Cloud Híbrida
Ciberseguridad
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 3 abril
Análisis de la actividad de TeamPCP, que ha comprometido el entorno de desarrollo de Cisco
La campaña de ataques a la cadena de suministro llevada a cabo por el actor de amenazas TeamPCP contra Trivy (cuyo compromiso ha conducido a una intrusión en el entorno de desarrollo de Cisco según BleepingComputer), KICS, LiteLLM y Telnyx ha motivado la publicación de diversos análisis sobre el grupo y su actividad.
Investigadores de Wiz informan de que los actores validaron rápidamente los secretos robados con TruffleHog, realizaron reconocimiento intensivo en entornos AWS y ampliaron el acceso abusando de GitHub Actions con PATs robados y de ECS Exec sobre contenedores en ejecución. La fase final se centró en la exfiltración de código fuente, secretos y datos de S3, Secrets Manager y bases de datos, con un patrón operativo muy ruidoso y orientado a velocidad, apoyado en herramientas abiertas.
Por su parte, Unit 42 señala que las cargas maliciosas robaron tokens cloud, claves SSH, secretos de Kubernetes y variables de entorno sensibles, estableciendo además persistencia y movimiento lateral.
- En Trivy y KICS se forzaron commits maliciosos sobre etiquetas oficiales mediante credenciales robadas, ejecutando el payload TeamPCP cloud stealer y, posteriormente, el gusano CanisterWorm.
- En LiteLLM (versiones 1.82.7 y 1.82.8) introdujo ejecución persistente mediante archivos .pth, permitiendo la ejecución de código en cada inicio del intérprete Python, mientras que el SDK de Telnyx (versiones 4.87.1 y 4.87.2) incorporó un inyector con esteganografía WAV para desplegar cargas de segunda etapa.
Actor iraní lanza una campaña de password spraying contra Microsoft 365
Check Point Research ha descubierto una campaña de password spraying contra entornos Microsoft 365 atribuida con confianza moderada a un actor vinculado a Irán, desarrollada en tres oleadas durante los días 3, 13 y 23 de marzo de 2026. La operación se concentró principalmente en Israel y Emiratos Árabes Unidos, con más de 300 organizaciones afectadas en Israel y más de 25 en Emiratos, aunque también se observaron objetivos limitados en Europa, Estados Unidos, Reino Unido y Arabia Saudí.
El sector más castigado fue el municipal, un dato especialmente relevante porque existe correlación entre algunos municipios objetivo y ciudades atacadas por Irán durante marzo, lo que sugiere un posible apoyo a operaciones cinéticas y tareas de evaluación de daños de bombardeo. El actor utilizó nodos de salida Tor para la fase de escaneo con un User Agent que imitaba Internet Explorer 10, y una vez obtenidas credenciales válidas completó el acceso desde rangos de VPN comercial geolocalizados en Israel para evadir restricciones geográficas.
Se recomienda detectar anomalías de autenticación, aplicar controles de geofencing y bloqueo de Tor, imponer MFA de forma generalizada y garantizar la retención de logs para investigación post compromiso.
F5 reclasifica CVE‑2025‑53521 como RCE crítico tras confirmarse explotación activa en BIG‑IP APM
F5 Networks ha reclasificado la vulnerabilidad CVE‑2025‑53521 (CVSSv4 9.3 según proveedor) en BIG‑IP APM, pasando de denegación de servicio (DoS) a ejecución remota de código (RCE) tras confirmar que existe explotación activa.
El fallo permite a atacantes no autenticados ejecutar código en sistemas BIG‑IP APM con políticas de acceso configuradas en un servidor virtual. Se han observado despliegues de webshells en dispositivos sin parchear, y F5 ha publicado indicadores de compromiso (IOCs) junto con recomendaciones de revisión de discos, registros y comandos ejecutados. La compañía confirma que los parches originales mitigan también la variante RCE. CISA ha incorporado la vulnerabilidad a su catálogo de fallos explotados y exige su corrección inmediata en entornos federales.
Shadowserver contabiliza más de 240.000 instancias BIG‑IP expuestas, sin datos precisos sobre cuántas mantienen configuraciones vulnerables. Históricamente, fallos en BIG‑IP han sido aprovechados por actores estatales y grupos criminales para intrusiones, implantación de malware y exfiltración de información.
Descubierta una campaña Magecart de 24 meses que afecta a España
Any.run ha desvelado una operación Magecart activa durante más de 24 meses que ha comprometido al menos 17 tiendas WooCommerce mediante cargadores JavaScript multi‑etapa, infraestructura rotativa y exfiltración por WebSocket.
El ataque sustituye el flujo de pago legítimo con interfaces falsificadas y extrae datos completos de tarjetas (PAN, BIN, CVV, fecha). La arquitectura incluye loaders con fallback, payloads dinámicos, anti‑tampering y un canal C2 WebSocket para control en tiempo real.
La campaña está globalmente distribuida, con fuerte sesgo hacia España, Francia y EE. UU., y desplaza el impacto a bancos y PSP.
Un estudio alerta de que los chatbots de IA validan conductas dañinas para complacer al usuario
Investigadores de la Universidad de Stanford evaluaron 11 modelos conversacionales comerciales, incluidos ChatGPT, Claude y Gemini y demostraron una fuerte tendencia a validar conductas y decisiones del usuario con mucha mayor frecuencia que los humanos por un sesgo de complacencia ligado a métricas de satisfacción y retención.
En pruebas con consejos personales los modelos validaron el 47% de afirmaciones con potencial de daño para el usuario. El estudio recuerda que la IA no debe tratarse como consejero personal ni sustituto de apoyo humano real.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
