Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 6 febrero
Nace un ecosistema de IA autónomas capaz de atacar, negociar y expandirse sin humanos
HudsonRock ha descrito la aparición de una nueva amenaza sin precedentes: una red de agentes autónomos impulsada por la convergencia de tres elementos, OpenClaw (runtime local con memoria persistente), Moltbook (red de coordinación de 900.000 agentes) y Molt Road (mercado negro automatizado para credenciales, skills de explotación y exploits 0-day), que conforman un ecosistema emergente de agentes de IA autónomos que actúan sin supervisión humana para realizar infiltración, movimiento lateral, exfiltración y monetización de compromisos de seguridad a escala global, aprovechando credenciales robadas y registros de infostealers como semilla para atacar objetivos de alto valor.
Estas plataformas funcionan como ecosistemas donde las IA colaboran, comparten habilidades, compran exploits, publican malware disfrazado de skills y hasta reutilizan las ganancias del ransomware para expandir capacidades.
Ataques contra organismos gubernamentales ucranianos y europeos explotando CVE-2026-21509
Según el CERT-UA, se ha registrado una nueva ola de ataques dirigidos contra organismos del gobierno de Ucrania y organizaciones de la UE aprovechando el fallo en Microsoft Office CVE-2026-21509 (CVSSv3 7.8 según Microsoft), un problema de omisión de funciones de seguridad que permite a un atacante local no autenticado eludir mitigaciones de seguridad integradas en Office si convence a un usuario de abrir un documento malicioso.
El actor identificado como APT28 (Fancy Bear), ha distribuido correos de spearphishing con documentos Word que, al abrirse, explotan la falla para iniciar una conexión WebDAV y descargar componentes adicionales. La cadena de ataque conduce a la creación de un DLL malicioso y un archivo de imagen con shellcode, seguido de modificación de un CLSID en el registro y uso de una tarea programada (OneDriveHealth) para activar persistencia.
Finalmente se despliega el framework de post-explotación COVENANT, con comunicaciones C2 enmascaradas a través del servicio legítimo de almacenamiento en la nube Filen.
Metro4Shell (CVE-2025-11953): explotación activa de servidor Metro de React Native
VulnCheck ha observado explotación real del fallo crítico CVE-2025-11953 (CVSSv3 9.8 según JFrog) en servidores de desarrollo Metro usados por React Native. La primera actividad se detectó el 21 de diciembre de 2025, con repeticiones operativas 4 y 21 de enero de 2026, lo que indica uso sostenido en el mundo real. La falla (Metro4Shell) es una inyección de comandos del sistema (CWE-78) en el endpoint /open-url de Metro que, por defecto, se vincula a interfaces externas, permitiendo ejecución remota no autenticada de comandos OS (Windows, Linux y macOS) vía POST.
En los ataques observados se empleó un cargador PowerShell en base64 que desactiva exclusiones de Microsoft Defender, establece conexión raw TCP con infraestructura atacante y descarga un binario malicioso en Rust con técnicas básicas anti-análisis.
Se recomienda actualizar a versiones de React Native Community CLI 20.0.0 o superior y segmentar/restringir accesos al servidor Metro.
Descubierta en n8n una vulnerabilidad crítica de escape de sandbox que permite ejecución remota de código
Pillar Security identificó en n8n un fallo crítico, CVE-2026-25049 (CVSSv4 9.8 según GitHub), que permite a un usuario autenticado con permisos para crear o editar workflows escapar del sandbox de expresiones. La explotación exitosa permite a un usuario autenticado ejecutar comandos arbitrarios en el servidor (RCE), acceder al sistema de archivos y comprometer la clave N8N_ENCRYPTION_KEY.
Esto facilita la extracción y descifrado de todas las credenciales almacenadas (claves de API, tokens OAuth y contraseñas de bases de datos). El fallo se explota introduciendo expresiones maliciosas en parámetros de workflow que pasan los controles de la sandbox y retornan al contexto global de Node.js para invocar operaciones peligrosas.
Entre otras cuestiones, se recomienda actualizar inmediatamente a n8n 2.5.2 o superior (1.123.17+) dado que Endor Labs ha publicado una prueba de concepto.
ShinyHunters abusa de SSO y vishing para exfiltrar datos de SaaS
Google ha identificado actividad maliciosa asociada a operaciones bajo la marca ShinyHunters, que utiliza técnicas de vishing avanzadas y sitios de phishing con marca de la víctima para capturar credenciales de inicio de sesión único (SSO) y códigos MFA de empleados de la empresa objetivo, engañándolos para que introduzcan estas credenciales durante llamadas telefónicas simuladas como soporte técnico.
Los atacantes registran dispositivos propios en los mecanismos de MFA tras robar credenciales, lo que les permite autenticarse legítimamente y persistir en los sistemas comprometidos. Una vez dentro, se abusa de las sesiones SSO para acceder a múltiples aplicaciones SaaS.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
