Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 16-22 mayo
Cisco corrige un 0-day con CVSS perfecto de 10.0 explotado por UAT-8616
Cisco ha publicado un parche para CVE-2026-20182 (CVSSv3 10.0 según Cisco), un bypass de autenticación de severidad máxima en Cisco Catalyst SD-WAN Controller y SD-WAN Manager que permite a un atacante remoto no autenticado obtener privilegios administrativos mediante paquetes especialmente construidos contra el servicio vdaemon (UDP 12346). Cisco Talos atribuye la explotación al grupo UAT-8616, el mismo actor que lleva explotando vulnerabilidades en la infraestructura SD-WAN de Cisco al menos desde 2023 y que ya explotó CVE-2026-20127 (CVSSv3 10.0 según Cisco).
El grupo intentó añadir claves SSH, modificar configuraciones NETCONF y escalar a root, con infraestructura solapada con redes de Operational Relay Boxes (ORB). La gravedad estratégica es notable: un controlador SD-WAN comprometido puede redirigir tráfico, interceptar comunicaciones y desplegar configuraciones maliciosas sobre toda la organización desde un único punto de palanca.
CISA añadió CVE-2026-20182 al KEV con plazo de tres días para agencias federales. Se recomienda aplicar los parches disponibles de inmediato, auditar /var/log/auth.log en busca de conexiones peering no autorizadas y revisar los indicadores de compromiso publicados por Talos.
PoC pública y explotación activa de la vulnerabilidad crítica en NGINX
DepthFirst publicó una prueba de concepto de exploit para CVE-2026-42945 (CVSSv4 9.2 según F5), un heap buffer overflow en el módulo ngx_http_rewrite de NGINX, introducido hace 16 años y presente en las versiones 0.6.27 a 1.30.0 que afecta a configuraciones con directivas rewrite y set. El fallo permite provocar reinicios de workers y denegación de servicio, con posibilidad de ejecución remota de código si ASLR está deshabilitado. Además, VulnCheck afirma haber detectado explotación activa tras la divulgación pública, lo que eleva la urgencia operativa por la amplia implantación de NGINX como servidor web y reverse proxy.
Deben actualizarse NGINX Plus a las ramas corregidas y NGINX Open Source a 1.31.0 o 1.30.1, priorizando sistemas expuestos a Internet.
Webworm despliega los backdoors EchoCreep y GraphWorm en Europa, incluyendo España
Investigadores de ESET han documentado nueva actividad del actor de amenazas alineado con China conocido como Webworm, que en 2025 amplió su arsenal con dos backdoors a medida: EchoCreep, que utiliza Discord como canal de comando y control (C2), y GraphWorm, que emplea Microsoft Graph API para las mismas funciones, almacenando ficheros en OneDrive.
La elección de servicios legítimos y ampliamente permitidos en redes corporativas como Discord y Graph API busca fundirse con el tráfico normal y eludir controles de red perimetrales. ESET señala que el grupo ha abandonado los RATs históricos Trochilus y 9002 en favor de herramientas proxy personalizadas (WormFrp, ChainWorm, SmuxProxy, WormSocket) que soportan comunicaciones cifradas encadenadas a través de múltiples hosts, en combinación con SoftEther VPN. Especialmente relevante es el giro geográfico: Webworm ha intensificado sus operaciones contra entidades gubernamentales europeas en Bélgica, Italia, Serbia, Polonia y España, desplazando el foco desde sus objetivos históricos en Asia Central y Rusia.
Se desconoce el vector de acceso inicial, aunque el grupo emplea herramientas open source como dirsearch y nuclei para reconocimiento de servidores web.
Un 0-day en routers Huawei sin CVE ni parche público provocó el colapso de las telecomunicaciones de Luxemburgo
Según una información de The Record, una vulnerabilidad desconocida en el sistema operativo VRP de Huawei fue explotada en julio de 2025 para derribar durante más de tres horas toda la red de telecomunicaciones de Luxemburgo, incluyendo servicios de emergencia móviles y fijos. El ataque consistió en tráfico de red especialmente construido que forzó a los routers de POST Luxembourg, el operador estatal, a entrar en un bucle continuo de reinicio, colapsando infraestructura crítica.
Lo más alarmante es que, diez meses después, el fallo sigue sin CVE público, sin aviso formal a otros operadores y con dudas sobre si el parche definitivo existe: Huawei no respondió a las preguntas de los periodistas. Las autoridades luxemburguesas alertaron a socios europeos por canales gubernamentales reservados, pero la comunidad técnica global no ha recibido ninguna notificación. Aunque las autoridades no encontraron evidencia de un ataque dirigido específicamente contra POST, el incidente subraya el riesgo sistémico de vulnerabilidades no divulgadas en equipos de red desplegados masivamente por operadores de telecomunicaciones de todo el mundo.
Se recomienda a los operadores que utilicen equipamiento Huawei que revisen sus canales de soporte del fabricante en busca de avisos de seguridad restringidos y activen monitorización de comportamientos anómalos en el plano de control de sus routers.
El abuso de MSHTA dispara campañas de malware basadas en LOLBIN en Windows
Investigadores de Bitdefender alertan de un aumento significativo en el uso de mshta.exe, una utilidad heredada de Windows, como vector de ejecución para cadenas de infección fileless. Este binario, presente por defecto en sistemas Windows, permite ejecutar scripts HTA y está siendo ampliamente utilizado para desplegar stealers como LummaStealer, loaders como CountLoader y amenazas persistentes como PurpleFox.
Los ataques combinan phishing, software pirata y técnicas como ClickFix para lograr ejecución de comandos en memoria y desplegar payloads sin huella en disco, dificultando la detección por EDR. La amplitud del abuso, desde campañas masivas hasta intrusiones avanzadas, demuestra la persistencia del modelo Living-off-the-Land.
Se recomienda restringir o bloquear MSHTA en entornos donde no sea necesario, además de reforzar controles sobre PowerShell y scripts.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
