Cloud Híbrida
Ciberseguridad
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 4-10 abril
Una vulnerabilidad crítica en Cisco permite tomar control total del sistema al modificar contraseñas
Cisco publicó actualizaciones para abordar varias vulnerabilidades de alta gravedad. Entre ellas se encuentra CVE-2026-20093 (CVSSv.4 8,7), una vulnerabilidad en la función de cambio de contraseña de Cisco IMC que permite a atacantes eludir la autenticación de forma remota. A través de una solicitud HTTP manipulada, podrían modificar contraseñas y acceder con privilegios de administrador. No existen mitigaciones alternativas, por lo que se recomienda actualizar de inmediato, y aunque no hay evidencia de explotación activa ni PoC público el fallo es trivial de explotar.
Por otro lado, se ha encontrado CVE-2026-20160 (CVSSv.3 9,8), una vulnerabilidad crítica en Smart Software Manager On-Prem (SSM On-Prem) que permite a atacantes sin privilegios ejecutar código de forma remota en sistemas vulnerables. Al enviar una solicitud manipulada a la API expuesta, pueden ejecutar comandos en el sistema operativo con privilegios de administrador.
CERT EU atribuye a TeamPCP el robo de 340 GB desde AWS en la plataforma europa.eu
CERT EU ha confirmado que el incidente que afectó a la plataforma pública europa.eu se originó por el uso de una versión comprometida de Trivy en el ataque de cadena de suministro atribuido con alta confianza a TeamPCP, lo que permitió a los atacantes obtener una clave AWS con privilegios de gestión sobre otras cuentas vinculadas a la Comisión Europea.
A partir de ese acceso, el actor desplegó TruffleHog para buscar más secretos, creó nuevas credenciales para persistencia y realizó tareas de reconocimiento antes de exfiltrar 91,7 GB comprimidos, equivalentes a 340 GB sin comprimir, desde el backend cloud del servicio de hosting de europa.eu. El conjunto robado afecta potencialmente a sitios de 71 clientes, incluidos 42 clientes internos de la Comisión y al menos 29 entidades de la Unión, e incluye datos personales como nombres, apellidos, nombres de usuario, direcciones de correo y contenido de comunicaciones automáticas, con al menos 51.992 archivos vinculados a notificaciones salientes.
No hay evidencia de movimiento lateral adicional ni de impacto sobre sistemas internos.
Storm‑1175: campañas de ransomware Medusa basadas en explotación acelerada de vulnerabilidades
Microsoft Threat Intelligence atribuye al actor de amenazas Storm‑1175 campañas de ransomware de alta velocidad que explotan principalmente N‑day, y en algunos casos 0‑day, contra servicios perimetrales expuestos durante el intervalo entre divulgación y la aplicación de parches. Tras la explotación inicial, el actor progresa rápidamente hacia exfiltración de datos y despliegue del ransomware Medusa, en ocasiones en menos de 24 horas.
Desde 2023 se ha observado la explotación de más de 16 vulnerabilidades en Exchange, PaperCut, Ivanti, ScreenConnect, TeamCity, SimpleHelp, CrushFTP, GoAnywhere MFT, SmarterMail y BeyondTrust. En post‑compromiso establece persistencia creando cuentas administrativas, utiliza LOLBins, RMMs como Atera, N‑able, ScreenConnect, AnyDesk o SimpleHelp, entre otros, Impacket para movimiento lateral y robo de credenciales. Finalmente, deshabilita o evade defensas y emplea Bandizip y Rclone para exfiltración antes de desplegar Medusa a gran escala.
Los sectores más afectados incluyen sanidad, educación, servicios profesionales y finanzas.
Publicado el exploit BlueHammer para una 0-day de escalada de privilegios local en Windows
Se ha publicado una PoC para la explotación de una vulnerabilidad de escalada de privilegios en Windows, sin parche disponible, reportada previamente de forma privada a Microsoft. La falla, denominada BlueHammer, fue divulgada por el investigador conocido como Chaotic Eclipse, quien expresó su disconformidad con la gestión del caso por parte del Microsoft Security Response Center.
El exploit fue publicado en GitHub bajo el alias Nightmare-Eclipse, aunque el propio autor indicó que el PoC contiene errores que afectan su fiabilidad. El analista Will Dormann confirmó que el exploit funciona y describió la vulnerabilidad como una escalada de privilegios local que combina un TOCTOU y confusión de rutas, permitiendo acceso a la base de datos SAM.
Este acceso posibilita la obtención de hashes de contraseñas locales y la posterior escalada a privilegios SYSTEM, con compromiso total del sistema. En Windows Server, el exploit eleva privilegios de usuario no administrador a administrador elevado, pero no alcanza SYSTEM.
Microsoft indicó que investiga los reportes conforme a sus procesos de divulgación coordinada, sin anunciar aún una corrección.
Campaña de distribución de Atomic Stealer a través de ClickFix
Investigadores de Jamf han identificado una nueva campaña que distribuye el malware Atomic Stealer (AMOS) mediante una variante del ataque de ingeniería social ClickFix, abusando de la aplicación legítima Script Editor en macOS.
La campaña consiste en atraer a usuarios a sitios falsos con temática de Apple que simulan guías para liberar espacio en disco y que abren el Editor de scripts con código malicioso precargado que ejecuta comandos ofuscados para descargar y lanzar la carga útil en memoria, eludiendo así protecciones del sistema.
El impacto es el robo masivo de credenciales, contraseñas, cookies, tarjetas de crédito, datos del llavero y de billeteras de criptomonedas y, en versiones recientes, el establecimiento de persistencia mediante una puerta trasera.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
