Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 3-9 enero
Ni8mare: vulnerabilidad RCE con CVSSv3 10.0 en la plataforma de automatización n8n
Investigadores de Cyera han identificado una vulnerabilidad de ejecución remota de código (RCE) de severidad máxima (CVSSv3 10.0), catalogada como CVE-2026-21858, en la herramienta de automatización de flujos de trabajo n8n. El fallo, al que se le ha puesto el sobrenombre de Ni8mare, permite a atacantes no autenticados tomar el control total del servidor mediante la inyección de comandos en procesos específicos de ejecución de nodos.
Esta debilidad reside en una validación insuficiente de las entradas de usuario y la explotación exitosa concede control completo sobre la instancia de n8n, con impacto directo en la confidencialidad, integridad y disponibilidad de los flujos de automatización y de las credenciales gestionadas. Dada la integración de esta plataforma con bases de datos y credenciales corporativas, el compromiso del servidor implica un riesgo sistémico de exfiltración de datos. Se urge a las organizaciones a actualizar a las versiones de parche publicadas por el fabricante y restringir el acceso a la interfaz de administración.
D-Link advierte de la explotación activa de CVE-2026-0625, vulnerabilidad crítica de inyección de comandos
D-Link ha confirmado, tras un informe de la organización VulnCheck, una vulnerabilidad crítica de inyección de comandos remota catalogada como CVE-2026-0625 (CVSSv3 9.3 según VulnCheck) en múltiples gateways DSL que han alcanzado el final de soporte (modelos DSL-526B ≤ 2.01, DSL-2640B ≤ 1.07, DSL-2740R < 1.17 y DSL-2780B ≤ 1.01.14). La falla es atribuida a una biblioteca CGI con sanitización de entrada insuficiente en el endpoint dnscfg.cgi, lo que permite a un atacante sin autenticación inyectar y ejecutar comandos arbitrarios con impacto sobre confidencialidad, integridad y disponibilidad.
Estos dispositivos alcanzaron el estado EoL/EoS en 2020 y no cuentan con parches disponibles, por lo que D-Link recomienda retirarlos y reemplazarlos por modelos con soporte activo o aislarlos en redes no críticas. Cabe destacar que, aunque no se ha publicado una PoC hasta ahora, hay evidencias de explotación activa de esta vulnerabilidad por actores de amenazas no determinados.
LockBit 5.0: análisis técnico de la nueva versión del ransomware
AhnLab ha publicado un análisis en profundidad de LockBit 5.0, la evolución más reciente de esta familia de ransomware. La iteración 5.0 presenta evoluciones significativas en sus capacidades de evasión y técnicas de cifrado. Esta versión emplea algoritmos criptográficos híbridos para acelerar el compromiso de grandes volúmenes de datos y utiliza técnicas de ofuscación de código para dificultar el análisis por parte de soluciones EDR y antivirus tradicionales. LockBit 5.0 mantiene su modelo de Ransomware-as-a-Service (RaaS), facilitando su adopción por afiliados con distintos niveles de experiencia.
También incorpora nuevas funcionalidades para la exfiltración automatizada de datos y la eliminación selectiva de copias de seguridad en la sombra. Además, utiliza scripts personalizados para deshabilitar defensas del sistema y asegurar la persistencia mediante la manipulación del registro de Windows. Las contramedidas recomendadas incluyen la segmentación de red, el uso de autenticación multifactor (MFA) y el monitoreo activo de procesos de cifrado anómalos.
PHALT#BLYX: campaña ClickFix contra el sector de la hostelería en Europa
Securonix ha identificado una sofisticada campaña de ciberataque denominada PHALT#BLYX, atribuida a actores de amenazas rusos, que tiene como objetivo principal el sector de la hostelería, especialmente en países de Europa. La actividad maliciosa comienza con correos de phishing que suplantan a Booking.com, utilizando cebos de cancelaciones de reservas con cargos elevados para redirigir a las víctimas a sitios web fraudulentos.
Una vez allí, se emplea la técnica de ingeniería social CickFix, donde se muestra un falso pantallazo azul (BSOD) y un error de CAPTCHA para engañar al usuario y que este pegue y ejecute manualmente un comando de PowerShell en el diálogo Ejecutar de Windows. El impacto de este ataque permite a los atacantes evadir defensas mediante el uso de herramientas legítimas como MSBuild.exe para compilar y ejecutar el payload final, una versión altamente ofuscada de DCRat. Este malware proporciona acceso remoto completo (RAT), persistencia en el sistema, capacidad de registro de teclas y la posibilidad de desplegar cargas secundarias tras desactivar Windows Defender. Se recomienda la formación de empleados contra tácticas de ClickFix y la monitorización de ejecuciones anómalas de herramientas de desarrollo como MSBuild.
Abuso de infraestructura de Google para campañas de phishing altamente evasivas
RavenMail ha publicado un artículo en el que describe una campaña de abuso de funcionalidades legítimas de la infraestructura de Google, como Google Cloud Application Integration y servicios asociados, para enviar correos de phishing desde direcciones reales de Google que pasan todas las validaciones de autenticación (SPF, DKIM, DMARC) sin necesidad de suplantar dominios o comprometer servidores. Los enlaces apuntaban a Google Cloud Storage (storage.cloud.google.com), luego redirigían a googleusercontent.com para mostrar un CAPTCHA falso, y finalmente llevaban a una falsa página de login de Microsoft en un dominio malicioso para robar credenciales.
En diciembre de 2025, la campaña atacó a más de 3000 organizaciones, principalmente en el sector manufacturero, pero también en tecnología y finanzas, con casi 9400 emails enviados. Este ataque subraya la necesidad de reforzar la seguridad de correo electrónico con detección basada en contexto, no solo en reputación y de educar a los usuarios para identificar correos con urgencias imprevistas, redirecciones engañosas y mensajes que usan servicios legítimos de forma inesperada.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
