27 de octubre

Author

Ramón Salado
27 de octubre de 2025

  1. Principales Vulnerabilidades y Filtraciones de la semana

  2. Amenazas de seguridad en el sector Retail

  3. Estadísticas semanales

💥Grave caída en AWS en la región US-East-1 (Noticia)

El incidente fue provocado por un defecto latente dentro del sistema automatizado de administración de DNS que provocó fallas en la resolución de endpoints para DynamoDB. Un administrador de DNS en una sola región de la extensa red de Amazon desencadenó un desastre de 16 horas. A su vez, el retraso en la propagación del estado de la red se extendió a un balanceador de carga de red del que dependen los servicios de AWS para su estabilidad. Como resultado, los clientes de AWS experimentaron errores de conexión desde la región US-East-1.

💥Vulnerabilidad crítica de ejecución remota de código en Redis CVE-2025-49844 (CVSS 10.0) (Noticia)

La vulnerabilidad aprovecha un error de corrupción de memoria Use-After-Free (UAF). Permite a un atacante (post-autenticación) enviar un script Lua malicioso especialmente diseñado para escapar del entorno aislado de Lua y lograr la ejecución arbitraria de código nativo en el host Redis.

💥Ataques masivos aprovechando plugins obsoletos de WordPress (Noticia)

Una campaña de explotación generalizada está atacando sitios web de WordPress con los plugins GutenKit y Hunk Companion, vulnerables a problemas de seguridad antiguos y de gravedad crítica que pueden utilizarse para lograr la ejecución remota de código (RCE). La empresa de seguridad de WordPress Wordfence afirma que bloqueó 8,7 millones de intentos de ataque contra sus clientes en solo dos días, el 8 y el 9 de octubre.

💥Vulnerabilidad RCE no autenticada de WSUS (Windows Server Update), CVE-2025-59287 (Noticia)

Una vulnerabilidad crítica (CVSS 9.8) de ejecución remota de código en la función de servidor WSUS en Windows Server (2012/2012 R2, 2016, 2019, 2022 y 2025). La falla se debe a una deserialización insegura en los servicios web de informes de WSUS, lo que permite a un atacante remoto no autenticado enviar solicitudes creadas y ejecutar código arbitrario con privilegios en un servidor vulnerable.

Amenazas de seguridad en el sector Retail

El sector retail se encuentra en una encrucijada. La digitalización acelerada, la integración de comercio electrónico, logística, pagos y sistemas de inventario conectados hacen que los distribuidores y comerciantes sean objetivos cada vez más atractivos para los ciberdelincuentes. A continuación, analizamos por qué el retail está en el punto de mira, quiénes atacan, cómo lo hacen, con ejemplos concretos, y qué pueden hacer las organizaciones para mitigar riesgos.

¿Por qué el sector Retail es tan vulnerable?

  • Alto volumen de transacciones y multitud de datos de clientes (historiales de compra, direcciones, métodos de pago, etc.).

  • Infraestructura tecnológica heterogénea y compleja: tiendas físicas, ecommerce, logística, supply chain, sistemas de punto de venta (POS) conectados, etc.

  • Dependencias de terceros: proveedores, plataformas de pago, servicios de logística, etc., que se convierten en vectores de ataque indirecto.

  • Falta de una regulación tan estricta como en otros sectores críticos (finanzas, energía).

  • El impacto reputacional y operativo es alto: interrupciones de servicio, pérdida de ventas, fuga de clientes, etc.

Amenazas clave en el sector retail

Aquí vemos algunas de las modalidades más comunes de ataque en el comercio minorista:

  1. Ataques a la cadena de suministro (supply chain attacks)
    Los atacantes apuntan no solo al comerciante principal, sino a los proveedores, plataformas logísticas, servicios externos, etc. En el sector retail, esto significa que no basta con proteger la tienda física o el ecommerce: hay que vigilar toda la cadena de valor.

  2. Fraude con tarjetas regalo y otros esquemas invisibles
    Los delincuentes aprovechan los programas de tarjetas regalo, puntos, cupones, etc., para lavar dinero o para fraude encubierto que muchas veces no se detecta como “robos de datos”. Noticia

  3. Ransomware / extorsión / interrupción operativa
    Los atacantes no sólo buscan datos, también buscan paralizar operaciones; eso tiene un doble efecto: daño económico directo + presión para pagar. Ejemplo: Muji víctima de ransomware.
    Además, en Reino Unido grandes marcas del retail han sufrido ataques que han obligado a detener pedidos online, pagos, click & collect, etc.

  4. Ataques de ingeniería social, phishing, credenciales reutilizadas
    No todo es sofisticado malware: muchas veces la entrada es por engañar a un empleado, por credenciales débiles, por reutilización de contraseñas.

  5. Exfiltración de datos de clientes / pagos / inventario
    Robar datos de clientes, historiales de compra, número de tarjeta, etc., es un objetivo recurrente. Estos datos luego pueden usarse para phishing, fraude, ventas en el “mercado oscuro”.

Ejemplos recientes que ilustran el riesgo

  • En EEUU, la distribuidora United Natural Foods Inc. (UNFI), que abastece a grandes cadenas, sufrió un ataque y advirtió que había “actividad no autorizada” en sus sistemas lo que afectó su capacidad de servir a sus clientes.

  • En el Reino Unido, marcas como Marks & Spencer, Harrods o Co‑op han sido objeto de ataques que han afectado su logística online, pagos, e incluso han generado pérdidas millonarias.

Estos casos muestran que no importa el tamaño: desde grandes multinacionales hasta tiendas más modestas pueden ser blanco.

¿Qué pueden hacer las empresas del sector retail? (y tu función como especialista en ciberseguridad)

  • Realizar mapeo de terceros y cadena de suministro: identificar proveedores críticos, plataformas de logística y su nivel de riesgo. Tal como advierte que “incluso grandes compañías pueden caer por fallos de terceros”.

  • Establecer controles de acceso robustos, gestión de identidades, monitorización de credenciales, prevención de ingeniería social (formación al personal).

  • Asegurar continuidad del negocio: plan de respuesta a incidentes, copias de seguridad, recuperación de sistemas, aislamiento de la infección, etc.

  • Segmentación de red y mínimo privilegio: limitar lo que un atacante pueda alcanzar, evitar que una intrusión ligera se convierta en parálisis total.

  • Monitorización activa, detección temprana de intrusiones, logs de acceso, métricas de anomalías.

  • Políticas de parcheo y actualización: la infraestructura del retail tiene dispositivos POS, kioscos, logística, que muchas veces tienen menor nivel de mantenimiento.

  • Seguro de ciberriesgo, y consideración de la factibilidad de pagar rescates o no.

  • Evaluación de fraude específico: en el entorno de tarjetas regalo, cupones, fidelización, revisar transacciones inusuales, detección de fraude interno/externo.

  • Comunicaciones claras con clientes / proveedores cuando surge un incidente: transparencia, gestión de crisis.

⚠️ 276 ciberataques en 45 países ⚠️

➡️​El actor de amenazas más activo la semana pasada fue Qilin, responsable de 87 ciberataque

➡️​USA es el país más afectado con 107 ciberataques.

➡️​El sector gubernamental, militar y de defensa es el más afectado, con un 17% de los incidentes y 47 ciberataques.

➡️​Ciberataques críticos estimados en 54 (19% del total).

➡️​Los datos comprometidos ascienden aproximadamente a 58 TB.

Datos de los amigos de Hackmanac

Nuestro ciberSOC monitoriza la seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente crítico para su organización.

Nuestro equipo de RedTeam hace una evaluación de la seguridad, simulando un ciberataque externo, poniendo así a prueba a toda la organización.

Disponemos de una plataforma de formación y concienciación con material para que su organización sepa enfrentarse a las principales amenazas.