Boletín Semanal de Ciberseguridad, 11-17 julio

17 de julio de 2026

Ejecución remota de código con privilegios de kernel en HTTP.sys de Windows

Investigadores de TrendAI Research, a través de Zero Day Initiative, han publicado un artículo analizando en profundidad la vulnerabilidad CVE-2026-47291 (CVSSv3 9.8 según Microsoft), un integer overflow en el array de referencias de búfer que HTTP.sys utiliza al analizar cabeceras HTTP/1.x sobre TLS. Cada registro TLS se entrega como un búfer independiente al analizador, y tras 13.107 eventos de crecimiento el campo de capacidad se desborda a cero, provocando una escritura de más de 500 KB fuera de un búfer de 40 bytes en el pool del kernel.

Un atacante remoto y no autenticado puede desencadenarlo enviando una petición HTTPS con miles de líneas de cabecera repartidas en registros TLS individuales, algo que tarda unos 11 minutos en completarse a un ritmo moderado. HTTP.sys es el controlador HTTP en modo kernel que sustenta IIS y numerosos servicios de Windows Server expuestos a internet, lo que da a esta vulnerabilidad una cuota de despliegue muy elevada, aunque Microsoft la corrigió en el ciclo de parches de junio de 2026 y no hay explotación activa confirmada.

Se recomienda aplicar el parche de inmediato y, como mitigación temporal en sistemas no actualizados, fijar el valor MaxRequestBytes en 65.535 bytes o menos en el registro de Windows.

Más info

The Gentlemen se consolida como el segundo RaaS más activo de 2026 con un reparto del 90% a sus afiliados

Unit 42 detalla la evolución de The Gentlemen, un programa de Ransomware-as-a-Service activo desde julio de 2025. Sus operadores, unos veinte, distribuyen cifradores escritos en C y Go para cubrir tanto Windows como infraestructura virtualizada, se apoyan en la explotación de dispositivos perimetrales (firewalls, VPN), fuerza bruta y credenciales filtradas, y han desarrollado un backdoor propio en Go junto con un framework de desactivación de EDR llamado GentleKiller.

El grupo ofrece a sus afiliados un 90% de los pagos de rescate, muy por encima del 70-80% habitual en el sector, lo que ha impulsado un rápido crecimiento: de agosto de 2025 a julio de 2026 acumula 580 víctimas confirmadas en 77 países, con junio de 2026 como su mes más activo (117 víctimas), casi 4 veces más que en enero. El sector manufacturero concentra 103 de esas víctimas, y en mayo de 2026 el grupo anunció una alianza con BreachForums para reclutar afiliados y brokers de acceso inicial.

Se recomienda reforzar la segmentación SMB y desactivar SSH en hosts ESXi salvo durante ventanas de mantenimiento explícitas.

Más info

Jalisco y OmegaLord, toolkits de phishing-as-a-service logran acceso a Microsoft 365 con bypass de MFA

Investigadores de ReliaQuest identificaron dos toolkits de phishing que representan una evolución fundamental en técnicas de compromiso de identidad: Jalisco, un toolkit de phishing mediante código de dispositivo que genera códigos OAuth frescos en tiempo real para eludir controles basados en tiempo de vida de 15 minutos, y OmegaLord, un credential harvester en JavaScript que recopila deliberadamente números de teléfono junto con contraseñas para interceptar MFA.

El descubrimiento de Jalisco marca un punto de inflexión crítico: mientras que los kits tradicionales usan códigos endurecidos, la técnica de generación de señuelos en tiempo real neutraliza los supuestos de seguridad en los que defensores confían para limitar este vector. ReliaQuest documentó un aumento de 1380% en actividad de phishing entre finales de 2025 y principios de 2026, impulsado por kits PhaaS potenciados por IA como EvilTokens y Kali365 que permiten a actores de cualquier nivel de habilidad lanzar campañas convincentes de suplantación de marca a escala masiva. Una vez comprometida una cuenta de Microsoft 365, atacantes establecen persistencia inscribiendo múltiples dispositivos controlados por ellos en el inquilino Entra ID, creando un vector de acceso que sobrevive restablecimientos de contraseña.

Las organizaciones deben deshabilitar inmediatamente el flujo de autenticación de código de dispositivo en Entra ID mediante política de acceso condicional y auditar exhaustivamente inscripción de dispositivos.

Más info

La Unión Europea y Reino Unido sancionan al grupo Turla y a la infraestructura del FSB ruso

La Unión Europea, Reino Unido y varios gobiernos europeos han anunciado un amplio paquete de sanciones contra miembros del Centro 16 del FSB ruso, responsable del actor de amenazas Turla (también conocido como Secret Blizzard), por más de una década de operaciones de ciberespionaje y ataques destructivos. Las medidas responden a campañas dirigidas contra gobiernos europeos, infraestructuras críticas y, especialmente, al ataque contra la red energética polaca registrado en diciembre de 2025.

Paralelamente, trece países han publicado un aviso conjunto recordando que este actor continúa comprometiendo dispositivos de red vulnerables para obtener acceso inicial a organizaciones de sectores estratégicos.

Se recomienda revisar especialmente routers expuestos, eliminar credenciales débiles y deshabilitar funciones heredadas como Cisco Smart Install.

Más info

Once shims UEFI olvidados permiten saltar Secure Boot en prácticamente cualquier equipo con Windows

Investigadores de ESET han identificado once shims UEFI antiguos (versión 0.9 o inferior) que permiten eludir Secure Boot en cualquier sistema que confíe en el certificado de terceros "Microsoft Corporation UEFI CA 2011", con independencia del sistema operativo instalado. El problema, registrado como CVE-2026-8863 y CVE-2026-10797, ambos sin CVSS aún, no reside en un fallo puntual sino en bootloaders de segunda etapa obsoletos (mayoritariamente GRUB 2) con vulnerabilidades ya conocidas.

Un atacante puede llevar su propia copia del shim vulnerable a cualquier equipo con el certificado de Microsoft habilitado, sin necesidad de que el software original esté instalado, y usarlo para cargar bootkits como Bootkitty, HybridPetya o BlackLotus incluso con Secure Boot activo. ESET reportó el hallazgo a CERT/CC en febrero de 2026 y Microsoft revocó los binarios afectados en la actualización dbx del Patch Tuesday del 9 de junio.

Dado el alcance prácticamente universal de la cadena de confianza afectada, se recomienda aplicar cuanto antes la actualización dbx correspondiente y verificar en equipos Secured-core que la confianza en el certificado de terceros permanezca deshabilitada.

Más info