Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 21-27 febrero
Actualización urgente del canal estable de Chrome por tres vulnerabilidades
Google ha lanzado una actualización urgente del canal estable de Chrome para escritorio, elevándolo a la versión 145.0.7632.109/110 en Windows y macOS y 144.0.7559.109 en Linux, con despliegue progresivo. Esta nueva versión incluye tres parches: se aborda CVE-2026-2648 (CVSSv3 8.8), un desbordamiento de búfer en PDFium, CVE-2026-2649 (CVSSv3 8.8), un desbordamiento de enteros en el motor V8, y CVE-2026-2650 (CVSSv3 8.8), un desbordamiento de búfer en el componente Media.
Cabe destacar que mientras Google había clasificado las dos primeras fallas como de severidad alta y la tercera de severidad media, CISA-ADP ha catalogado las tres de severidad alta al otorgarlas el mismo CVSSv3, 8.8. Estas fallas podrían permitir a agentes externos comprometer la integridad de la memoria y ejecutar código de forma remota. Google mantiene las restricciones de acceso a los detalles técnicos de los errores hasta que la base de usuarios haya aplicado los parches de forma mayoritaria, minimizando así el riesgo de explotación activa.
Se recomienda la actualización inmediata para asegurar el aislamiento de procesos del navegador.
SolarWinds corrige cuatro fallos críticos en Serv‑U
SolarWinds ha publicado actualizaciones de seguridad para corregir cuatro vulnerabilidades críticas en Serv‑U que permiten la ejecución remota de código con privilegios de root o administrador en servidores sin parchear. La más grave, CVE‑2025‑40538 (CVSSv3 7.2 según NVD, pero 9.1 según SolarWinds), permite a un atacante con privilegios elevados crear un usuario administrador del sistema y ejecutar código arbitrario, explotando un fallo de control de acceso. Junto a esta, se corrigieron dos vulnerabilidades de type confusion y una IDOR, las tres con la misma puntuación CVSSv3 que la primera, que también posibilitaban la obtención de privilegios máximos.
Aunque todas requieren que el atacante disponga previamente de credenciales o privilegios altos, siguen siendo peligrosas en escenarios donde se encadenan otras elevaciones de privilegios o se usan credenciales robadas. Más de 12.000 servidores Serv‑U están expuestos públicamente según Shodan, lo que supone una amplia superficie de ataque.
Campaña global de UNC2814 contra empresas de telecomunicaciones y agencias gubernamentales
Google Threat Intelligence atribuyó a UNC2814, actor con origen en China y activo desde 2017, una campaña con 53 víctimas confirmadas en 42 países y actividad sospechosa en al menos 20 adicionales de los sectores de telecomunicaciones y gubernamental. El grupo empleó el backdoor en C denominado GRIDTIDE, que utiliza la API de Google Sheets como infraestructura de mando y control, ocultando tráfico malicioso en solicitudes legítimas sin explotar vulnerabilidades en productos de Google.
Tras el compromiso inicial, el actor realizó movimiento lateral vía SSH con cuentas de servicio, estableció persistencia mediante /etc/systemd/system/xapt.service, desplegó SoftEther VPN Bridge para comunicaciones cifradas salientes y dirigió su actividad contra sistemas con datos PII. GRIDTIDE ejecuta comandos arbitrarios, carga y descarga archivos, emplea AES 128 en modo CBC con clave de 16 bytes para descifrar configuraciones de Google Drive y utiliza autenticación mediante cuentas de servicio. Implementa un mecanismo C2 basado en celdas, sondeando A1 para comandos y almacenando datos en rangos A2 An y metadatos en V1, con codificación Base64 segura para URL.
GTIG confirmó que la actividad no guarda relación con Salt Typhoon y que el acceso inicial pudo implicar la explotación de servidores web y sistemas perimetrales.
Diesel Vortex: red organizada roba identidades de transporte y desvía cargamentos en EE. UU. y Europa
Investigadores de Have I Been Squatted han documentado la actividad del actor de amenazas con fines económicos conocido como Diesel Vortex, que ha estado robando credenciales de operadores de transporte y logística en EE. UU. y Europa mediante una campaña de phishing que utiliza 52 dominios. Entre las víctimas figuran plataformas como DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka y EFS.
La operación fue descubierta gracias a un repositorio expuesto que contenía bases de datos SQL y registros de Telegram, lo que permitió vincular al actor con infraestructura rusa y operadores de habla armenia. La investigación reveló casi 3500 pares de credenciales robadas, de las cuales 1649 eran únicas. El grupo operaba como una organización altamente estructurada con centro de llamadas, soporte por correo, programadores y personal dedicado a captar contactos del sector. Sus tácticas incluían typosquatting, clonación precisa de portales logísticos, vishing y suplantación en canales de Telegram. Las páginas de phishing capturaban credenciales, datos de transporte, información financiera y códigos 2FA, todo controlado en tiempo real por bots de Telegram.
Además del robo de credenciales, Diesel Vortex realizaba actividades de suplantación de transportistas, compromiso de buzones y double brokering, para el desvío y robo de cargamentos.
Cisco confirma la explotación activa de una vulnerabilidad 10.0 en Catalyst SD-WAN
Cisco ha advertido de la explotación activa de CVE-2026-20127 (CVSSv3 10.0 según proveedor), una vulnerabilidad crítica de authentication bypass en Cisco Catalyst SD-WAN Controller y SD-WAN Manager. La falla se debe a un mecanismo de autenticación de peering defectuoso que permite a un atacante remoto enviar solicitudes manipuladas y autenticarse como usuario interno de alto privilegio no root, accediendo a NETCONF y modificando la configuración de la malla SD-WAN. Cisco Talos atribuye la explotación de la falla desde 2023 a UAT-8616, un actor que define como altamente sofisticado. La intrusión incluyó escalada a root mediante downgrade y explotación de CVE-2022-20775 (CVSSv3 7.8 según proveedor), seguida de restauración de firmware para evadir la detección. Por su parte, CISA emitió la Directiva de Emergencia ED 26‑03, obligando a las agencias federales a inventariar, recopilar artefactos forenses, aplicar parches y revisar compromisos asociados a ambos CVE. Las guías conjuntas de CISA y NCSC alertan de campañas globales orientadas a insertar rogue peers y mantener persistencia con privilegios elevados. Cisco indica que no existen workarounds y que la única mitigación es actualizar a versiones corregidas, a la vez que insta a a auditar /var/log/auth.log en busca de entradas que muestren Clave pública aceptada para vmanage-admin desde direcciones IP desconocidas.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
