1. Principales Vulnerabilidades y Filtraciones de la semana

2. Evolución del cibercrimen: del ransomware a la infección permanente

3. Marruecos infectó el teléfono de Pedro Sánchez mediante Zero-Click

4. Filtración del panel de control de Graphite

💥Fortinet (🤦) corrige el FortiClientEMS RCE CRÍTICO (CVE-2026-21643, CVSS 9.1) (Noticia)

La falla de inyección SQL permite la ejecución remota de comandos no autenticados mediante solicitudes elaboradas. Afecta a EMS 7.4.4 (parche disponible). Un bug separado de FortiCloud SSO se explota activamente para persistir el administrador y el robo de configuración del firewall. Consulta las versiones afectadas y la guía de parches.

💥Seis Zero-Days Explotadas Activamente en Microsoft (Noticia)

Microsoft cerró 58 vulnerabilidades en febrero, incluyendo seis ZeroDays que ya han sido atacadas activamente. Afectados Windows, Office, Azure, Edge, Exchange, Hyper-V, WSL y otros componentes. Actualiza, #PatchTuesday !!

💥CVE-2026-22906: Vulnerabilidad Crítica en Almacenamiento de Credenciales (Noticia)

CVE-2026-22906 es una vulnerabilidad de alta criticidad (CVSS 9.8/10) que afecta a ciertos productos que almacenan credenciales de usuario utilizando cifrado AES en modo ECB con una clave embebida (hardcoded key). El uso de este método de cifrado inseguro permite a un atacante remoto, sin autenticación previa, recuperar contraseñas y nombres de usuario en texto claro si obtiene acceso al archivo de configuración afectado.

💥Apple corrige una vulnerabilidad de día cero que afectaba a iOS, macOS y otros dispositivos (Noticia)

La vulnerabilidad, identificada como CVE-2026-20700 (puntuación CVSS: 7,8), se ha descrito como un problema de corrupción de memoria en dyld, el editor de enlaces dinámicos de Apple. La explotación exitosa de la vulnerabilidad podría permitir a un atacante con capacidad de escritura en la memoria ejecutar código arbitrario en dispositivos susceptibles.

💥800 000 sitios web de WordPress afectados por una vulnerabilidad del plugin WPvivid Backup. (Noticia)

Esta vulnerabilidad puede ser utilizada por atacantes no autenticados para cargar archivos arbitrarios en un sitio vulnerable y lograr la ejecución remota de código, lo que normalmente se aprovecha para tomar el control completo del sitio.

Evolución del cibercrimen: del ransomware a la infección permanente

En un entorno donde los ciberataques evolucionan más rápido que las defensas tradicionales, el Red Report 2026 de Picus Labs ofrece una fotografía rigurosa, basada en datos, de cómo los adversarios redefinen sus tácticas para evadir detección y prolongar su estancia dentro de las redes corporativas.

Durante más de una década, las organizaciones se han concentrado en detener ataques ruidosos (como los ransomware que cifran y toman rehenes los activos digitales). Sin embargo, el informe revela una transformación estratégica: los atacantes están priorizando la residencia prolongada dentro de sistemas comprometidos, con técnicas que les permiten “alimentarse” de identidades, credenciales y procesos legítimos sin activar alarmas de seguridad.

Top 10 técnicas de ataque: el nuevo orden ofensivo

El informe clasifica las técnicas más utilizadas por los adversarios en 2025, todas dirigidas a evasión, persistencia y sigilo:

1. Process Injection (T1055) — mezcla de código malicioso en procesos fiables

2. Command & Scripting Interpreter (T1059) — abuso de herramientas nativas (PowerShell, Python)

3. Credentials from Password Stores (T1555) — robo de credenciales almacenadas

4. Virtualization/Sandbox Evasion (T1497) — malware que detecta y evita entornos de análisis

5. Application Layer Protocol (T1071) — manipulación de protocolos comunes para C2

6. Masquerading (T1036) — siguientes archivos con nombres de procesos legítimos

7. Boot/Logon Autostart Execution (T1547) — persistencia tras reinicios

8. Impair Defenses (T1562) — neutralización de defensas (EDR/AV)

9. Remote Access Software (T1219) — acceso remoto legítimo como vector de C2

10. Data Encrypted for Impact (T1486) — cifrado de ransomware (en descenso)

Recomendaciones clave del informe

Aunque el Red Report 2026 cubre profundos detalles técnicos y amplias métricas, su núcleo práctico se resume en estas prioridades de defensa:

1. Adoptar la validación continua de seguridad para simular técnicas del Top 10 y descubrir fallos reales.

2. Fortalecer defensas contra evasión y persistencia, incluyendo análisis de memoria, detección de abusos de scripting y técnicas de ocultación.

3. Reforzar la protección de identidades y credenciales, incluyendo limitar el almacenamiento de contraseñas y aplicar MFA robusta.

4. Hardenizar entornos de análisis para evitar que malware evite ser analizado en sandboxes tradicionales.

Informe Red Report 2026

Marruecos infectó el teléfono de Pedro Sánchez mediante Zero-Click

Según revela el diario TheObjetive, los servicios de inteligencia marroquíes habrían logrado infectar el teléfono móvil del presidente del Gobierno español, Pedro Sánchez, mediante el software espía Pegasus, desarrollado por la empresa israelí NSO Group.

Los hechos se sitúan en mayo de 2021, en un contexto de alta tensión bilateral motivado por la hospitalización en España del líder del Frente Polisario, Brahim Ghali. Precisamente durante una visita oficial del presidente Sánchez y del ministro del Interior, Fernando Grande-Marlaska, a Ceuta y posteriormente a Melilla, se habría producido la intrusión.

Los operadores marroquíes aprovecharon la proximidad geográfica y la concentración de dispositivos móviles en la delegación oficial para identificar de forma precisa el terminal del presidente. Para ello, habrían empleado dispositivos conocidos como IMSI-Catchers (capaces de simular antenas de telefonía móvil, capturar identificadores únicos de los aparatos y manipular el tráfico de comunicaciones en un radio determinado). Esta herramienta facilitó enormemente la ejecución de un ataque de tipo zero-click, una modalidad avanzada del spyware que no requiere ninguna acción por parte de la víctima: ni pulsar enlaces, ni abrir archivos, ni responder llamadas y deja una huella extremadamente difícil de rastrear.

Una aeronave con matrícula T7-CPX, procedente de Tel Aviv, estrechamente vinculada a los servicios de inteligencia israelíes y a NSO Group, empresa diseñadora y comercializadora de Pegasus, aterrizó en Málaga precisamente en esos días.

En su momento no logró identificar de forma concluyente al responsable debido a las limitaciones técnicas inherentes al spyware y a la falta de cooperación internacional suficiente. No obstante, los indicios técnicos y contextuales apuntan de manera consistente a los servicios de inteligencia marroquíes.

Artículo The Objetive

Filtración del panel de control de Graphite

Esta semana ha circulado y sido rápidamente eliminada una imagen que supuestamente muestra en el fondo el panel de control interno del spyware Graphite, desarrollado por la empresa israelí Paragon Solutions. La publicación original, subida a LinkedIn por un alto directivo de la compañía y luego borrada, ofreció una vista inesperada de cómo se opera esta herramienta de vigilancia. En la captura se aprecia una interfaz con un número de teléfono con prefijo +420 (República Checa) asignado a un perfil, y opciones que parecen corresponder a gestión de intercepciones y aplicaciones objetivo, lo que sugiere cómo se supervisan comunicaciones cifradas.

Graphite es un software espía comercial que permite, sin intervención del usuario, acceder a datos en dispositivos móviles y aplicaciones de mensajería cifrada como WhatsApp o Signal. A diferencia de otros tipos de malware, su tecnología está diseñada para infiltrarse sin interacción del objetivo (ataques “zero-click”) y extraer comunicaciones y metadatos desde el dispositivo.

ContandoBits | ClashReport

Ver historial de Publicaciones