Cloud Híbrida
Ciberseguridad
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 1 mayo
CVE-2026-3854 permitía ejecución remota de código en servidores backend de GitHub
Wiz Research identificó una vulnerabilidad de ejecución remota de comandos en la infraestructura interna de GitHub, catalogada como CVE-2026-3854 (CVSSv3 8.8), que permitía a cualquier usuario autenticado ejecutar binarios arbitrarios mediante un git push con push options.
El fallo reside en una vulnerabilidad de inyección en el encabezado interno X-Stat, un protocolo delimitado por punto y coma usado para propagar metadatos de seguridad entre servicios internos. El proxy babeld insertaba sin sanitizar las cadenas controladas por el usuario en X-Stat, permitiendo sobrescribir campos de seguridad debido a un parser con lógica last-write-wins. La explotación logró path traversal y la ejecución de un binario arbitrario como el usuario git, con acceso completo al sistema de archivos.
En GitHub Enterprise Server (GHES) el impacto fue una toma completa del servidor; en GitHub.com, un flag adicional habilitó comportamiento enterprise-mode, permitiendo comprometer nodos de almacenamiento compartidos.
Wiz confirmó que los permisos del usuario git permitían leer cualquier repositorio alojado en el nodo comprometido, independientemente de la titularidad. GitHub corrigió GitHub.com y lanzó parches para todas las versiones soportadas de GHES, por lo que se requiere actualizar a GHES 3.19.3 o superior.
BlackFile roba credenciales y extorsiona a empresas de retail y hostelería empleando vishing e ingeniería social
Investigadores de Unit 42 y RH-ISAC han identificado un nuevo actor de amenazas llamado BlackFile, conocido también como CL-CRI-1116, UNC6671 y Cordial Spider. Los ataques, dirigidos hacia organizaciones del sector retail y hostelería, comienzan con llamadas telefónicas desde números falsificados en las que los atacantes se hacen pasar por soporte de TI para engañar a los empleados y dirigirlos a páginas de inicio de sesión falsas, donde introducen sus credenciales y códigos MFA de servidores como Salesforce y Sharepoint, lo que permite robarlas y luego usarlas para extorsionar a las víctimas con solicitudes de rescate. S-
e ha observado similitud con grupos como ShinyHunters y posibles vínculos con The Com. No se mencionan exploits técnicos específicos, ya que el ataque se basa en ingeniería social, y se recomienda reforzar verificación de identidad en llamadas, formación anti-phishing y controles de acceso.
Copy Fail: escalada a root determinista en el kernel de Linux
Investigadores de Theori descubrieron una vulnerabilidad crítica de escalada de privilegios en el kernel de Linux denominada Copy Fail (CVE-2026-31431, CVSSv3 7.8 según kernel.org). El fallo permite a cualquier usuario local sin privilegios obtener root de forma fiable y determinista mediante un exploit de una sola ejecución.
Funciona sin modificaciones en múltiples distribuciones (Ubuntu, Amazon Linux, RHEL, SUSE y otras) y ha permanecido latente cerca de una década. La causa es una falla lógica que combina AF\_ALG, la llamada al sistema splice() y una optimización in-place introducida en 2017 en algif\_aead.c. Dicha optimización permitió escribir sobre páginas vivas del page cache usadas como destino criptográfico. Un bug previo en authencesn escribe 4 bytes fuera de límites, lo que permite modificar datos del page cache de archivos legibles. El ataque puede corromper binarios setuid-root como /usr/bin/su, logrando ejecución con privilegios máximos.
La vulnerabilidad afecta a kernels construidos desde 2017 y atraviesa límites de contenedores al compartirse el page cache. La mitigación consiste en actualizar el kernel o deshabilitar el módulo algif\_aead y bloquear AF\_ALG.
TeamPCP compromete Bitwarden CLI con Shai-Hulud
GitGuardian atribuye a TeamPCP el compromiso del paquete del repositorio npm de Bitwarden CLI, detectado el 20 de abril de 2026. El ataque usó Shai-Hulud, también rastreado como CanisterSprawl, un gusano autopropagable orientado a entornos de desarrollo. Si no alcanza su C2 principal, auditcheckmarxcx, el malware usa GitHub como C2 alternativo buscando el tag LongLiveTheResistanceAgainstMachines.
Shai-Hulud crea repositorios en cuentas GitHub de víctimas para subir blobs cifrados con credenciales exfiltradas. También busca Claude Code, Gemini CLI, Codex CLI, Kiro CLI, Aider y OpenCode para inyectar código en ~/.bashrc y ~/.zshrc. Un caso confirmado comenzó con Dependabot descargando la imagen Docker troyanizada checkmarx/kics:latest el 22 de abril de 2026. El uso de Dependabot permitió ejecutar el payload en CI con acceso a secretos del repositorio sin intervención humana.
Se recomienda aplicar periodos de espera antes de instalar nuevas actualizaciones de dependencias.
VECT 2.0: ransomware que actúa como wiper de forma involuntaria
Los investigadores de Check Point Research han identificado VECT 2.0, una evolución del ransomware observado por primera vez a finales de 2025 bajo el nombre vect. En su versión actual, ha pasado a operar como un modelo de Ransomware as a Service (RaaS), aunque presenta un comportamiento anómalo ya que actúa como un wiper de manera no intencionada en archivos superiores a 128 KB.
Este ransomware ha sido anunciado en BreachForums y está dirigido principalmente a entornos Windows y Linux ESXi. Se ha asociado recientemente con TeamPCP. Aunque su objetivo es aumentar la velocidad de cifrado en archivos de gran tamaño, presenta una falla crítica, ya que reutiliza el mismo búfer para generar los nonce, provocando sobrescritura continua, lo que corrompe los datos y limita la recuperación a aproximadamente un 25 % del archivo original.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
