Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Boletín Semanal de Ciberseguridad, 7-13 febrero
Microsoft corrige seis vulnerabilidades 0-day en su Patch Tuesday de febrero
Microsoft publicó su Patch Tuesday de febrero de 2026, corrigiendo 59 CVEs que afectan a Windows, Office y otros componentes, con seis vulnerabilidades 0-day activamente explotadas en entornos reales. Los seis 0-day incluyen: CVE-2026-21510 (CVSSv3 8.8 según Microsoft), CVE-2026-21513 (CVSSv3 8.8 según Microsoft), CVE-2026-21514 (CVSSv3 7.8 según Microsoft), problemas en Windows Shell, MSHTML y Word, respectivamente, que permiten la omisión de características de seguridad mediante archivos maliciosos, además de CVE-2026-21519 (CVSSv3 7.8 según Microsoft), CVE-2026-21525 (CVSSv3 6.2 según Microsoft) y CVE-2026-21533 (CVSSv3 7.8 según Microsoft).
En el ecosistema cloud, se abordaron vulnerabilidades críticas en Azure ACI Confidential Containers. Adicionalmente, se corrigieron fallos de ejecución remota de código (RCE) en Notepad, Hyper-V y diversos componentes de GitHub Copilot. El despliegue se completa con parches para denegación de servicio en Remote Access Connection Manager.
Se recomienda priorizar la implementación inmediata de estos parches dado el riesgo de explotación activa de los CVE identificados.
Ataque de cadena de suministro en Office Add-ins expone credenciales de Microsoft y datos sensibles
Según Koi, el complemento de Outlook denominado AgreeTo, originalmente legítimo y publicado en la Microsoft Office Add-in Store en diciembre de 2022, fue abandonado por su desarrollador y posteriormente usado por un actor que reclamó el dominio vinculado y lo convirtió en un kit de phishing.
Al ser servido por Microsoft dentro de Outlook, esta carga maliciosa capturó más de 4000 credenciales de cuentas Microsoft, así como números de tarjetas de crédito.
Actores de amenazas implantan cargas dormidas en Ivanti EPMM
Cuando Ivanti publicó los parches para corregir CVE-2026-1281 y CVE-2026-1340 (CVSSv3 9.8 según proveedor, ambas) en Endpoint Manager Mobile (EPMM), informó que están siendo explotadas activamente sin aportar detalles concretos de los ataques.
Ahora Defused ha publicado un análisis en el que explica que los atacantes no usan shells tradicionales sino un implante en memoria tipo sleeper, alojado en la ruta /mifs/403.jsp, que actúa como cargador de clases Java en memoria sin interacción de comandos ni escritura en disco y sólo se activa mediante un parámetro HTTP específico, lo cual sugiere que se está explotando para casos de comercio de acceso inicial (IAB) en lugar de explotación directa inmediata. Defused resalta que esta clase implantada puede recibir en una etapa posterior una segunda carga útil Java para ejecución ulterior, y que ninguna explotación secundaria ha sido detectada hasta ahora.
La recomendación es aplicar de inmediato los parches proporcionados por Ivanti para ambos CVE y reiniciar los servidores afectados para limpiar cargas en memoria.
Black Basta usa CVE-2025-68947 para evadir defensas
El Threat Hunter Team de Symantec vio en una campaña reciente de Black Basta al operador Cardinal integrar una técnica de Bring-Your-Own-Vulnerable-Driver (BYOVD) directamente dentro del payload del ransomware. Cardinal aprovechó que el driver kernel NsecSoft NSecKrnl está afectado por CVE-2025-68947 (CVSSv4 5.7) para, mediante peticiones IOCTL manipuladas, terminar procesos de seguridad antes de cifrar datos y agregar la extensión .locked a los archivos.
Esta modalidad elimina la etapa separada típica de BYOVD, reduciendo señales de preparación y favoreciendo evasión de defensas. Además, se identificó la presencia de la herramienta GotoHTTP como acceso remoto posterior al despliegue, lo que sugiere persistencia en la red de la víctima.
La campaña indica una evolución táctica de Black Basta tras el filtrado de logs internos en 2025 y recientes acciones legales contra miembros asociados.
Discord anunció que implementará una verificación global de edad para acceder a funciones restringidas por edad
Discord anunció que a partir de marzo de 2026 implementará una verificación global de edad para acceder a contenido y funciones restringidas por edad, colocando todas las cuentas en modo teen por defecto hasta verificar la mayoría de edad. Los usuarios podrán escoger presentar documentos oficiales o someterse a una estimación de edad mediante IA remitiendo imágenes de su rostro.
La medida ha generado una fuerte reacción de la comunidad con dudas sobre la privacidad de los datos debido a un incidente de octubre de 2025 en el que se expusieron imágenes de identificaciones gubernamentales de aproximadamente 70.000 usuarios utilizadas en procesos de verificación de edad.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
