Cloud Híbrida
Ciberseguridad
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 18-24 abril
Microsoft alerta sobre ataques vía Teams y Quick Assist
Microsoft ha documentado un aumento de campañas que abusan de Microsoft Teams y Windows Quick Assist para ejecutar cadenas de ingeniería social orientadas a compromiso completo de entornos empresariales y exfiltración sigilosa de datos. Los atacantes inician chats y llamadas cross‑tenant en Teams, suplantando a personal de soporte IT, y convencen a las víctimas para iniciar una sesión de Quick Assist y aprobar solicitudes de elevación.
Una vez obtenido el control interactivo, realizan reconocimiento inicial mediante cmd.exe y PowerShell, y la ejecución se logra mediante DLL sideloading usando binarios firmados y legítimos con temática de actualización o seguridad. Para movimiento lateral se emplea WinRM (TCP 5985) con credenciales válidas, alcanzando activos de alto valor como controladores de dominio.
Los actores despliegan herramientas comerciales de RMM para persistencia adicional y utilizan Rclone para exfiltrar datos selectivos a almacenamiento en la nube. Toda la cadena se apoya exclusivamente en herramientas legítimas.
BRIDGE:BREAK: 20 fallos en conversores serie-IP permiten RCE
Forescout ha publicado BRIDGE:BREAK, una investigación que documenta 20 nuevos fallos en conversores serie-IP de Silex y Lantronix, dispositivos que actúan como puente entre equipos seriales legacy y redes Ethernet/IP en sectores como industria, sanidad, energía y transporte. Los fallos, algunos explotables sin autenticación, permiten inyección de comandos, ejecución remota de código, manipulación de firmware y toma de control de dispositivos.
Forescout demostró escenarios de impacto real, incluyendo la alteración de lecturas de sensores en entornos industriales y sanitarios para ocultar condiciones de riesgo, y la entrega de firmware malicioso capaz de inutilizar monitores de pacientes, bombas de infusión y sistemas de iluminación quirúrgica. Una búsqueda en Shodan identifica casi 20.000 dispositivos expuestos a internet, y mediante OSINT es posible obtener direcciones IP internas, modelos y fotografías de infraestructuras críticas como subestaciones eléctricas o plantas de tratamiento de agua.
Ambos fabricantes han publicado parches.
Nueva variante de NGate oculta en HandyPay troyanizado roba datos NFC
ESET ha identificado una nueva variante de NGate, malware para Android orientado al robo de datos de pago NFC, oculto en una versión troyanizada de HandyPay, una aplicación legítima de procesamiento de pagos móviles. NGate captura la información de tarjetas de pago a través del chip NFC del dispositivo y la envía al atacante para crear tarjetas virtuales utilizadas en compras no autorizadas o retiradas de efectivo en cajeros con soporte NFC.
La nueva variante usa HandyPay modificado con código malicioso para facilitar la exfiltración. Según ESET, el cambio de NFCGate a HandyPay respondería a razones económicas y de evasión, ya que HandyPay requiere menos exposición operativa y, de forma nativa, no solicita permisos, salvo ser configurada como aplicación de pago predeterminada.
Tras la instalación, la app solicita ser la aplicación NFC predeterminada, pide el PIN de la tarjeta y solicita acercar la tarjeta al teléfono para leerla enviando los datos recopilados a un email del atacante codificada en la aplicación.
Oracle publica su CPU de abril de 2026 con 481 parches
Oracle ha publicado la segunda actualización de seguridad trimestral de 2026 con 481 fallos corregidos en múltiples familias de producto, incluidas dependencias de terceros integradas en sus distribuciones. De los 481 parches totales, 376, aproximadamente el 78%, corresponden a CVE no pertenecientes a Oracle, pero presentes en componentes de terceros explotables dentro de sus productos.
Oracle Communications corrige 139 vulnerabilidades, de las que 93 son explotables remotamente sin credenciales. Oracle Financial Services Applications corrige 75 vulnerabilidades, 59 explotables sin credenciales. Oracle Fusion Middleware recibe 59 parches, 46 explotables sin credenciales. Oracle MySQL corrige 34 vulnerabilidades; algunas con riesgo de ejecución remota de código.
Oracle E-Business Suite recibe 18 parches.
Unit 42: los modelos frontier de IA aumentarán ataques a la cadena de suministro
Unit 42 alerta de un cambio cualitativo en las capacidades ofensivas de los modelos frontier de IA, que han demostrado capacidad para descubrir fallos 0-day, encadenar exploits complejos y adaptarse en tiempo real a entornos endurecidos, sin requerir intervención humana experta.
Los modelos muestran una capacidad significativamente superior analizando código fuente frente a código compilado, lo que expone a los proyectos OSS a una explotación sistemática fuera del alcance de los defensores. Unit 42 prevé un incremento de ataques a cadenas de suministro similares a los recientes casos de TeamPCP o la campaña norcoreana contra la librería Axios.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
