Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Business Applications
Intelligent Workplace
Pequeña y Mediana Empresa
Salud
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 23-29 mayo
Exploit público para una vulnerabilidad en el kernel de Windows 11 que permite escalada a SYSTEM
La vulnerabilidad CVE-2026-40369 (CVSSv3 7.8 según proveedor), afecta al kernel de Windows 11 y permite a un proceso no privilegiado modificar memoria del kernel para escalar privilegios a SYSTEM. El fallo reside en una desreferenciación de puntero no confiable en ExpGetProcessInformation, explotable mediante una llamada a NtQuerySystemInformation.
El fallo es accesible desde entornos altamente restringidos como sandboxes de navegadores, lo que permite encadenarlo con exploits de ejecución remota para obtener control total del sistema.
El investigador Ori Nimron ha publicado un exploit completo para esta falla, demostrando que dado que NtQuerySystemInformation es una syscall NT núcleo y no una llamada win32k, el lockdown de win32k de Chrome, Edge y Firefox no aplica aquí, lo que significa que cualquier vulnerabilidad de ejecución de código en el renderer del navegador puede encadenarse con CVE-2026-40369 para escalar desde código en sandbox hasta privilegios SYSTEM con fiabilidad del 100% combinado con un bypass de KASLR. El exploit es público y está disponible en repositorios abiertos.
Microsoft incluyó un parche en las actualizaciones acumulativas de mayo 2026 para Windows 11 (versiones 24H2 y 25H2 afectadas) y no existe mitigación alternativa por configuración, por lo que la priorización del parche es urgente.
Campaña de espionaje de Screening Serpens con seis nuevas variantes de RAT
Unit 42 de Palo Alto Networks ha documentado una intensa campaña del grupo APT iraní Screening Serpens, también conocido como UNC1549 o Smoke Sandstorm, que entre febrero y abril de 2026 desplegó seis nuevas variantes de RAT contra entidades en Estados Unidos, Israel, Emiratos Árabes Unidos y al menos dos objetivos adicionales en Oriente Medio.
El grupo, activo desde 2022 y con expansión a Europa Occidental en 2025, operó con un alto ritmo sostenido, alineando sus ataques con el inicio del conflicto regional del 28 de febrero de 2026. Las dos nuevas familias de malware identificadas, MiniUpdate y MiniJunk V2, se distribuyen mediante spear phishing con señuelos de oferta de empleo que suplantan aerolíneas, plataformas de videoconferencia y portales de reclutamiento, dirigidos específicamente a sectores aeroespacial, defensa y telecomunicaciones.
La técnica más sofisticada documentada es el AppDomainManager hijacking: mediante un archivo de configuración XML legítimo, el actor desactiva el Event Tracing for Windows (ETW) de forma nativa antes de la ejecución del payload, privando a las soluciones EDR de su principal fuente de telemetría .NET sin recurrir a memory patching ni API hooking. Los indicadores de compromiso incluyen dominios C2 alojados en Azure que suplantan entidades del sector salud y financiero en las campañas de abril contra Oriente Medio.
Los equipos de seguridad deben priorizar la detección de configuraciones .NET anómalas que deshabiliten ETW y monitorizar la creación de tareas programadas con nombres como WindowsSecurityUpdate.
Payload consolida una operación de ransomware con ChaCha20 y Curve25519
Dark Atlas ha publicado un informe sobre el ransomware Payload, surgido en febrero de 2026 adoptando desde el primer día un modelo de doble extorsión y demostrando alcance global inmediato. A 24 de marzo su leak site ya listaba 50 organizaciones comprometidas, con presencia destacada en logística, inmobiliario (especialmente en Egipto y la región MENA), manufactura y servicios profesionales.
Técnicamente, el payload es un ejecutable PE32 para Windows que cifra ficheros con ChaCha20 derivando una clave única por fichero mediante intercambio de clave ECDH sobre Curve25519: por cada fichero genera una clave privada efímera de 32 bytes y un nonce de 12 bytes vía CryptGenRandom, calcula el secreto compartido con la clave pública del operador embebida, y usa ese secreto directamente como clave ChaCha20 sin KDF. La clave efímera se destruye en memoria y el secreto compartido nunca se escribe en disco, haciendo la recuperación sin la clave privada del atacante matemáticamente inviable.
El binario incluye 14 flags de línea de comandos para personalizar comportamiento, elimina instantáneas VSS con vssadmin, parchea las rutinas ETW en ntdll, borra los canales de Event Log de Windows, y utiliza APIs NT directas con multithreading sobre IOCP para cifrado paralelo, terminando simultáneamente procesos de bases de datos, backup y seguridad. Un mutex llamado MakeAmericaGreatAgain garantiza ejecución de instancia única.
Ubiquiti parchea tres vulnerabilidades de CVSS 10.0 en UniFi OS
Ubiquiti ha publicado parches de emergencia para cinco vulnerabilidades críticas en UniFi OS que afectan a una amplísima cartera de dispositivos: Dream Machines, grabadoras de vídeo en red, gateways industriales y sistemas NAS. Tres de los cinco fallos, CVE-2026-34908, CVE-2026-34909 y CVE-2026-34910, tienen un CVSSv3 10.0 según proveedor, no requieren autenticación y permiten a un atacante en la red adyacente realizar cambios no autorizados en el sistema, manipular archivos de cuentas subyacentes o ejecutar comandos arbitrarios de forma remota.
La presencia simultánea de tres vulnerabilidades de puntuación máxima sin requisito de credenciales convierte estos dispositivos en objetivos de muy alto valor, especialmente en entornos empresariales donde los UniFi actúan como gateways de red o puntos de agregación de vídeovigilancia.
Los administradores deben actualizar la mayoría de los dispositivos a UniFi OS Server 5.1.12 o posterior o a 4.0.14 para UniFi Express y restringir el acceso a las interfaces de gestión a redes de confianza o VPN.
NightSpire ransomware compromete 64 organizaciones en 33 países, incluyendo España
Picus Security ha publicado una investigación sobre el grupo de ransomware NightSpire, que acumula 64 víctimas distribuidas en 33 países, entre ellos España, de los sectores gubernamental, sanitario, financiero y transportes. El actor emplea Chrome Remote Desktop y AnyDesk para persistencia encubierta, exfiltra datos vía MEGAsync a MEGA y cifra tanto almacenamiento local como ficheros sincronizados con OneDrive. El encriptador está escrito en Go para compatibilidad multiplataforma.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
