Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 22-28 noviembre
ASUS corrige vulnerabilidad crítica de bypass de autenticación en routers con AiCloud
ASUS ha publicado nuevo firmware para mitigar nueve vulnerabilidades, destacando CVE-2025-59366 (CVSSv4 9.2 según fabricante), un bypass de autenticación crítico explotable en routers con AiCloud habilitado. La falla deriva de efectos colaterales en la funcionalidad Samba y permite a atacantes remotos no autenticados ejecutar funciones no autorizadas mediante una cadena de path traversal y command injection de baja complejidad.
Las versiones 3.0.0.4_386, 3.0.0.4_388 y 3.0.0.6_102 incorporan los parches correspondientes a múltiples CVE. ASUS no detalló los modelos afectados, pero publicó medidas de mitigación para equipos en fin de vida, recomendando deshabilitar servicios expuestos a Internet y bloquear el acceso remoto a dispositivos AiCloud vulnerables. También insta a reforzar contraseñas y limitar la superficie expuesta.
En abril, la empresa ya corrigió otro bypass crítico previamente explotado en la operación WrtHug para secuestrar miles de routers ASUS WRT y emplearlos como nodos ORB en campañas atribuidas a actores chinos.
Iberia confirma una brecha de seguridad con afectación a clientes
La aerolínea Iberia ha confirmado que sufrió un ciberataque el fin de semana del 22-23 de noviembre de 2025, el cual comprometió datos personales de una parte de sus clientes debido a un acceso externo no autorizado a los sistemas de un proveedor tecnológico externo, el cual aloja un repositorio de comunicación.
La información filtrada incluye nombres, apellidos y direcciones de correo electrónico y, en menor medida, teléfonos y números de afiliación a Iberia Club, además de algunos códigos de reserva para vuelos futuros.
La aerolínea ha asegurado que no se han obtenido datos completos ni utilizables de medios de pago ni claves de acceso a las cuentas de Iberia.
Como medida de mitigación, la compañía ha notificado el incidente a la Agencia Española de Protección de Datos (AEPD) y a la Unidad Central Operativa (UCO) de la Guardia Civil, contactando a los clientes afectados e implementando un doble factor de autenticación para la gestión de reservas. Además, ha puesto a disposición un número de teléfono gratuito para resolver dudas, mientras continúa la investigación.
Insider facilita fuga de información interna en CrowdStrike
CrowdStrike confirmó la desvinculación de un empleado que exfiltró información interna a la coalición Scattered Lapsus$ Hunters, integrada por actores de Scattered Spider, LAPSUS$ y ShinyHunters. El insider compartió capturas de paneles internos, incluyendo accesos a recursos corporativos y a la página Okta SSO.
Los atacantes afirmaron haber explotado la plataforma de terceros Gainsight y obtenido cookies de autenticación, pero CrowdStrike descartó cualquier intrusión técnica o compromiso de infraestructura. La investigación interna determinó que la filtración se limitó a capturas tomadas localmente por el empleado, presuntamente incentivado con una oferta de 25.000 dólares por acceso a la red. Los sistemas de monitorización detectaron actividad anómala de forma temprana, evitando accesos no autorizados adicionales.
La compañía sostiene que no hubo impacto operativo ni exposición de clientes y remitió el caso a las autoridades competentes.
Documentos filtrados revelan la evolución organizativa y estratégica de APT35
La filtración, en octubre de 2025, de documentos internos de APT35 (Charming Kitten), grupo de ciberespionaje vinculado a la Guardia Revolucionaria Islámica de Irán (IRGC), reveló una estructura operativa altamente burocratizada y militarizada. Los archivos muestran un sistema con métricas de desempeño, supervisión estricta y equipos especializados en phishing, explotación de vulnerabilidades como ProxyShell e Ivanti, y monitoreo de buzones comprometidos para obtener inteligencia humana (HUMINT).
Activa desde 2022, la campaña se dirige a redes diplomáticas, gubernamentales y corporativas en Turquía, Arabia Saudí, Líbano, Kuwait, Corea y dentro del propio Irán, siguiendo un ciclo sistemático de explotación, robo de credenciales y campañas de phishing encadenadas. El análisis técnico evidencia una transición desde procedimientos manuales hacia una automatización creciente que mejora la escala, persistencia y capacidad de recolección continua de información.
En conjunto, estos elementos reflejan un aparato estatal de ciberinteligencia cada vez más centralizado, cuyo objetivo estratégico es obtener información para influir en la política exterior, la seguridad y la economía regional.
Actividad reciente de Scattered LAPSUS$ Hunters y expansión de su capacidad ofensiva
De acuerdo con los investigadores de Unit 42, desde mediados de noviembre de 2025 Scattered LAPSUS$ Hunters (SLSH) ha reanudado operaciones con nuevas campañas de robo de datos vinculadas al compromiso de aplicaciones de Gainsight y su integración con Salesforce, habilitado por tokens OAuth sustraídos en ataques previos a Salesloft Drift. Salesforce confirmó accesos no autorizados a datos de clientes y publicó IoC relevantes.
SLSH, a través de su canal de Telegram, anunció un posible sitio de filtraciones y fijó un plazo implícito para demandas de extorsión. En paralelo, el grupo impulsa el desarrollo del Ransomware-as-a-Service ShinySp1d3r, actualmente funcional en Windows, con versiones para Linux y ESXi en preparación, y ha amenazado con desplegarlo contra infraestructuras del estado de Nueva York. Asimismo, continúa su estrategia de reclutamiento de insiders, ofreciendo pagos por acceso a redes corporativas, tras un incidente que involucró a un exempleado de CrowdStrike. Gainsight suspendió integraciones con otros SaaS y recomendó rotación de claves.
SLSH afirma haber comprometido alrededor de 1500 víctimas en 2025 y anticipa más filtraciones durante la temporada de compras, elevando el riesgo para sectores como el retail, con alta actividad en estas fechas.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
