Actualizaciones críticas de Microsoft, Cisco y SAP marcan el frente de vulnerabilidades, mientras campañas como LucidRook, VENOM y Storm evidencian nuevas tácticas de ataque. A esto se suman riesgos por software comprometido, apps maliciosas y sistemas expuestos sin parchear.
Recuento
Durante la primera quincena de abril destacan actualizaciones de gran escala como el Patch Tuesday de Microsoft, que abordó 165 vulnerabilidades incluyendo una zero-day explotada, así como fallas críticas en soluciones de Cisco, SAP, Adobe, Google Chrome y Juniper.
En paralelo, se han identificado campañas de amenazas que combinan técnicas avanzadas de phishing, malware modular, robo de credenciales y explotación de accesos válidos. Casos como LucidRook, Storm o VENOM evidencian el uso de herramientas cada vez más especializadas, mientras que ataques a plataformas como Magento o proveedores BPO muestran cómo los actores buscan escalar su alcance mediante terceros o vectores indirectos.
Finalmente, se observan múltiples riesgos derivados de exposición de sistemas, fallas no parchadas y compromiso de la cadena de suministro. Incidentes como aplicaciones falsas en tiendas oficiales, paquetes comprometidos, actualizaciones maliciosas y servicios expuestos a internet reflejan un entorno donde la explotación no siempre depende de vulnerabilidades nuevas, sino también de configuraciones débiles, accesos persistentes y confianza en componentes legítimos.
Vulnerabilidades
Microsoft corrige 165 vulnerabilidades e incluye zero-day explotado en SharePoint
Microsoft publicó su actualización de abril de 2026 corrigiendo 165 vulnerabilidades, entre ellas una zero-day explotada activamente en SharePoint identificada como CVE-2026-32201. La falla, clasificada como spoofing y con CVSS 6.5, se debe a una validación incorrecta de entradas que permite a atacantes no autenticados hacerse pasar por entidades legítimas y potencialmente acceder o modificar información sensible.
Además, 19 de las vulnerabilidades corregidas fueron catalogadas como “más propensas a explotación”, incluyendo CVE-2026-33825, una falla de escalamiento de privilegios en Microsoft Defender divulgada públicamente antes de su parche. El amplio alcance de componentes afectados —como Active Directory, Remote Desktop, BitLocker y el kernel de Windows— evidencia una superficie de ataque extensa y la necesidad de aplicar actualizaciones de forma prioritaria.
Cisco corrige fallas críticas que permiten ejecución remota y toma de control
Cisco solucionó dos vulnerabilidades críticas y seis de alta severidad que afectan a múltiples productos empresariales. Entre ellas destaca CVE-2026-20160, que permite ejecutar comandos como root mediante el abuso de un servicio interno expuesto, y CVE-2026-20093, una falla de bypass de autenticación que permite a atacantes no autenticados cambiar contraseñas, incluso de administradores.
Además, se corrigieron vulnerabilidades en soluciones como EPNM y IMC, donde fallas en la validación de entradas permiten ejecución de código y escalamiento de privilegios. Aunque no hay evidencia de explotación activa, el impacto potencial es alto debido a la amplia adopción de estos sistemas en redes corporativas.
Palo Alto Networks y SonicWall corrigen fallas críticas en plataformas de seguridad
Palo Alto Networks corrigió múltiples vulnerabilidades, incluyendo CVE-2026-0234, una falla de verificación criptográfica en Cortex XSOAR y XSIAM que podría permitir acceso y manipulación de recursos protegidos a través de integraciones con Microsoft Teams. También se abordaron fallas que podrían permitir ejecución de código o desactivación de agentes de seguridad.
Por su parte, SonicWall solucionó cuatro vulnerabilidades en la serie SMA1000, destacando CVE-2026-4112, una inyección SQL que permite escalar privilegios hasta administrador. Otras fallas podrían facilitar la enumeración de credenciales o bypass de autenticación multifactor. Aunque no hay explotación confirmada, ambas compañías urgieron a aplicar parches de inmediato.
Chrome 147 corrige 60 vulnerabilidades, incluyendo dos críticas en WebML
Google anunció Chrome 147 con parches para 60 vulnerabilidades, incluyendo dos críticas en el componente WebML: CVE-2026-5858 (heap buffer overflow) y CVE-2026-5859 (integer overflow). Ambas podrían ser explotadas para ejecución remota de código o escape del sandbox, lo que explica las altas recompensas otorgadas a los investigadores.
Además, se corrigieron fallas en múltiples componentes como V8, WebRTC y Blink, junto con otras vulnerabilidades como CVE-2026-5860, CVE-2026-5861 y CVE-2026-5874. Aunque no se reportaron ataques activos, la magnitud del parche refleja la complejidad del navegador y su constante exposición a investigación y potencial explotación.
SAP corrige vulnerabilidad crítica en ABAP con impacto en datos financieros
SAP publicó 20 notas de seguridad, destacando CVE-2026-27681 (CVSS 9.9), una inyección SQL crítica en Business Planning and Consolidation y Business Warehouse. Esta falla permite a usuarios con bajos privilegios ejecutar código SQL arbitrario, comprometiendo la integridad y confidencialidad de datos sensibles.
También se corrigió CVE-2026-34256, una falla de autorización en SAP ERP que permite ejecutar programas ABAP y modificar código existente. El impacto potencial incluye manipulación de datos financieros, alteración de reportes y disrupción operativa. Aunque no hay evidencia de explotación, el riesgo es significativo en entornos empresariales críticos.
Adobe corrige 55 vulnerabilidades y advierte sobre historial de explotación en ColdFusion
Adobe solucionó 55 vulnerabilidades en 11 productos, incluyendo fallas críticas en ColdFusion que podrían permitir ejecución de código, lectura de archivos y bypass de mecanismos de seguridad. Aunque muchas vulnerabilidades tienen baja probabilidad de explotación, ColdFusion mantiene un historial activo de ataques, lo que eleva el riesgo.
Adicionalmente, se destaca la reciente explotación de CVE-2026-34621, un zero-day en Acrobat Reader utilizado durante meses, junto con advertencias sobre CVE-2020-9715, aún explotado activamente según CISA.
Juniper corrige vulnerabilidades críticas que permiten toma de control de dispositivos
Juniper Networks lanzó parches para cerca de 30 vulnerabilidades, incluyendo CVE-2026-33784 (CVSS 9.8), causada por una contraseña por defecto en sistemas vLWC que permite a atacantes tomar control total de dispositivos de forma remota. Este tipo de falla es especialmente crítica por su facilidad de explotación.
También se corrigió CVE-2026-33771, relacionada con contraseñas débiles no reforzadas, y otras vulnerabilidades que permiten ataques MITM, ejecución de comandos y escalamiento de privilegios. Aunque no hay explotación confirmada, el impacto potencial incluye control total de infraestructura de red y afectación a redes downstream.
Ciberamenazas
Malware LucidRook apunta a ONG y universidades en Taiwán mediante spear-phishing
Una nueva campaña de ataques dirigida a organizaciones no gubernamentales y universidades en Taiwán utiliza un malware basado en Lua denominado LucidRook. Investigadores de Cisco Talos atribuyen la operación al grupo UAT-10362, descrito como un adversario con capacidades avanzadas, que emplea correos de phishing con archivos protegidos por contraseña para iniciar la infección.
El malware se distribuye mediante dos cadenas de ataque, incluyendo el uso de archivos LNK y ejecutables falsos que simulan software legítimo. LucidRook destaca por su diseño modular y capacidad de ejecutar código Lua, lo que permite actualizar sus funciones dinámicamente. Durante la infección, recopila información del sistema, la cifra con RSA y la exfiltra vía FTP, dificultando su detección y análisis.
Nuevo infostealer Storm automatiza el robo de sesiones y evasión de controles de seguridad
Un análisis de Varonis Threat Labs, identificó que el malware Storm, detectado en foros clandestinos en 2026, introduce un cambio en el robo de credenciales al trasladar el descifrado de datos al lado del servidor. A diferencia de herramientas anteriores, evita realizar operaciones en el equipo de la víctima, lo que reduce la visibilidad para soluciones de seguridad.
Storm recopila credenciales, cookies de sesión, datos financieros y otra información sensible, permitiendo a los atacantes restaurar sesiones autenticadas sin necesidad de contraseñas. Además, automatiza el secuestro de cuentas y soporta múltiples navegadores, facilitando accesos a plataformas corporativas, servicios SaaS y entornos cloud comprometidos.
Plataforma VENOM apunta a ejecutivos con phishing avanzado y evasión de MFA
Una nueva plataforma de phishing como servicio (PhaaS) denominada VENOM está siendo utilizada para atacar a ejecutivos de alto nivel mediante campañas altamente personalizadas. Los correos simulan notificaciones de SharePoint e incluyen elementos diseñados para evadir sistemas de detección.
De acuerdo con investigadores de Abnormal, el ataque utiliza códigos QR para redirigir a las víctimas y técnicas adversary-in-the-middle para capturar credenciales y tokens de sesión en tiempo real. También se observó el uso de phishing por código de dispositivo, permitiendo acceso persistente a cuentas incluso con autenticación multifactor activada.
Campaña contra tiendas que utilizan la plataforma Magento oculta skimmer de tarjetas en imágenes SVG
La firma Sansec descubrió una campaña a gran escala que afecta a cerca de 100 tiendas online basadas en Magento, utilizando un método que oculta código malicioso dentro de imágenes SVG de un píxel. El ataque se activa durante el proceso de pago, mostrando formularios falsos que capturan datos de tarjetas.
El malware intercepta la información ingresada, la valida en tiempo real y la exfiltra cifrada a servidores controlados por atacantes. Se sospecha que el acceso inicial se logró explotando la vulnerabilidad PolyShell, que permite ejecución remota de código en sistemas no parchados.
Grupo UNC6783 compromete proveedores BPO para acceder a grandes empresas
El grupo UNC6783 está atacando proveedores de outsourcing (BPO) para acceder indirectamente a grandes organizaciones. Según el Google Threat Intelligence Group, los atacantes utilizan phishing y técnicas de ingeniería social para obtener credenciales de empleados con acceso a sistemas corporativos.
En algunos casos, los atacantes interactúan directamente con personal de soporte para obtener acceso. Tras comprometer los sistemas, extraen datos sensibles y realizan extorsión. También se ha observado el uso de malware y dominios falsos para suplantar servicios legítimos.
Campaña distribuye malware Atomic Stealer en macOS mediante Script Editor
Investigadores de seguridad de Jamf detectaron una nueva campaña dirigida a usuarios de macOS distribuye el malware Atomic Stealer utilizando el Script Editor del sistema. Los atacantes emplean páginas falsas con instrucciones aparentemente legítimas que inducen a ejecutar código malicioso.
El ataque descarga y ejecuta el malware directamente en memoria, evitando controles tradicionales. Atomic Stealer recopila credenciales, datos financieros, información del sistema y contenido de wallets, además de incluir capacidades de acceso persistente.
GPUBreach demuestra escalamiento de privilegios mediante ataque Rowhammer en GPU
Investigadores de la Universidad de Toronto desarrollaron GPUBreach, un ataque que explota la técnica Rowhammer en memoria GDDR6 de GPUs para lograr escalamiento de privilegios. El método permite corromper estructuras críticas y obtener acceso de lectura y escritura en memoria.
El ataque puede derivar en compromiso total del sistema al combinarse con fallas en drivers, incluso con protecciones como IOMMU activadas. Actualmente, no existen mitigaciones completas para GPUs de consumo sin memoria ECC, lo que incrementa el riesgo.
Storm-1175 acelera ataques con exploits zero-day y despliegue rápido de ransomware
El grupo Storm-1175 está utilizando vulnerabilidades zero-day y n-day para comprometer redes empresariales en ataques de alta velocidad. Según Microsoft, los actores de amenazas pueden pasar de acceso inicial a despliegue de ransomware en menos de 24 horas.
Los atacantes explotan múltiples vulnerabilidades en distintos productos, combinándolas para mantener persistencia, robar datos y desactivar defensas. Sus operaciones han impactado sectores como salud, educación y finanzas en varios países. Puedes revisar una nota más completa en nuestro blog.
Riesgos Cibernéticos
Aplicación falsa de Ledger en App Store permitió robo de $95 millones en criptomonedas
Una aplicación fraudulenta que imitaba a Ledger Live logró ser publicada en la App Store de Apple, engañando a usuarios para que ingresaran sus frases de recuperación. Estas frases permiten restaurar billeteras de criptomonedas, por lo que su exposición da control total sobre los fondos almacenados.
El engaño permitió a los atacantes sustraer aproximadamente 95 millones de dólares en criptomonedas. La aplicación simulaba funcionalidades legítimas, lo que dificultó su detección inicial y permitió que múltiples usuarios fueran afectados antes de su eliminación.
Más de 14.000 instancias F5 BIG-IP APM siguen expuestas a ataques RCE
Más de 14.000 instancias del sistema F5 BIG-IP APM continúan expuestas a internet con vulnerabilidades conocidas que permiten ejecución remota de código. A pesar de que existen actualizaciones disponibles, muchos sistemas permanecen sin parchear, esto de acuerdo con una recopilación de ShadowServer.
Esta situación representa un riesgo significativo, ya que los atacantes pueden identificar fácilmente estos dispositivos y explotarlos para obtener acceso inicial a redes corporativas, facilitando movimientos laterales y compromisos más amplios.
Ataque a paquete Axios en npm permitió secuestro de cuenta de mantenedor
Google Threat Intelligence indicó que un atacante logró comprometer la cuenta de un mantenedor del paquete Axios en npm mediante una campaña de ingeniería social que simulaba un error de Microsoft Teams. El engaño llevó al desarrollador a ejecutar una supuesta solución que resultó ser maliciosa.
Con acceso a la cuenta, el atacante pudo modificar paquetes o introducir código comprometido, lo que representa un riesgo para desarrolladores y organizaciones que dependen de esta biblioteca ampliamente utilizada en aplicaciones web.
Zero-day en TrueConf es explotado para distribuir actualizaciones maliciosas
CheckPoint indicó que atacantes explotaron una vulnerabilidad zero-day en el software TrueConf para distribuir actualizaciones comprometidas a los usuarios. Este método permitió instalar software malicioso en sistemas confiando en el mecanismo legítimo de actualización.
El uso de actualizaciones falsas facilita la ejecución de código sin levantar sospechas, ya que los usuarios tienden a confiar en este tipo de procesos. Esto permitió a los atacantes comprometer dispositivos de manera encubierta.
Malware NoVoice en Google Play infectó más de 2,3 millones de dispositivos Android
McAfee indicó que una campaña de malware conocida como NoVoice logró infiltrarse en Google Play mediante aplicaciones aparentemente legítimas, acumulando más de 2,3 millones de descargas. Las aplicaciones infectadas operaban en segundo plano sin conocimiento del usuario.
El malware recopilaba información del dispositivo y ejecutaba acciones sin autorización, utilizando técnicas de evasión para evitar su detección. Esto permitió que la amenaza se mantuviera activa durante un periodo prolongado.
Ataque a la cadena de suministro de CPUID distribuye malware en CPU-Z y HWMonitor
Un incidente en la cadena de suministro afectó a CPUID, resultando en la distribución de versiones comprometidas de herramientas populares como CPU-Z y HWMonitor. Los atacantes lograron insertar código malicioso en los instaladores oficiales.
Los usuarios que descargaron estas versiones instalaron software malicioso sin advertirlo, lo que permitió a los atacantes obtener acceso a los sistemas afectados. Este tipo de ataque aprovecha la confianza en software legítimo.
Vulnerabilidad crítica en Ninja Forms de WordPress es explotada activamente
Según Defiant, empresa de seguridad de WordPress, una vulnerabilidad crítica en el plugin Ninja Forms para WordPress está siendo explotada por atacantes para ejecutar código en sitios web vulnerables. La falla permite comprometer instalaciones sin necesidad de interacción del usuario.
Dado el amplio uso del plugin, el impacto potencial es elevado. Los atacantes pueden tomar control de sitios, insertar contenido malicioso o utilizar los servidores comprometidos para otras actividades.
Campaña automatizada explota React2Shell para robar credenciales
Investigadores de Cisco Talos concluyeron que atacantes están aprovechando la vulnerabilidad React2Shell en campañas automatizadas dirigidas a sistemas expuestos en internet. La explotación permite ejecutar código y acceder a credenciales almacenadas en aplicaciones vulnerables.
La automatización de estos ataques facilita su propagación a gran escala, aumentando el número de sistemas comprometidos. Esto permite a los atacantes recolectar información sensible de forma masiva.
Actualizaciones de Smart Slider fueron comprometidas para distribuir versiones maliciosas
Un análisis de PatchStack, una empresa centrada en la seguridad de WordPress y el software de código abierto, concluyó que un ataque comprometió el mecanismo de actualización del plugin Smart Slider, distribuyendo versiones alteradas para WordPress y Joomla. Los usuarios que actualizaron el software instalaron código malicioso sin advertencia.
El ataque permitió insertar puertas traseras en los sistemas comprometidos, facilitando acceso persistente a los atacantes. Este tipo de incidente compromete la confianza en procesos automatizados de actualización..
Vulnerabilidad de 13 años en ActiveMQ permite ejecución remota de comandos
Investigadores de la firma Horizon3 descubrieron una falla presente desde hace más de una década en Apache ActiveMQ e identificada como CVE-2026-34197 permite a atacantes ejecutar comandos de forma remota en sistemas vulnerables. La vulnerabilidad no había sido corregida y afecta implementaciones ampliamente utilizadas.
Su explotación podría permitir el control total de servidores afectados, especialmente en entornos donde el servicio está expuesto a internet.