1. Principales Vulnerabilidades y Filtraciones de la semana

2. Nunca te confíes

💥Una nueva vulnerabilidad LPE “Dirty Frag” sin parchear en el kernel de Linux permite acceso root en Ubuntu, RHEL, Fedora y otras distribuciones (Noticia)

💥Deserialización de datos no confiables en VMware Tanzu (Noticia)

💥Los cortafuegos PAN-OS (Palo Alto) afectados por la explotación activa de CVE-2026-0300, permitiendo RCE no autenticado con acceso root (Noticia)

💥Se ha descubierto un PoC/exploit para la vulnerabilidad CVE-2026-35616 de Fortinet (Noticia)

💥Múltiples vulnerabilidades en Ivanti Endpoint Manager Mobile (EPMM) (Noticia)

💥RansomHouse afirman que el código fuente de Trellix fue vulnerado (Noticia)

💥Filtración de datos de Zara expuso información personal de 197.000 personas (Noticia)

Nunca te confíes

Disculpa, este lunes nuestro boletín semanal es algo más breve, prácticamente todo el equipo estuvo operativo en un incidente que nos saltó a últimas horas del jueves hasta prácticamente las 5 de la mañana de hoy lunes.

Hay incidentes que te recuerdan algo que en ciberseguridad nunca deberíamos olvidar:

No puedes dar por bueno absolutamente nada.

Ni un segmento “aislado”.
Ni una cuenta “de sistema”.
Ni un servidor “interno”.
Ni un EDR en verde.
Ni un “eso no tiene salida a Internet”.

Porque los atacantes ya no necesitan entrar directamente donde quieren golpear. Les basta con encontrar un puente, una credencial, una confianza mal entendida, una excepción heredada, una cuenta de servicio olvidada, … Y desde ahí, empiezan a moverse en silencio.

Como jefe de Equipo de Respuesta de Incidentes, con más de 200 intervenciones, una de las cosas más duras no es ver el malware. Es ver cómo una organización descubre, demasiado tarde, que aquello que consideraba “seguro” realmente solo estaba “conectado”. La sensación de perder completamente el control de tu infraestructura durante horas o días deja una marca muy difícil de explicar a quien no lo ha vivido desde dentro.

No podemos sólo confiar en herramientas, PowerShell es legítimo, ScreenConnect es legítimo, Citrix es legítimo, Checkpoint es legítimo. Pero han abusado de todos ellos a través de diferentes vulnerabilidades, y estos sistemas (no parcheados y no en sus mejores configuraciones) han facilitado el ataque, exfiltración de información y cifrado de un buen número de decenas de servidores.

Los atacantes ya no necesitan malware extravagante. Utilizan lo mismo que usan los administradores, los técnicos, los ERP, los antivirus y los propios sistemas operativos.

Cuando entras en una organización que acaba de sufrir un ransomware, entiendes rápido que el problema no es “detectar malware”. El problema es distinguir qué parte de la actividad es realmente normal… y cuál no.

Y que el impacto real no son solo los equipos cifrados. Es la parada total.

Un PowerShell puede ser administración legítima… o el inicio del cifrado.
Un acceso NTLM puede ser un servicio olvidado… o movimiento lateral.
Un reinicio de un servicio puede ser una actualización… o persistencia.
Un proceso firmado por Microsoft puede formar parte de una cadena ofensiva perfectamente válida.

Por eso, lo mejor que te podemos recomendar es que no te confíes nunca, toma cualquier conexión como potencialmente peligrosa, revisa periódicamente tus sistemas, nunca escatimes en backups, ensaya la respuesta a diferentes incidentes.

Y que importante es el equipo, trabajar juntos, de forma coordinada, todos nos ayudamos. Cuida tu equipo, dale capacidad y medios.

Prepárate, en algún momento vendrán, que nos pille preparados.

Ramón

Ver historial de Publicaciones