtener datos almacenados en buzones de correo, OneDrive o SharePoint con solo inducir a la víctima a abrir un enlace especialmente diseñado.
La investigación, realizada por Varonis, combinó una inyección de instrucciones mediante parámetros, una condición de carrera en el renderizado HTML y un bypass de la política CSP aprovechando una funcionalidad de Bing. Microsoft corrigió el problema a comienzos de junio, por lo que los usuarios no deben realizar acciones adicionales para quedar protegidos frente a este escenario.
Cisco corrige vulnerabilidad de Catalyst SD-WAN explotada como día cero
Cisco publicó actualizaciones de seguridad para corregir la vulnerabilidad CVE-2026-20262 en Catalyst SD-WAN Manager, anteriormente conocido como vManage. El fallo permitía a atacantes autenticados cargar archivos especialmente diseñados para sobrescribir componentes del sistema y posteriormente escalar privilegios hasta obtener acceso como usuario root.
La empresa confirmó que la vulnerabilidad ya estaba siendo explotada antes de la publicación de los parches y recomendó actualizar de inmediato las versiones afectadas. Cisco también entregó indicadores de compromiso para ayudar a los administradores a identificar intentos de explotación mediante la carga de archivos JSP y WAR en los registros del sistema.
Microsoft corrige vulnerabilidad de día cero en Exchange Server explotada en ataques
Microsoft publicó actualizaciones de seguridad para corregir la vulnerabilidad CVE-2026-42897, una falla de alta gravedad en Exchange Server 2016, 2019 y Subscription Edition que estaba siendo explotada activamente. El problema permite a atacantes remotos sin privilegios ejecutar código JavaScript arbitrario mediante ataques de cross-site scripting (XSS) dirigidos a usuarios de Outlook Web Access a través de correos electrónicos especialmente diseñados.
La compañía recomendó instalar de inmediato las actualizaciones de junio de 2026 y mantener habilitadas las mitigaciones automáticas implementadas previamente mediante Exchange Emergency Mitigation Service (EEMS). Además, la Agencia de Ciberseguridad de los Estados Unidos (CISA) incorporó la vulnerabilidad a su catálogo de fallas explotadas activamente y ordenó a las agencias federales estadounidenses aplicar los parches dentro del plazo establecido.
Langflow corrige vulnerabilidad utilizada en ataques contra servidores expuestos
Investigadores confirmaron la explotación activa de la vulnerabilidad CVE-2026-5027, un fallo de recorrido de directorios (path traversal) en la plataforma de desarrollo de aplicaciones de inteligencia artificial Langflow. La falla permite escribir archivos arbitrarios en el sistema mediante la manipulación del parámetro de nombre de archivo durante la carga de contenido.
La vulnerabilidad afecta versiones anteriores a Langflow 1.9.0 y puede explotarse sin autenticación debido a la configuración predeterminada de inicio de sesión automático. Los desarrolladores recomendaron actualizar a la versión 1.10.0 para mitigar el riesgo.
Vulnerabilidad crítica en Ivanti Sentry ya está siendo explotada tras la publicación del parche
La organización Shadowserver informó que atacantes comenzaron a explotar activamente la vulnerabilidad CVE-2026-10520 en Ivanti Sentry pocas horas después de que la empresa publicara las actualizaciones de seguridad. El fallo, de severidad máxima, corresponde a una inyección de comandos del sistema operativo que permite ejecutar código con privilegios de administrador en puertas de enlace expuestas a Internet.
Aunque Ivanti indicó inicialmente que no tenía evidencia de explotación, Shadowserver detectó múltiples intentos de ataque y confirmó que algunos dispositivos ya habían sido comprometidos mediante puertas traseras. La organización advirtió que muchas instancias probablemente se encuentren comprometidas si aún no han aplicado las versiones corregidas R10.5.2, R10.6.2 o R10.7.1.
Oracle publica mitigaciones para vulnerabilidad de día cero en PeopleSoft
Oracle emitió una alerta de seguridad para la vulnerabilidad crítica CVE-2026-35273, que afecta a PeopleSoft PeopleTools 8.61 y 8.62. La falla permite la ejecución remota de código sin autenticación y recibió una puntuación CVSS de 9,8. Mientras desarrolla un parche definitivo, la empresa publicó mitigaciones de emergencia para reducir la exposición de los sistemas afectados.
La divulgación ocurrió después de que se reportaran ataques contra instancias de PeopleSoft utilizados para el robo de información. Investigaciones posteriores confirmaron que la vulnerabilidad estaba siendo explotada como un día cero y que organizaciones, principalmente del sector educativo, fueron notificadas por presentar sistemas potencialmente vulnerables expuestos a Internet.
Google corrige un nuevo día cero de Chrome explotado en ataques
Google publicó una actualización de emergencia para corregir la vulnerabilidad CVE-2026-11645, un fallo de alta gravedad en el motor JavaScript V8 de Chrome que estaba siendo explotado activamente. La falla permite a un atacante remoto ejecutar código dentro del navegador mediante páginas HTML especialmente diseñadas y corresponde al quinto día cero corregido por la compañía durante 2026.
El problema se origina por una lectura y escritura fuera de límites en memoria, lo que puede provocar corrupción del heap, acceso a información sensible, fallos del navegador y facilitar la evasión de mecanismos de protección como ASLR. Google distribuyó las versiones corregidas para Windows, macOS y Linux, aunque indicó que mantendrá restringidos los detalles técnicos hasta que la mayoría de los usuarios haya instalado la actualización.
Veeam corrige vulnerabilidad crítica que permite ejecución remota de código
Veeam publicó actualizaciones para corregir la vulnerabilidad crítica CVE-2026-44963, que afecta a Backup & Replication 12.3.2.4465 y versiones anteriores de la rama 12. El fallo permite que un usuario autenticado del dominio, incluso con bajos privilegios, ejecute código de forma remota en servidores de respaldo unidos a un dominio Windows.
La empresa señaló que la vulnerabilidad fue corregida en la versión 12.3.2.4854 y que no afecta a la rama 13 debido a cambios en su arquitectura. Aunque no existen evidencias de explotación activa, Veeam advirtió que los atacantes suelen desarrollar exploits poco después de publicarse los parches, por lo que recomendó actualizar los sistemas sin demora.
Microsoft corrige 200 vulnerabilidades y seis fallas de día cero en Patch Tuesday
Microsoft publicó las actualizaciones de seguridad correspondientes a junio de 2026, corrigiendo un total de 200 vulnerabilidades (consolidado de Bleeping Computer), incluidas seis fallas de día cero, una de ellas explotada activamente y otras cinco divulgadas públicamente antes de la publicación de los parches. Entre las vulnerabilidades corregidas predominan las de elevación de privilegios y ejecución remota de código.
Las actualizaciones abarcan Windows, Office, Exchange y otros productos del ecosistema Microsoft. Debido al volumen y criticidad de las fallas corregidas, la compañía instó a los administradores a desplegar las actualizaciones lo antes posible para reducir la exposición frente a ataques que aprovechen vulnerabilidades ya conocidas.
SAP publica actualizaciones para corregir fallas críticas en NetWeaver y Commerce Cloud
SAP liberó su paquete mensual de seguridad correspondiente a junio de 2026, el cual corrige 15 vulnerabilidades, incluidas cuatro de severidad crítica que afectan las plataformas SAP NetWeaver y SAP Commerce Cloud. Las actualizaciones buscan reducir el riesgo asociado a componentes ampliamente utilizados en entornos empresariales.
Las vulnerabilidades corregidas podrían permitir distintos tipos de ataques dependiendo de la configuración de los sistemas afectados, por lo que SAP recomendó instalar las actualizaciones tan pronto como sea posible.
Check Point corrige vulnerabilidad crítica en VPN explotada en ataques de día cero
Check Point publicó actualizaciones de seguridad para corregir la vulnerabilidad crítica CVE-2026-50751, que afecta implementaciones de Remote Access VPN y Mobile Access configuradas con el protocolo IKEv1. La falla permite a atacantes remotos sin autenticación eludir los mecanismos de acceso y establecer conexiones VPN no autorizadas. La compañía confirmó que los ataques comenzaron el 7 de mayo y alcanzaron su punto más alto a inicios de junio.
La investigación identificó que solo unas pocas decenas de organizaciones fueron afectadas y que, al menos en un caso, la intrusión estuvo vinculada a afiliados del ransomware Qilin. Además, Check Point corrigió una segunda vulnerabilidad, CVE-2026-50752, relacionada con la validación de certificados en IKEv1, susceptible a ataques de intermediario. La empresa recomendó aplicar las actualizaciones y deshabilitar el uso del protocolo heredado.
Cadena de fallas en UniFi OS permite obtener privilegios de administrador sin autenticación
Investigadores de Bishop Fox demostraron que tres vulnerabilidades previamente corregidas en UniFi OS Server (CVE-2026-34908, CVE-2026-34909 y CVE-2026-34910) pueden combinarse para ejecutar código remoto con privilegios de administrador sin necesidad de credenciales. La cadena afecta las versiones 5.0.6 y anteriores del sistema de administración de infraestructura de Ubiquiti.
El ataque aprovecha inconsistencias entre la validación y el enrutamiento de solicitudes para evadir la autenticación y ejecutar comandos en el sistema, facilitando posteriormente la escalada de privilegios mediante permisos sudo del servicio afectado. Bishop Fox publicó una herramienta para verificar si una instalación es vulnerable y recomendó actualizar a la versión 5.0.8 o superior, además de comprobar que los equipos no hayan sido comprometidos previamente.
Gogs corrige vulnerabilidad crítica que permite ejecución remota de código
El proyecto Gogs publicó la versión 0.14.3 para corregir una vulnerabilidad crítica de inyección de argumentos que permite a usuarios autenticados comprometer servidores expuestos a Internet. La falla, aún sin identificador CVE asignado, afecta todas las versiones hasta la 0.14.2 y 0.15.0+dev, permitiendo acceder a repositorios privados, modificar código y desplazarse lateralmente dentro de la red.
El investigador Jonah Burgess, de Rapid7, informó que el problema resulta especialmente relevante porque la configuración predeterminada de Gogs permite el registro abierto de usuarios y la creación ilimitada de repositorios, facilitando la explotación. Como medidas temporales, recomendó restringir el registro de cuentas y limitar la creación de repositorios hasta aplicar la actualización de seguridad publicada por los mantenedores del proyecto.
Ciberamenazas
Falsas invitaciones de organizaciones de OpenAI apuntan a empresas de ciberseguridad
Una campaña de ingeniería social está utilizando invitaciones fraudulentas a organizaciones de OpenAI para atacar a empleados de empresas de ciberseguridad. Los atacantes crean organizaciones que suplantan a compañías legítimas y envían invitaciones para que las víctimas colaboren en chats o proyectos aparentemente auténticos, buscando que compartan información confidencial dentro de un entorno controlado por los operadores de la campaña.
El objetivo es obtener datos sensibles directamente desde las conversaciones y proyectos creados en la plataforma, aprovechando la confianza que generan los servicios de inteligencia artificial. La campaña se centra en el robo de información mediante técnicas de phishing y suplantación de identidad, sin requerir la explotación de vulnerabilidades técnicas en la plataforma de OpenAI.
Campaña de phishing en WhatsApp distribuye malware mediante falsos documentos empresariales
Kaspersky detectó una campaña dirigida contra usuarios de WhatsApp en varios países que utiliza cuentas previamente comprometidas para enviar archivos VBScript disfrazados de documentos financieros o comerciales. Al ejecutar el archivo en Windows, se inicia una cadena de infección que descarga componentes adicionales y prepara el sistema para instalar herramientas de administración remota controladas por los atacantes.
El ataque instala de forma silenciosa ManageEngine Endpoint Central y lo configura para conectarse a servidores bajo control del actor malicioso, otorgándole acceso remoto al equipo comprometido. La campaña ha sido observada en países como Brasil, India, México, Reino Unido, España, Australia y Taiwán. Aunque no existe una atribución definitiva, Kaspersky identificó indicios de infraestructura relacionada con actividades previamente asociadas a ValleyRAT y Gh0st RAT.
Nueva campaña ClickFix para macOS distribuye Atomic Stealer mediante imágenes DMG
Investigadores de Palo Alto Networks identificaron una campaña ClickFix dirigida a usuarios de macOS que utiliza falsas páginas CAPTCHA para convencer a las víctimas de ejecutar comandos en Terminal. Estos comandos descargan y montan de forma silenciosa imágenes DMG maliciosas que instalan Atomic macOS Stealer (AMOS), un malware especializado en el robo de información confidencial.
Una vez instalado, el malware recopila credenciales almacenadas en navegadores, datos del llavero de Apple, documentos, información de aplicaciones de mensajería y billeteras de criptomonedas, además de reemplazar aplicaciones legítimas como Ledger Live y Trezor Suite por versiones maliciosas. Toda la información robada se comprime y envía a la infraestructura de los atacantes mediante servidores de mando y control identificados durante la investigación.
Mistic: nueva puerta trasera vinculada a un intermediario de acceso para ransomware
Investigadores de Symantec identificaron una nueva puerta trasera denominada Mistic, utilizada desde abril de 2026 en ataques contra organizaciones de los sectores asegurador, educativo, tecnológico y de servicios profesionales. El malware fue asociado al intermediario de acceso inicial KongTuke/Woodgnat, grupo conocido por comprometer redes corporativas y vender posteriormente ese acceso a operadores de ransomware.
Mistic se instala mediante carga lateral de una DLL maliciosa y establece persistencia ejecutando código directamente en memoria para reducir su detección. El malware permite descargar y cargar archivos, ejecutar instrucciones enviadas por el servidor de mando y control, modificar su frecuencia de comunicación y eliminarse del sistema. Investigaciones adicionales de Zscaler vincularon su distribución con campañas basadas en la técnica ClickFix.
Edgecution utiliza una extensión maliciosa de Microsoft Edge para instalar una puerta trasera
Investigadores de Zscaler analizaron Edgecution, una extensión maliciosa para Microsoft Edge utilizada en ataques atribuidos a un intermediario de acceso relacionado con la operación de ransomware Payouts Kings. La campaña comienza con engaños a través de Microsoft Teams y sitios falsos que simulan actualizaciones de Outlook para inducir a las víctimas a ejecutar scripts maliciosos.
La extensión aprovecha el protocolo Chrome Native Messaging para comunicarse con una puerta trasera desarrollada en Python que opera fuera del entorno aislado del navegador. Esta combinación permite ejecutar comandos, utilizar PowerShell, escribir archivos, recopilar información del sistema y mantener persistencia en el equipo comprometido. Zscaler advirtió que la técnica representa una evolución en el uso de extensiones de navegador para facilitar intrusiones posteriores.
Bluekit incorpora ataques Browser-in-the-Middle para robar credenciales
La plataforma de phishing como servicio Bluekit amplió sus capacidades incorporando la técnica Browser-in-the-Middle (BitM), que permite a los atacantes controlar una sesión de navegación legítima mientras las víctimas interactúan con páginas auténticas de inicio de sesión. Según Netcraft, el kit también sumó cerca de 70 nuevos dominios y utiliza la biblioteca legítima rrweb para transmitir en tiempo real la interacción del usuario hacia el navegador controlado por el atacante.
La campaña incluye mecanismos para identificar víctimas reales y evitar investigadores mediante huellas digitales del navegador, detección de VPN, CAPTCHA personalizados y código JavaScript ofuscado. Una vez que el usuario completa la autenticación, el atacante obtiene un token de sesión válido que le permite acceder a la cuenta comprometida sin necesidad de conocer la contraseña, dificultando la detección de la actividad maliciosa.
Nuevo malware para macOS incorpora falsos errores para confundir herramientas de IA
Investigadores de SentinelOne identificaron un nuevo malware para macOS denominado Gaslight, atribuido con alta confianza a un actor vinculado con Corea del Norte. El código incorpora decenas de mensajes falsos de depuración, registros de errores y supuestos fallos del sistema con el objetivo de confundir plataformas de análisis asistidas por inteligencia artificial durante el proceso de ingeniería inversa.
El malware, desarrollado en Rust, mantiene capacidades de puerta trasera y robo de información, mientras que los mensajes falsificados buscan inducir a las herramientas de IA a interpretar erróneamente el análisis o incluso interrumpirlo. SentinelOne señaló que la técnica apunta específicamente a alterar la percepción de sistemas automatizados de análisis, reflejando un nuevo enfoque de evasión dirigido a herramientas basadas en modelos de lenguaje.
Aplicación Shop es utilizada para distribuir ataques de callback phishing
Investigadores de Gen Digital detectaron una campaña que utiliza la aplicación Shop, desarrollada por Shopify, para insertar recibos falsos de compras dentro del historial de pedidos de los usuarios. Las notificaciones suplantan marcas como Norton, McAfee, Apple y PayPal e incluyen números telefónicos fraudulentos para que las víctimas contacten a supuestos agentes de soporte.
Durante la llamada, los atacantes intentan obtener credenciales, datos bancarios, códigos de autenticación e incluso persuadir a las víctimas para instalar software de acceso remoto. La investigación no encontró evidencia de que Shop, Shopify o las empresas suplantadas hayan sido comprometidas, mientras continúa el análisis para determinar cómo los recibos fraudulentos son incorporados a la plataforma.
Brecha en Klue permitió robo de datos de Salesforce en campaña de extorsión de Icarus
La plataforma de inteligencia de mercado Klue sufrió una brecha que comprometió tokens OAuth utilizados por su integración Battlecards con Salesforce. Según las investigaciones divulgadas por ReliaQuest y Huntress, los atacantes obtuvieron acceso a cuentas de servicio de Klue y utilizaron los tokens para consultar la API de Salesforce y extraer información de clientes durante varias horas.
Las evidencias atribuyen la operación al grupo de extorsión Icarus, que posteriormente envió correos exigiendo pagos a las organizaciones afectadas. Klue informó que los atacantes comprometieron primero su infraestructura interna antes de distribuir una actualización maliciosa que robó los tokens OAuth. Como respuesta, la empresa deshabilitó integraciones con Salesforce y otros servicios, mientras Salesforce suspendió la aplicación Battlecards durante la investigación.
Malware con propagación por USB roba criptomonedas mediante accesos directos de Windows
Microsoft identificó una campaña activa desde febrero que distribuye un malware tipo clipper mediante archivos de acceso directo (LNK) almacenados en dispositivos USB. Tras ejecutarse, el código descarga componentes adicionales desde la red Tor, oculta documentos legítimos y los reemplaza por accesos directos maliciosos, además de copiarse automáticamente a nuevas unidades USB conectadas al equipo.
El malware monitorea continuamente el portapapeles para reemplazar direcciones de billeteras de criptomonedas por otras controladas por los atacantes. También busca frases semilla, claves privadas y captura pantallas periódicamente, enviando la información a servidores de mando y control mediante Tor. Microsoft señaló que la campaña también incorpora capacidades de ejecución remota de código.
Gentlemen RaaS fortalece ataques con múltiples herramientas para desactivar soluciones EDR
Investigadores de ESET identificaron que la operación de ransomware como servicio Gentlemen mantiene un conjunto de herramientas especializadas para desactivar soluciones de detección y respuesta en endpoints (EDR). Su principal utilidad, denominada GentleKiller, posee al menos ocho variantes que aprovechan controladores vulnerables mediante la técnica BYOVD para obtener privilegios de nivel kernel y finalizar procesos de seguridad.
El conjunto de herramientas apunta a más de 400 procesos pertenecientes a unos 48 fabricantes de seguridad y también incorpora utilidades externas utilizadas anteriormente por otros grupos de ransomware. ESET señaló que la estructura modular facilita reemplazar controladores vulnerables por otros nuevos, mientras que la operación ha sido vinculada previamente con ataques contra organizaciones y con una botnet basada en SystemBC.
Microsoft atribuye ataque a la cadena de suministro de Mastra AI a grupo norcoreano
Microsoft atribuyó con alta confianza al grupo norcoreano Sapphire Sleet (BlueNoroff) el ataque que comprometió más de 140 paquetes npm del proyecto Mastra AI. Los atacantes tomaron control de la cuenta de un mantenedor con permisos de publicación e incorporaron una dependencia maliciosa denominada «easy-day-js», diseñada para distribuir un malware en los equipos de los desarrolladores.
La carga maliciosa descargaba un ladrón de información compatible con Windows, Linux y macOS, capaz de recolectar credenciales, tokens, claves API y datos de más de 160 extensiones de billeteras de criptomonedas. Microsoft indicó que posteriormente observó actividades adicionales asociadas previamente a Sapphire Sleet, incluyendo puertas traseras en PowerShell, mecanismos de persistencia y exclusiones en Microsoft Defender.
Nuevo ransomware Prinz Eugen prioriza el cifrado de archivos recientes
Investigadores de ThreatDown analizaron una nueva operación de ransomware denominada Prinz Eugen, caracterizada por cifrar primero los archivos modificados más recientemente y por no dejar notas de rescate en los sistemas comprometidos. El grupo obtiene acceso mediante credenciales RDP robadas y utiliza herramientas legítimas de administración remota junto con utilidades nativas del sistema.
El malware, desarrollado en Go, cifra prácticamente todos los archivos mediante ChaCha20-Poly1305 y elimina rastros de la clave de cifrado una vez finalizado el proceso. Los investigadores observaron que las negociaciones con las víctimas se realizan fuera del equipo comprometido, reduciendo evidencias forenses. Hasta el momento se conocen al menos cinco organizaciones afectadas por esta operación.
Botnet AryStinger compromete miles de routers D-Link para operaciones maliciosas
Investigadores de XLab identificaron la botnet AryStinger, que ha comprometido más de 4.000 routers D-Link obsoletos mediante la explotación de vulnerabilidades antiguas. El malware transforma los dispositivos en nodos capaces de ejecutar tareas distribuidas como escaneo de redes, proxy, túneles, ejecución de comandos y reconocimiento para facilitar intrusiones posteriores.
Además de servir como infraestructura para actividades maliciosas, AryStinger puede modificar configuraciones DNS y supervisar el tráfico de red de las víctimas. La mayor parte de las infecciones se concentra en Corea del Sur y China. Los investigadores también detectaron una variante orientada a dispositivos NAS con funciones adicionales de reconocimiento interno y ejecución de código.
Filtración FortiBleed expone credenciales VPN de miles de dispositivos Fortinet
Investigadores de seguridad revelaron una filtración denominada FortiBleed que expone credenciales de acceso correspondientes a 73.932 dispositivos Fortinet y FortiGate VPN. La base de datos contenía nombres de usuario, direcciones de correo electrónico y contraseñas en texto plano asociadas a organizaciones de 194 países, incluyendo empresas de múltiples sectores e infraestructuras críticas.
El investigador Bob Diachenko descubrió el servidor expuesto y posteriormente Kevin Beaumont verificó la autenticidad de parte de las credenciales. El origen de la información aún no ha sido determinado, aunque los especialistas estiman que podría provenir de configuraciones exportadas de dispositivos Fortinet. Se recomendó cambiar contraseñas, habilitar autenticación multifactor y revisar registros en busca de actividad sospechosa.
Actualizaciones comprometidas de ShapedPlugin distribuyeron puertas traseras en WordPress
Una campaña de ataque a la cadena de suministro comprometió el proceso de actualización de tres plugins comerciales de ShapedPlugin para WordPress, distribuyendo versiones infectadas a clientes mediante el sistema oficial de actualizaciones. El malware instalaba un falso complemento relacionado con WooCommerce que permanecía oculto y otorgaba acceso remoto a los operadores.
El código malicioso también robaba credenciales de WordPress, datos de autenticación multifactor, claves de configuración, información de administradores y datos recientes de WooCommerce. Wordfence concluyó que el incidente probablemente se originó en la infraestructura de compilación del fabricante. Los administradores afectados deben instalar las versiones corregidas, eliminar los plugins falsos y restablecer credenciales.
SprySOCKS amplía su alcance con variantes para Windows
Investigadores de ESET identificaron variantes para Windows del malware SprySOCKS, atribuidas al grupo chino Earth Lusca, utilizadas entre 2023 y 2024 contra organismos gubernamentales de Taiwán, Tailandia, Pakistán y Honduras. Las nuevas versiones incorporan capacidades de ocultamiento a nivel del kernel y mantienen funciones avanzadas de acceso remoto.
Las variantes WIN_DRV y WIN_PLUS permiten ejecutar comandos, administrar archivos, registrar pulsaciones de teclado, capturar información del sistema y establecer comunicaciones mediante distintos protocolos. La versión WIN_DRV añade funciones para ocultar procesos, archivos y conexiones de red, además de mecanismos adicionales de persistencia en los sistemas comprometidos.
DragonForce utiliza Microsoft Teams para ocultar comunicaciones maliciosas
Symantec detectó que el grupo de ransomware DragonForce empleó el malware Backdoor.Turn para ocultar el tráfico de comando y control utilizando la infraestructura TURN de Microsoft Teams. La técnica permite que las comunicaciones del malware se mezclen con tráfico legítimo asociado al servicio de Microsoft.
El ataque analizado comenzó con el compromiso de un servidor SQL y continuó con el uso de controladores vulnerables para obtener privilegios de kernel y desactivar herramientas de seguridad. Posteriormente, los atacantes exfiltraron información, desplegaron el ransomware DragonForce y utilizaron Backdoor.Turn para mantener capacidades de acceso remoto y reconocimiento de la red.
Steam Workshop distribuye malware mediante Wallpaper Engine
Investigadores de Kaspersky identificaron una campaña que utilizó Steam Workshop para distribuir malware oculto en fondos de pantalla destinados a Wallpaper Engine. Los archivos maliciosos podían instalar puertas traseras, infostealers, mineros de criptomonedas y otras amenazas aprovechando la ejecución de aplicaciones como fondos de escritorio.
El análisis reveló decenas de fondos comprometidos con miles de descargas. En uno de los casos, un supuesto juego instalaba una puerta trasera de la familia DarkKomet y componentes destinados al robo de credenciales de Steam. Tras la notificación, Steam eliminó los archivos identificados por los investigadores.
Rokarolla apunta a aplicaciones bancarias y de criptomonedas en Android
La empresa Zimperium identificó el troyano bancario Rokarolla para Android, diseñado para atacar 217 aplicaciones bancarias y de criptomonedas. El malware se distribuye mediante sitios que simulan ofrecer descargas de Google Chrome o TikTok y solicita amplios permisos del sistema para obtener control del dispositivo.
Una vez instalado, Rokarolla recopila información del equipo y descarga pantallas falsas de inicio de sesión para capturar credenciales y datos financieros. También puede registrar pulsaciones de teclado, acceder a mensajes SMS, capturar contactos, tomar capturas de pantalla, manipular el portapapeles y controlar diversas funciones del dispositivo comprometido.
Más de 400 paquetes de Arch Linux distribuyeron rootkit y malware roba credenciales
Investigadores detectaron que más de 400 paquetes del repositorio comunitario Arch User Repository (AUR) fueron modificados para distribuir un rootkit para Linux y un malware diseñado para robar credenciales y tokens de acceso. Los atacantes suplantaron a un mantenedor confiable para insertar scripts que descargaban el paquete malicioso denominado atomic-lockfile.
Los análisis revelaron que el malware podía capturar información de GitHub, SSH, HashiCorp Vault, navegadores, Slack, Teams, Discord y otras aplicaciones utilizadas por desarrolladores. Además, incorporaba capacidades de rootkit mediante eBPF para ocultar procesos. Los mantenedores de AUR comenzaron a retirar los paquetes comprometidos y recomendaron revisar indicadores de compromiso, cambiar credenciales y reinstalar sistemas afectados.
Grupo chino mantuvo espionaje durante una década en red aislada
Investigadores de Sygnia documentaron la operación «Highland», atribuida al grupo chino Velvet Ant, que logró permanecer durante diez años dentro de la infraestructura crítica de una organización. Tras comprometer sistemas expuestos a Internet, los atacantes establecieron un mecanismo para acceder de forma remota a una red aislada sin conexión directa con el exterior.
El grupo modificó componentes de autenticación como PAM y OpenSSH para capturar credenciales, registrar comandos y mantener persistencia incluso después de cambios de contraseña. Sygnia señaló que la limpieza del entorno fue especialmente compleja debido a la sustitución de numerosos componentes críticos del sistema, por lo que recomendó reforzar el monitoreo y la protección de estos mecanismos de autenticación.
FBI desmantela plataforma de phishing con inteligencia artificial
El FBI, junto con Google y Black Lotus Labs, desarticuló la operación Outsider Enterprise, un servicio de phishing como servicio de origen chino que utilizaba inteligencia artificial para crear campañas fraudulentas. La infraestructura empleaba miles de sitios falsos y más de un millón de URL para suplantar marcas reconocidas y robar credenciales y datos de tarjetas de pago.
Como parte de la operación, las autoridades incautaron servidores, dominios, una tienda en Shopify, un bot de Telegram y aproximadamente 100 mil dólares en criptomonedas. Google indicó que la infraestructura estuvo activa desde al menos 2023 y que impulsó campañas masivas mediante mensajes SMS enviados a usuarios de distintos operadores de telecomunicaciones.
Grupo chino comprometió servidores REDCap para robar investigaciones médicas
Google Threat Intelligence Group atribuyó al actor UNC6508 una campaña de ciberespionaje dirigida contra servidores REDCap expuestos en Internet. Los atacantes permanecieron más de un año dentro de una institución médica de Norteamérica, donde desplegaron el malware InfiniteRed para obtener credenciales, ejecutar comandos remotos y extraer información de investigación.
La investigación determinó que el grupo modificó archivos del sistema para ocultar el malware y utilizó reglas de cumplimiento de contenido en plataformas empresariales para reenviar automáticamente información sensible por correo electrónico. Google notificó a varias organizaciones afectadas en Estados Unidos y Canadá y recomendó actualizar REDCap, habilitar autenticación multifactor y revisar los indicadores de compromiso publicados.
FBI alerta sobre uso de mensajeros para retirar dinero en estafas con criptomonedas
El FBI advirtió que organizaciones criminales dedicadas a fraudes de inversión en criptomonedas están utilizando mensajeros para recoger dinero en efectivo directamente desde los domicilios o lugares acordados con las víctimas. Los delincuentes establecen primero una relación de confianza mediante redes sociales o aplicaciones de mensajería antes de convencer a las personas de realizar supuestas inversiones.
Cuando las transferencias bancarias son bloqueadas, los estafadores solicitan entregar dinero en efectivo a un mensajero identificado mediante una contraseña o el número de serie de un billete. El FBI recomendó no entregar efectivo a desconocidos, investigar las plataformas de inversión y denunciar inmediatamente estos hechos proporcionando toda la información disponible sobre los responsables.
ShinyHunters dirige campaña de robo de datos contra servidores Oracle PeopleSoft
El grupo de extorsión ShinyHunters confirmó ser responsable de una campaña de robo de información contra servidores Oracle PeopleSoft, afirmando haber comprometido alrededor de 300 instancias pertenecientes a más de 100 organizaciones. Los atacantes aseguraron utilizar una cadena de vulnerabilidades antiguas y de día cero para acceder a los sistemas y extraer información.
Las investigaciones revelaron infraestructura utilizada durante la operación, incluyendo servidores, scripts de propagación y herramientas de administración remota. También se identificaron notas de rescate y direcciones IP relacionadas con la actividad maliciosa. Entre las organizaciones afectadas figura la Universidad de Nottingham, que confirmó haber sufrido un incidente de ciberseguridad.
Código fuente del malware Miasma aparece temporalmente publicado en GitHub
El código fuente del framework malicioso Miasma, utilizado en ataques de cadena de suministro contra proyectos de código abierto, estuvo disponible temporalmente en GitHub mediante múltiples cuentas comprometidas. Investigadores de SafeDep indicaron que la publicación fue deliberada y representa una evolución del malware Shai-Hulud, cuyo código también había sido filtrado anteriormente.
El análisis mostró que Miasma roba credenciales de desarrolladores, servicios en la nube, plataformas CI/CD y repositorios para comprometer nuevos proyectos y propagarse automáticamente. Entre sus funciones destaca un mecanismo que elimina archivos del equipo comprometido si detecta que el token de GitHub utilizado para la exfiltración ha sido revocado, además de técnicas avanzadas para dificultar su detección.
GitHub deshabilita repositorios de Microsoft tras detectar contenido malicioso
Microsoft retiró temporalmente 73 repositorios alojados en las organizaciones Azure, MicrosoftDocs, Azure-Samples y microsoft en GitHub luego de detectar contenido potencialmente malicioso. La medida interrumpió algunos flujos de integración continua y afectó temporalmente acciones ampliamente utilizadas, como Azure/functions-action, mientras se desarrollaba la investigación.
Diversos investigadores vincularon el incidente con la campaña de cadena de suministro Miasma/Shai-Hulud, que previamente comprometió paquetes de código abierto y herramientas para desarrolladores. Tras completar la revisión, Microsoft restauró los repositorios y notificó a un grupo reducido de usuarios que pudo haber descargado contenido desde los proyectos afectados.
Campaña Shai-Hulud compromete 19 paquetes científicos en PyPI
La empresa Socket identificó una nueva campaña de la operación Shai-Hulud que comprometió 19 paquetes del repositorio PyPI, utilizados principalmente en proyectos científicos y de bioinformática. Los paquetes maliciosos incorporaban archivos capaces de ejecutar código al iniciar Python, descargando componentes adicionales destinados al robo de credenciales y secretos de desarrollo.
Los investigadores señalaron que el malware buscaba obtener tokens de GitHub, credenciales de servicios en la nube, claves SSH, archivos de configuración y otros datos sensibles para comprometer cadenas de desarrollo de software. Además, establecía mecanismos de persistencia en sistemas Linux y macOS y utilizaba repositorios de GitHub y conexiones HTTPS para exfiltrar la información obtenida.
Nueva variante de NFCShare distribuye malware Android mediante falsas actualizaciones bancarias
Investigadores de D3Lab detectaron nuevas variantes del malware Android NFCShare distribuidas como falsas actualizaciones de aplicaciones bancarias alojadas en GitHub. La campaña afecta a clientes de múltiples entidades financieras europeas mediante sitios de phishing que inducen a instalar aplicaciones maliciosas y posteriormente acercar sus tarjetas bancarias al dispositivo.
El malware obtiene datos de tarjetas mediante la interfaz NFC del teléfono, incluyendo número, tipo, fecha de expiración y el PIN ingresado por la víctima, enviando posteriormente la información a servidores controlados por los atacantes. Los investigadores observaron además técnicas para dificultar el análisis automatizado de las aplicaciones y recomendaron instalar únicamente aplicaciones bancarias desde Google Play.
Riesgos cibernéticos
Microsoft investiga fallas que impiden abrir aplicaciones de Office
Microsoft informó que investiga un problema introducido tras las actualizaciones publicadas desde el 9 de junio de 2026, el cual impide que diversas aplicaciones de terceros abran programas de Microsoft Office o documenten mediante automatización OLE. El inconveniente afecta a Word, Excel, PowerPoint, Access y otras aplicaciones de la suite.
Entre los programas afectados se encuentran soluciones como CCH Engagement, Zotero, Workpaper Manager y diversos programas utilizados en el sector odontológico. Mientras desarrolla una solución definitiva, Microsoft recomendó abrir directamente los documentos o aplicaciones de Office y señaló que los clientes empresariales pueden solicitar medidas temporales adicionales a su servicio de soporte.
Microsoft corrige fallas de instalación de actualizaciones en Windows Server 2016
Microsoft resolvió un problema que impedía instalar la actualización de seguridad KB5094122 de junio de 2026 en equipos con Windows Server 2016 que no contaban previamente con la actualización KB5087537 del mes anterior. Los administradores afectados reportaban errores 0x80070002 y FILE_NOT_FOUND durante el proceso de instalación.
La empresa indicó que la falla ya fue corregida y que las instalaciones deberían completarse con normalidad. Microsoft recordó que durante los últimos meses también solucionó otros problemas relacionados con Windows Update, incluidos errores de instalación en Windows 11 y fallos que afectaban a Windows Server 2025 y al instalador independiente WUSA.
GitHub endurecerá la seguridad de npm para reducir ataques a la cadena de suministro
GitHub anunció que npm v12 incorporará cambios destinados a reducir los riesgos asociados a ataques contra la cadena de suministro de software. La nueva versión dejará de ejecutar automáticamente scripts de instalación y de descargar dependencias desde repositorios Git o direcciones remotas, salvo que estas acciones hayan sido aprobadas explícitamente por el desarrollador.
Las modificaciones buscan eliminar rutas de ejecución automática de código que han sido aprovechadas en campañas recientes para distribuir paquetes maliciosos. GitHub recomendó actualizar previamente a npm 11.16.0 para identificar advertencias sobre flujos de trabajo que requerirán autorización antes de migrar a la nueva versión.
Microsoft corrige problema que provocaba solicitudes de recuperación de BitLocker
Microsoft solucionó un problema conocido que hacía que algunos equipos con Windows Server 2025 ingresaran al modo de recuperación de BitLocker tras instalar la actualización de seguridad de abril de 2026. El comportamiento afectaba únicamente a dispositivos con configuraciones específicas de políticas de grupo relacionadas con la validación del TPM y el uso de PCR7.
La corrección fue incluida en las actualizaciones acumulativas de junio para Windows Server 2025 y Windows 11 23H2. Mientras tanto, Microsoft recomendó a los administradores modificar temporalmente determinadas configuraciones de BitLocker o aplicar un Known Issue Rollback en aquellos entornos donde aún no sea posible desplegar las actualizaciones correspondientes.
Microsoft publica actualizaciones acumulativas para Windows 11
Microsoft lanzó las actualizaciones acumulativas KB5094126 y KB5093998 para Windows 11 25H2, 24H2 y 23H2 como parte del ciclo Patch Tuesday de junio de 2026. Los paquetes incluyen correcciones de seguridad para vulnerabilidades previamente identificadas, además de mejoras de rendimiento, confiabilidad y nuevas funciones para el sistema operativo.
Entre las novedades se incorporan mejoras en Windows Hello, el Administrador de tareas, la cámara, la búsqueda, el soporte para audio compartido mediante Bluetooth LE y optimizaciones en USB, almacenamiento y accesibilidad. Microsoft indicó que no tiene conocimiento de problemas importantes asociados a estas actualizaciones y recomendó instalarlas mediante Windows Update.
Microsoft libera actualización de seguridad extendida para Windows 10
Microsoft publicó la actualización acumulativa KB5094127 para Windows 10 versión 22H2 dentro del programa Extended Security Updates (ESU). El paquete incorpora las correcciones de seguridad del ciclo Patch Tuesday de junio de 2026, además de mejoras en la búsqueda del Explorador de archivos, certificados Secure Boot y la estabilidad general del sistema.
La actualización eleva los equipos a la compilación 19045.7417 y está dirigida a dispositivos inscritos en ESU y versiones Enterprise LTSC compatibles. Microsoft mantiene el soporte extendido hasta octubre de 2026, por lo que recomendó mantener los sistemas actualizados para continuar recibiendo las correcciones de seguridad.
Investigación revela que agente de IA OpenClaw puede caer en ataques de phishing
Investigadores de Varonis Threat Labs evaluaron la seguridad del agente de inteligencia artificial OpenClaw mediante campañas simuladas de phishing y comprobaron que podía ser engañado para entregar información sensible cuando los atacantes suplantaban identidades legítimas o utilizaban mensajes con apariencia urgente. Las pruebas se realizaron con distintas configuraciones y modelos de lenguaje.
El análisis mostró que el agente fue capaz de bloquear enlaces maliciosos y aplicaciones OAuth fraudulentas, pero presentó dificultades para verificar la identidad de los remitentes en escenarios de ingeniería social. Los investigadores concluyeron que los agentes de IA requieren mecanismos adicionales de validación de identidad para reducir el riesgo de exposición de datos.
Apple incorporará cambio automático de contraseñas comprometidas mediante inteligencia artificial
Durante WWDC 2026, Apple presentó una nueva función integrada en Safari y la aplicación Passwords que permitirá reemplazar automáticamente contraseñas débiles o comprometidas mediante Apple Intelligence. La característica estará disponible con iOS 27 y actuará sobre cuentas compatibles generando nuevas credenciales seguras sin intervención manual del usuario.
La compañía indicó que la función utiliza modelos de inteligencia artificial que operan principalmente en el dispositivo y, cuando es necesario, recurren a Private Cloud Compute para procesar determinadas solicitudes sin almacenar datos personales. Apple señaló que esta capacidad busca reforzar la protección de las cuentas y estará disponible inicialmente para quienes prueben las versiones beta del sistema operativo.
Microsoft amplía hasta 2027 el programa gratuito de actualizaciones de seguridad para Windows 10
Microsoft extendió el programa gratuito de Extended Security Updates (ESU) para usuarios de Windows 10 hasta el 12 de octubre de 2027. La modificación fue incorporada en la documentación oficial y en una actualización de una publicación del blog Windows Experience, otorgando un año adicional de actualizaciones de seguridad para quienes permanezcan utilizando este sistema operativo tras el fin de su soporte.
La compañía indicó que la medida busca entregar más tiempo para migrar a Windows 11 sin perder protección mediante parches de seguridad. Los usuarios inscritos mantendrán automáticamente la cobertura extendida, mientras que el programa continúa disponible para dispositivos personales mediante distintas opciones de inscripción, incluyendo el uso de una cuenta Microsoft o puntos del programa Microsoft Rewards.
Credenciales robadas, zero-days y compromiso de software: los nuevos caminos hacia las redes corporativas
La campaña FortiBleed, Zero-Day en Oracle PeopleSoft y un Patch Tuesday con 200 vulnerabilidades entre las principales noticias de este reporte, en la que destacan incidentes que revelan como actores de amenazas están aprovechando fallas en infraestructura crítica, proveedores tecnológicos y herramientas de desarrollo para obtener acceso privilegiado, robar información y desplegar operaciones de extorsión.
Recuento
Durante las últimas semanas, las principales vulnerabilidades estuvieron marcadas por la explotación activa de múltiples fallas de día cero y vulnerabilidades críticas en productos ampliamente utilizados. Destacaron los ataques contra Cisco SD-WAN Manager, Exchange Server, Google Chrome, Check Point VPN, Oracle PeopleSoft, Ivanti Sentry y diversos productos de Fortinet, además de la incorporación constante de nuevas vulnerabilidades al catálogo KEV de CISA. Paralelamente, fabricantes como Microsoft, SAP, Cisco, F5, Veeam, Splunk y Apple publicaron actualizaciones para corregir fallas de alta severidad que permitían ejecución remota de código, escalamiento de privilegios o acceso no autorizado. También cobraron relevancia los ataques contra la cadena de suministro de software, con compromisos en plugins de WordPress, JetBrains Marketplace, Gogs y componentes ampliamente utilizados como FFmpeg y NGINX, reforzando la necesidad de mantener una gestión oportuna de parches y revisar la integridad de componentes de terceros.
En el panorama de ciberamenazas predominó el uso de campañas cada vez más sofisticadas orientadas al robo de credenciales y al compromiso de cadenas de suministro de software. Se identificaron operaciones que abusaron de plataformas legítimas como OpenAI, Microsoft Teams, WhatsApp, Steam Workshop, GitHub y Shop para distribuir malware, mientras que campañas como Miasma, Shai-Hulud, Mastra AI, Arch Linux y ShapedPlugin demostraron el creciente interés de los atacantes por comprometer ecosistemas de desarrollo y repositorios de código. Asimismo, surgieron nuevas familias de malware y puertas traseras como Mistic, Edgecution, Gaslight, Rokarolla y SprySOCKS, junto con la evolución de operaciones de ransomware como DragonForce, Gentlemen, Prinz Eugen e Icarus. En paralelo, continuaron las campañas de espionaje atribuidas a actores vinculados con China y Corea del Norte, dirigidas contra organismos gubernamentales, instituciones médicas y empresas.
Respecto a los principales riesgos de ciberseguridad, el período volvió a evidenciar la creciente exposición de las organizaciones frente a la dependencia de software de terceros, plataformas cloud y herramientas de inteligencia artificial. Los incidentes que afectaron repositorios de código, marketplaces de complementos y mecanismos de actualización demostraron cómo un único compromiso puede propagarse rápidamente a miles de organizaciones. A ello se suman los riesgos asociados al uso de agentes de IA y plataformas de desarrollo asistidas por inteligencia artificial, donde investigaciones sobre OpenClaw, AutoGen Studio y Microsoft 365 Copilot mostraron nuevos escenarios de abuso y filtración de información. Finalmente, diversas incidencias operacionales en Windows y Microsoft Office reforzaron la importancia de evaluar cuidadosamente los procesos de actualización y mantener estrategias de continuidad operacional en entornos empresariales.
