1. Principales Vulnerabilidades y Filtraciones de la semana

2. Kyber ransomware: el doble golpe que apunta a Windows y ESXi

3. Bitwarden CLI comprometido, cuando el ataque no va contra el usuario, sino contra el desarrollador

4. Incidente de seguridad en Vercel

💥Microsoft corrige un fallo crítico de escalada de privilegios en ASP.NET Core (Noticia)

La vulnerabilidad, identificada como CVE-2026-40372, tiene una puntuación CVSS de 9,1 sobre 10,0. Su gravedad se ha calificado como Importante. Se ha atribuido a un investigador anónimo el descubrimiento y la notificación del fallo.

💥Inyección Crítica de Comandos del SO en Fortinet FortiSandbox (Noticia)

Permite a un atacante no autenticado ejecutar comandos del sistema operativo como root a través de un endpoint de API vulnerable (CVE-2026-39808).

💥CVE-2026-23500 (9.4) Falla Crítica Deja Dolibarr ERP Expuesto a RCE (Noticia)

Un administrador autenticado puede ejecutar comandos arbitrarios del sistema operativo inyectando una carga maliciosa en la constante de configuración MAIN_ODT_AS_PDF. Esta vulnerabilidad se debe a que la aplicación no valida ni escapa correctamente la ruta del comando antes de pasarla a la función exec() en el proceso de conversión de ODT a PDF

💥Vulnerabilidad de día cero en Microsoft Defender permite ataque de escalada de privilegios (Noticia)

El 14 de abril, se publica la falla está identificada como CVE-2026-33825 y tiene una calificación de gravedad Importante. Si se explota con éxito, esta vulnerabilidad de escalada de privilegios permite a un atacante eludir los permisos estándar y obtener acceso completo como SYSTEM 

💥Francia sufre un ciberataque que expone los documentos de identidad de sus ciudadanos (Noticia)

La Agencia Nacional de Seguridad Documental (ANTS) de Francia ha reconocido un incidente de seguridad que podría suponer la filtración de información personal de ciudadanos después de que un ciberdelincuente asegurara tener una base de datos con 18 millones de registros.

Kyber ransomware: el doble golpe que apunta a Windows y ESXi

La última investigación de Rapid7 pone el foco en una nueva amenaza emergente: Kyber ransomware, una familia que no solo cifra datos… sino que lo hace de forma coordinada en múltiples plataformas críticas.

Kyber no es un ransomware más. Su principal valor (para los atacantes) es su capacidad dual:

• Ataca entornos Windows (servidores, endpoints)

• Ataca infraestructura virtualizada (VMware ESXi) al mismo tiempo

Esto permite a los atacantes maximizar el impacto operativo, llegando tanto a sistemas de negocio como a la capa de virtualización donde viven múltiples servicios. ()

En un incidente analizado en marzo de 2026, se desplegaron dos variantes distintas en la misma red, confirmando un enfoque coordinado para provocar una caída total del entorno.

utiliza herramientas legítimas del sistema para moverse lateralmente y ejecutar acciones clave:

• En ESXi: uso de esxcli para apagar VMs y cifrar datastores

• En Windows: PowerShell, eliminación de copias shadow y despliegue del ransomware

Esto encaja con una tendencia clara: living-off-the-land, donde el malware reduce su huella usando herramientas nativas.

MITRE ATT&CK techniques

Indicators of compromise (IOCs)

Fuente Rapid7

Bitwarden CLI comprometido, cuando el ataque no va contra el usuario, sino contra el desarrollador

Una nueva campaña de supply chain attack ha puesto en el punto de mira a una de las herramientas más confiables del ecosistema: el gestor de contraseñas Bitwarden.

Según la investigación publicada por The Hacker News, los atacantes lograron Comprometer el pipeline CI/CD (GitHub Actions). Con ello inyectar código malicioso en la versión: @bitwarden/[email protected].Y Publicar el paquete en npm durante una ventana muy corta (≈ 2 horas). El payload malicioso se introdujo en un archivo (bw1.js) dentro del paquete distribuido. Este vector forma parte de una campaña más amplia vinculada al incidente de Checkmarx.

Noticia THN

Incidente de seguridad en Vercel

Vercel, una de las plataformas más utilizadas para desplegar aplicaciones modernas, ha confirmado un incidente de seguridad con acceso no autorizado a sistemas internos.

Según el propio boletín oficial de Vercel, el incidente:

• Implicó acceso no autorizado a sistemas internos

• Afectó a un subconjunto limitado de clientes

• Está siendo investigado con apoyo externo y autoridades

El ataque comenzó con:

• Compromiso de un tercer proveedor (Context.ai)

• Uso de OAuth con permisos excesivos (“Allow All”)

• Secuestro de la cuenta Google Workspace de un empleado

Este ataque implica que hayan podido verse comprometidas las Variables de entorno (algunas en claro), entornos internos y datos de clientes.

El actor (muy posiblemente ShinyHunters), está demandando 2 millones de dólares o publicará todo lo robado.

Fuente Vercel

Ver historial de Publicaciones