1. Principales Vulnerabilidades y Filtraciones de la semana

2. Incidente de Cloudflare y de Iberia

3. CrowdStrike despide a un insider que compartió en secreto información con actores de amenazas

4. Estadísticas semanales

💥Fortinet decide dejar de dar soporte a la VPN SSL (Noticia)

La migración del modo túnel SSL VPN de Fortinet a VPN IPsec implica configurar un nuevo túnel IPsec, asignar la autenticación de usuarios y la autenticación multifactorial (MFA), y crear políticas de firewall para enrutar el tráfico. Se trata de un cambio obligatorio para las versiones 7.6.3 y posteriores de FortiOS, ya que el modo túnel SSL VPN ya no es compatible y debe migrarse antes de actualizar.

💥CISA advierte sobre una vulnerabilidad crítica de Oracle Identity Manager que se está explotando activamente (Noticia)

La vulnerabilidad en cuestión es CVE-2025-61757 (puntuación CVSS: 9,8), un caso de autenticación faltante para una función crítica que puede dar lugar a la ejecución remota de código preautenticado. La vulnerabilidad afecta a las versiones 12.2.1.4.0 y 14.1.2.1.0. Oracle la solucionó como parte de sus actualizaciones trimestrales publicadas el mes pasado.

💥Aprovechan la brecha de seguridad de Salesforce Gainsight para acceder a los datos de más de 200 empresas (Noticia)

La violación, detectada a mediados de noviembre de 2025, expuso potencialmente información confidencial de más de 200 organizaciones. Los actores maliciosos vinculados al famoso grupo ShinyHunters explotaron los tokens OAuth para obtener acceso no autorizado a las instancias de clientes de Salesforce a través de conexiones de aplicaciones de terceros.

💥Grafana advierte sobre una vulnerabilidad de suplantación de identidad administrativa de gravedad máxima (Noticia)

Vulnerabilidad de máxima gravedad (CVE-2025-41115) en su producto Enterprise que puede explotarse para tratar a los nuevos usuarios como administradores o para escalar privilegios. El problema solo es explotable cuando el aprovisionamiento SCIM (Sistema para la gestión de identidades entre dominios) está habilitado y configurado.

Incidente de Cloudflare y de Iberia

Durante la semana pasada se publicó el análisis post mortem de la caída de los servicios de Cloudflare, donde se clarifica lo sucedido con total transparencia. Es un gran ejemplo de como se debe actuar frente a incidentes de seguridad.

En el mismo se detallan los motivos de la caída “El problema no fue causado, ni directa ni indirectamente, por un ciberataque o actividad maliciosa de ningún tipo. En su lugar, se originó por un cambio en los permisos de uno de nuestros sistemas de bases de datos, lo que provocó que la base de datos generara diversas entradas en un "archivo de funcionalidades" utilizado por Bot Management, nuestro sistema de gestión de bots. A su vez, ese archivo duplicó su tamaño.“

Puedes acceder al informe completo aquí.

También hemos recibido información de un posible ciberataque recibido por Iberia, y que es la propia empresa la que se anticipa notificando a los posibles afectados. Parece que Iberia ha tenido un incidente de seguridad donde se indica que se pueden haber filtrado datos como nombre, apellidos, email y la iberia club.

Lejos del problema que esto supone para los que somos clientes de la aerolínea, Iberia ha actuado correctamente avisando para que estemos prevenidos ante posibles estafas que podamos sufrir.

En ciberseguridad debemos asumir que seremos atacados, y comenzar a trabajar en planes que nos permitan minimizar el impacto (tanto del propio ciberataque como de su repercusión).

CrowdStrike despide a un insider que compartió en secreto información con actores de amenazas

La empresa estadounidense de ciberseguridad CrowdStrike ha confirmado que un empleado compartió capturas de pantalla tomadas de los sistemas internos con actores de amenazas, tras ser filtradas en Telegram por los actores maliciosos Scattered Lapsus$ Hunters.

“El mes pasado identificamos y despedimos a un empleado sospechoso tras una investigación interna que determinó que había compartido imágenes de la pantalla de su ordenador con personas ajenas a la empresa”.

“Nuestros sistemas nunca se vieron comprometidos y los clientes permanecieron protegidos en todo momento. Hemos remitido el caso a las fuerzas del orden pertinentes.”

Los autores de la amenaza afirmaron que recibieron cookies de autenticación SSO de la persona con información privilegiada, pero para entonces, CrowdStrike ya había detectado a la persona sospechosa y le había bloqueado el acceso a la red.

El grupo de extorsión añadió que también intentaron comprar informes de CrowdStrike sobre ShinyHunters y Scattered Spider, pero no los recibieron.

Fuente BC | Twitter

⚠️ 291 ciberataques en 43 países ⚠️

➡️​El actor de amenazas más activo la semana pasada fue Keymous+, responsable de 82 ciberataque

➡️​USA es el país más afectado con 83 ciberataques.

➡️​El sector gubernamental, militar y de defensa es el más afectado, con un 38% de los incidentes y 110 ciberataques.

➡️​Ciberataques críticos estimados en 37 (13% del total).

➡️​Los datos comprometidos ascienden aproximadamente a 54 TB.

Datos de los amigos de Hackmanac

Ver historial de Publicaciones