Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Industria
Salud
Banca y Finanzas
Sector Público
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 6-12 junio
Chrome 149 corrige 429 vulnerabilidades, incluida una crítica en ANGLE con posible escape de sandbox
Google ha publicado Chrome 149 con correcciones para 429 vulnerabilidades, récord histórico para una actualización estable del navegador. Destaca que en la actualización se corrijan 22 vulnerabilidades consideradas críticas por Google y 87 consideradas de alta severidad. El fallo más notable es CVE-2026-10881 (CVSSv3 9.6), una lectura y escritura fuera de límites en ANGLE que podría permitir escape del sandbox mediante páginas HTML manipuladas. La actualización también corrige múltiples vulnerabilidades de tipo use-after-free, validación insuficiente de entrada no confiable, implementaciones incorrectas y errores de memoria.
Aunque no se indica explotación activa, la cuota de despliegue de Chrome y el potencial de ejecución de código en un vector web justifican actualización prioritaria a 149.0.7827.53 en Linux y 149.0.7827.53/54 en Windows y macOS.
Campaña activa de UNC3753 contra el sector financiero con intrusiones físicas
Mandiant ha publicado un análisis exhaustivo de una campaña ejecutada por UNC3753, también conocido como Luna Moth, Chatty Spider o Silent Ransom Group, que ha comprometido decenas de organizaciones del sector legal, financiero y de servicios profesionales en Estados Unidos.
El grupo opera exclusivamente mediante vishing e ingeniería social: sus operativos suplantan al servicio de IT corporativo por teléfono, convencen a los empleados de iniciar sesiones de pantalla compartida y descargan utilidades RMM como AnyDesk, Zoho Assist o Bomgar para establecer acceso persistente, todo ello sin desplegar ningún payload malicioso tradicional. Una vez dentro, exfiltran datos (acuerdos legales, PII, registros financieros) mediante herramientas portables como WinSCP o Rclone, o simplemente arrastrando archivos hacia cuentas de almacenamiento en la nube controladas por el atacante.
El aspecto más significativo de esta nueva fase de la campaña es la escalada táctica: cuando los intentos remotos fracasan, el grupo envía individuos físicamente a las oficinas de la víctima suplantando técnicos de IT para exfiltrar datos vía USB. Las demandas de extorsión llegan por correo electrónico en un plazo de 30 minutos tras el robo.
Se recomienda implementar de forma urgente controles de verificación fuera de banda para cualquier solicitud de soporte técnico y bloquear la instalación de RMM no autorizado.
NFCShare: malware Android para robo de datos NFC de tarjetas bancarias se extiende a España e Italia
Investigadores de D3Lab han documentado nuevas variantes del malware Android NFCShare distribuidas como falsas actualizaciones de apps bancarias legítimas alojadas en GitHub, en una campaña activa desde el 14 de mayo de 2026 que apunta principalmente a clientes de entidades en Italia y España. El repositorio malicioso, creado el 10 de abril, ha llegado a alojar 56 APKs únicos que suplantan aplicaciones de Intesa Sanpaolo, Banca Sella, Nexi, Fideuram y Mooney, entre otros.
Tras engañar a la víctima con una pantalla falsa de verificación, el malware lee los datos de la tarjeta mediante la interfaz IsoDep de Android y comandos EMV (número de tarjeta, tipo, fecha de caducidad y PIN de 4 dígitos) exfiltrándolos al C2 del atacante vía WebSocket. Esta información puede emplearse directamente en esquemas de relay de pagos NFC, en línea con los patrones documentados de NGate o SuperCard X. Las nuevas variantes introducen APK malformados con rutas internas envenenadas para dificultar el análisis estático automatizado, aunque no impiden el análisis manual.
Se recomienda instalar aplicaciones bancarias exclusivamente desde Google Play, activar Play Protect y desconfiar de cualquier solicitud que pida acercar la tarjeta al NFC como paso de verificación.
ServiceNow confirma que un endpoint sin autenticación expuso datos de instancias corporativas
De acuerdo con BleepingComputer, ServiceNow ha notificado a clientes afectados tras confirmar que atacantes explotaron activamente un fallo de control de acceso en un endpoint de la API REST que estaba configurado con requires_authentication=false, permitiendo consultas no autenticadas sobre las tablas de datos de instancias de clientes.
La compañía aplicó un parche de emergencia el 5 de junio de 2026 en instancias alojadas, limitando el acceso a usuarios autenticados. ServiceNow ha confirmado que los atacantes lograron consultar datos de instancias con éxito, aunque no ha detallado qué información fue accedida; las instancias de ServiceNow almacenan habitualmente tickets de soporte, registros de empleados, inventarios de activos, credenciales y tokens de API compartidos durante resolución de incidencias. El problema afecta principalmente a clientes en la versión de plataforma Australia y a versiones anteriores con ciertas configuraciones personalizadas.
Los administradores deben revisar los logs en busca de solicitudes al endpoint afectado, rotar credenciales y tokens expuestos a través de flujos de soporte, y verificar si han recibido un caso de soporte de ServiceNow (su ausencia indica que la organización no está entre las afectadas).
Ivanti Sentry: vulnerabilidades RCE sin autenticación con CVSS 10.0 y 9.9 y PoC pública disponible
Ivanti publicó un aviso de seguridad para dos vulnerabilidades críticas en Ivanti Sentry (antes MobileIron Sentry), la pasarela inline que gestiona y cifra el tráfico entre dispositivos móviles y sistemas empresariales.
- La primera, CVE-2026-10520 (CVSSv3 10.0 según Ivanti), es una inyección de comandos del sistema operativo en el endpoint no autenticado /mics/api/v2/sentry/mics-config/handleMessage que permite a un atacante remoto ejecutar comandos arbitrarios como root sin ninguna credencial.
- La segunda, CVE-2026-10523 (CVSSv3 9.9 según Ivanti), es un bypass de autenticación que permite crear cuentas administrativas arbitrarias y obtener control total del sistema.
El 10 de junio, watchTowr publicó un análisis técnico completo junto con una prueba de concepto funcional para CVE-2026-10520, lo que hace inminente la explotación activa: Ivanti Sentry ya ha aparecido dos veces en el catálogo KEV de CISA, confirmando el interés histórico de actores de amenaza por este producto. Las versiones 10.7.0, 10.6.1 y 10.5.1 (y anteriores) están afectadas y las correcciones están disponibles en las versiones 10.7.1, 10.6.2 y 10.5.2.
Se recomienda actualizar con carácter urgente, fuera de los ciclos habituales de parcheo, antes de que comience la explotación masiva.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
