29 de junio

  1. Principales Vulnerabilidades y Filtraciones de la semana

  2. Análisis técnico: UNC5792 y UNC4221 evolucionan su ataque contra Signal

  3. El inicio de la ciber-guerra

💥CISA advierte de vulnerabilidad explotada en Ubiquiti UniFiOS (Noticia)

💥Fallo de seguridad en Apache Tomcat Tribes (CVE-2026-34486) surgió por un refactoring que cambió un diseño fail-closed a uno fail-open (Noticia)

💥Squid (CVE-2026-47729) expone credenciales HTTP en texto plano de usuarios (Noticia)

💥Paquetes maliciosos de NPM se hacen pasar por herramientas PostCSS para distribuir RAT de Windows (Noticia)

💥AryStinger convierte 4.300 routers antiguos en una red de reconocimiento y proxies para ataques (Noticia)

💥Vulnerabilidad de día cero CVE-2026-20245 en Cisco Catalyst SD-WAN explotada para obtener acceso de administrador (Noticia)

Análisis técnico: UNC5792 y UNC4221 evolucionan su ataque contra Signal

El FBI y la CISA publicaron el 26 de junio de 2026 una alerta actualizada (PSA I-062626-PSA) sobre una campaña activa de los Servicios de Inteligencia Rusos (RIS) contra usuarios de Signal. La noticia relevante no es que hayan roto la criptografía de la app, porque no lo han hecho. La noticia es que no les ha hecho falta.

Los grupos implicados, rastreados públicamente como UNC5792 y UNC4221, están vinculados al FSB (incluyendo oficiales integrados en las Guardias Fronterizas del FSB) y a servicios militares rusos. Google Threat Intelligence Group documentó por primera vez a UNC5792 abusando de la función de vinculación de dispositivos de Signal a principios de 2025; la misma metodología se ha observado después contra WhatsApp y Telegram.

La campaña pasó por tres fases diferenciadas:

Fase 1 (2025 — primera ola): Los actores enviaban mensajes de phishing haciéndose pasar por soporte de Signal para robar códigos SMS de verificación y PINs de cuenta, o bien enviaban enlaces de "invitación a grupo" manipulados que vinculaban silenciosamente un dispositivo bajo control del atacante a la cuenta de la víctima.

Fase 2 (marzo 2026): El FBI emitió una primera alerta. Para entonces, miles de cuentas en todo el mundo ya habían sido comprometidas. Los objetivos: funcionarios gubernamentales de EE. UU. e internacionales, personal militar, figuras políticas, periodistas y oficiales ucranianos.

Fase 3 (junio 2026 — alerta actual): Los actores han evolucionado la táctica. El objetivo ya no es solo secuestrar la sesión activa, sino obtener la Backup Recovery Key de Signal, una credencial mucho más valiosa y persistente.

Signal Secure Backups cifra las copias de seguridad de las conversaciones en los servidores cloud de Signal mediante cifrado extremo a extremo. La clave de ese cifrado es la Recovery Key: una cadena que el propio usuario genera y que nunca debería salir del dispositivo.

El vector de ataque documentado funciona así:

  1. La víctima recibe un mensaje dentro de Signal aparentemente de "soporte de Signal" alertando de intentos de hackeo por parte de actores de Irán y países postsoviéticos, y anunciando la implementación obligatoria de verificación en dos pasos.

  2. El mensaje guía paso a paso al usuario para que active los backups y copie su Recovery Key al portapapeles:
    Settings → Backups → Enable backups → View recovery key → Copy to clipboard

  3. Un segundo mensaje, también suplantando al soporte, avisa de un supuesto error de sincronización que amenaza con la pérdida permanente de los datos y solicita que se pegue la Recovery Key en el chat para "resolver el problema".

  4. Con la Recovery Key en su poder, el atacante puede restaurar el backup completo de la cuenta en su propio dispositivo y acceder a toda la historia de conversaciones privadas y de grupo.

El FBI añade un aviso técnico específico que merece atención: crear una cuenta nueva con el mismo número de teléfono no invalida la Recovery Key robada.

Si la víctima cambia de dispositivo o reinstala Signal, la clave anterior sigue siendo válida para descifrar backups futuros hasta que el usuario genere activamente una nueva Recovery Key desde los ajustes de la app. Y aun así, los backups descargados previamente con la clave comprometida ya están en manos del atacante de forma permanente.

El Departamento de Estado estadounidense ha anunciado una recompensa de hasta 10 millones de dólares por información sobre UNC5792. La actividad se solapa con advertencias previas de los servicios de inteligencia neerlandeses (AIVD y MIVD), la agencia alemana BfV/BSI y la ANSSI francesa, lo que indica un seguimiento coordinado por parte de aliados occidentales.

Las técnicas MITRE ATT&CK relevantes para esta campaña incluyen T1566.001 (Spearphishing Link) para el vector de acceso inicial, y el abuso de funciones legítimas de la propia aplicación como mecanismo de exfiltración, sin necesidad de malware.

Información BC

El inicio de la ciber-guerra

Una ciber-guerra real emerge cuando distintos actores compiten de manera sostenida por obtener libertad de actuación en el dominio digital, mientras tratan de denegar esa misma libertad al adversario.

Con esa definición en mano, el artículo responde una pregunta incómoda: ¿por qué, si llevamos años hablando de ciber-guerra, esta no ha terminado de materializarse? La respuesta está en tres condiciones que nunca habían coincidido del todo: dependencia tecnológica real, interés estratégico suficiente y capacidades ofensivas y defensivas a la altura. Durante años, estos tres elementos no han terminado de alinearse al completo. Hasta ahora.

La tesis es clara: controlar el acceso al medio, sea a datos, a capacidades frontera de inferencia o a sistemas de automatización, puede degradar la capacidad cognitiva y productiva de una sociedad entera. Un ataque exitoso sobre infraestructura de IA ya no solo tiene efectos físicos o económicos; tiene efectos cognitivos directos. Puede reducir la capacidad de una organización para producir software, limitar la capacidad de una administración para analizar escenarios, degradar la capacidad de un ejército para planificar.

Esto es nuevo. Y cambia fundamentalmente el cálculo estratégico de cualquier actor estatal.

Tradicionalmente, una capacidad ofensiva sofisticada podía perder gran parte de su valor tras ser utilizada. Una vez expuesta, el adversario aprendía, parcheaba, atribuía, compartía indicadores, endurecía sistemas. El arma se quemaba.

Con IA, ese modelo cambia radicalmente. La capacidad ya no está únicamente en el exploit concreto. Está en el sistema capaz de descubrir, adaptar, regenerar y operar en tiempo real. La ventaja no es solo tener una bala; estamos hablando de construir y mantener la fábrica de munición conectada al terreno.

La IA también comprime el ciclo OODA (observar, orientar, decidir, actuar): acelera el descubrimiento de vulnerabilidades, la generación de exploits, la adaptación de payloads y el reconocimiento automatizado. El tiempo entre detección y acción se reduce drásticamente.

NuestiberSOC monitoriza la seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente crítico para su organión.

Nuestro equipo de RedTeam hace una evaluación de la seguridad, simulando un ciberataque externo, poniendo así a prueba a toda la organización.

Disponemos de una plataforma de formación y concienciación con material para que su organización sepa enfrentarse a las principales amenazas.