Los clientes de Cisco se han enfrentado a una avalancha de vulnerabilidades explotadas activamente que afectan el software de red del proveedor desde finales de febrero, y los investigadores dicen que cinco de las nueve vulnerabilidades que Cisco reveló en sus firewalls y sistemas SD-WAN durante las últimas tres semanas ya han sido explotadas en la naturaleza.

Los atacantes explotaron un par de estos defectos (vulnerabilidades de día cero en las SD-WAN de Cisco) durante al menos tres años antes de que el proveedor y las autoridades descubrieran y emitieran advertencias sobre la amenaza. Cisco reveló un cinco vulnerabilidades SD-WAN adicionales ese mismo día, y desde entonces se ha confirmado que tres de esos defectos también se explotan activamente.

Las debilidades que acechan en los productos de seguridad de Cisco no terminan ahí. Amazon Threat Intelligence dijo el miércoles que uno de los dos defectos de gravedad máxima que Cisco informó en su software de gestión de firewall a principios de este mes se había solucionado activamente. explotado por el ransomware Interlock desde el 26 de enero, más de un mes antes de que esas vulnerabilidades se revelaran públicamente.

Algunas organizaciones, funcionarios y miembros de la comunidad de seguridad en general han pasado por alto riesgos cada vez mayores a medida que se atacan más defectos. La avalancha de vulnerabilidades de Cisco SD-WAN y firewall incluye defectos con bajas calificaciones CVSS, días cero y otros que se determinó que fueron explotados activamente después de la divulgación.

«Estos no son errores aleatorios en software de bajo valor. Se trata de debilidades en el plano de gestión y en el plano de control en dispositivos en el borde de la red, que a menudo funcionan como anclajes de confianza en entornos empresariales», dijo a CyberScoop Douglas McKee, director de inteligencia de vulnerabilidades de Rapid7.

«Si compromete la SD-WAN o la gestión del firewall, se verá afectado por políticas, visibilidad, enrutamiento, segmentación y, en muchos casos, confianza administrativa en una gran parte del entorno», añadió. «Los atacantes lo saben y, cuando encuentran una ruta de autorización previa a esos sistemas, especialmente una que pueda encadenarse a la raíz, es lo más atractivo posible».

La lista completa de vulnerabilidades de Cisco reveladas recientemente que afectan a estos sistemas incluye:

Investigadores de varias empresas y de Cisco han observado o han sido notificados sobre la explotación activa de CVE-2026-20127, CVE-2022-20775, CVE-2026-20122, CVE-2026-20128 y CVE-2026-20131.

La Agencia de Seguridad de Infraestructura y Ciberseguridad solo ha agregado dos de los defectos (CVE-2022-20775 y CVE-2026-20127) a su catálogo de vulnerabilidades explotadas conocidas hasta el momento. La agencia, que la semana pasada agregó nuevos requisitos de caza y presentación de informes a un directiva de emergencia publicó sobre los defectos a finales de febrero, no respondió preguntas sobre el pedido actualizado ni explicó por qué otras vulnerabilidades de Cisco explotadas activamente no se han agregado al catálogo. La agencia ha estado operando bajo un cierre de financiación desde febrero.

El ransomware Interlock ataca los firewalls de Cisco

La campaña de ransomware en curso que Amazon Threat Intelligence detectó que involucraba a CVE-2026-20131 confirmó que «Interlock tenía un día cero en sus manos, lo que les daba una semana de ventaja para comprometer organizaciones antes de que los defensores supieran siquiera mirar», dijeron los investigadores el miércoles.

La ruta de ataque y las operaciones observadas de Interlock son extensas e incluyen scripts de reconocimiento posteriores al compromiso, troyanos de acceso remoto personalizados, un webshell y abuso de herramientas legítimas. Amazon no identificó víctimas específicas y dijo que el grupo amenaza a las organizaciones con cifrado de datos, multas regulatorias y valoraciones de cumplimiento.

«Históricamente, Interlock se ha dirigido a sectores específicos donde la interrupción operativa crea la máxima presión para el pago», dijeron los investigadores de Amazon Threat Intelligence en la publicación del blog. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, industria, atención médica y entidades gubernamentales.

4 defectos de Cisco SD-WAN bajo ataque

El enjambre de vulnerabilidades en las SD-WAN de Cisco plantea un riesgo adicional para los clientes. Cisco Talos atribuyó anteriormente ataques de larga duración que involucraron CVE-2026-20127 y CVE-2022-20775 a UAT-8616, pero no está claro si el mismo grupo de amenazas es responsable de todos los exploits de Cisco SD-WAN.

«Es probable que otros grupos de amenazas retomen la investigación pública para convertirla en un arma o adaptarla de manera oportunista, por lo que es posible que veamos intentos de seguimiento por parte de actores de amenazas adicionales, incluidos atacantes poco calificados», Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheckdijo a CyberScoop.

Los investigadores dijeron que las vulnerabilidades a menudo se revelan en grupos después de que se identifica un defecto significativo en un producto específico, como los sistemas SD-WAN de Cisco.

Cisco se negó a responder preguntas y dijo que los clientes pueden encontrar la información más reciente sobre su seguridad. página de avisos.

Condon y McKee señalaron que Cisco ha respondido al lanzamiento de correcciones de software, inteligencia de búsqueda de amenazas y, en el caso de los días cero de SD-WAN, orientación gubernamental coordinada.

“Así es como se supone que debe ser una buena respuesta a la crisis una vez que se identifica la explotación”, dijo McKee.

«La pregunta más difícil es si la industria está obteniendo visibilidad lo suficientemente temprana de los defectos del software de gestión de borde que los actores sofisticados están claramente priorizando», añadió. «¿Están nuestras organizaciones equipadas con las personas y las herramientas adecuadas para realizar este nivel de gestión de exposición?»

Las crecientes vulnerabilidades que los clientes de Cisco están combatiendo en firewalls y SD-WAN son un recordatorio de que las organizaciones no deberían despriorizar las vulnerabilidades menos notorias o aquellas con puntuaciones CVSS más bajas, dijo Condon.

«Varias de las vulnerabilidades explotadas en este tramo de errores de Cisco SD-WAN no tienen puntuaciones CVSS críticas, lo que significa que los equipos que utilizan CVSS como mecanismo de priorización podrían pasar por alto fallas de puntuación media o alta que aún tienen utilidad para el adversario en el mundo real», añadió.

Los ataques también reflejan colectivamente un patrón persistente de atacantes que apuntan a sistemas de borde de red de múltiples proveedores, incluido Cisco.

“Los atacantes continúan tratando el borde de la red y la infraestructura de administración como bienes inmuebles de primera calidad, y cuando los defensores ven fallas en el plano de administración y autenticación previa con evidencia de explotación previa a la divulgación, deben asumir un compromiso, no solo una exposición”, dijo McKee.

«Los atacantes están invirtiendo tiempo y capacidad para encontrar y poner en funcionamiento defectos previamente desconocidos en el borde y la infraestructura de gestión de Cisco porque la recompensa es enorme», añadió. «Estas plataformas le brindan una posición privilegiada, amplia visibilidad y un camino hacia el acceso duradero dentro de organizaciones de alto valor. Es exactamente por eso que siguen siendo atacadas».

Los ejecutivos de las principales empresas de robótica estadounidenses pidieron al Congreso dólares federales, nueva legislación y un campo regulatorio más simple, argumentando que el apoyo es necesario para adaptarse a la era de la IA y competir con sus bien aceitados competidores chinos financiados por el estado.

El sector de la robótica estadounidense, cuyo valor se estima en 50.000 millones de dólares, incluye empresas de fama mundial como Boston Dynamics. Se prevé que la industria venda millones de robots en todo el país durante los próximos cuatro años.

Según un 2025 informe Según la Federación Internacional de Robótica, el mercado ha vendido e instalado una media de 500.000 robots entre 2020 y 2024. Solo China representó el 54% de esas instalaciones, frente a solo el 9% de Estados Unidos.

Matthew Malchano, vicepresidente de software de Boston Dynamics, dijo a los legisladores en la audiencia del subcomité cibernético de Seguridad Nacional de la Cámara de Representantes el martes que la robótica representa la infraestructura física necesaria para respaldar los esfuerzos del país por dominar la carrera global de IA, con robots, drones y otras máquinas que integrarán más completamente los sistemas de IA en los próximos años.

Señaló a empresas chinas como Unitree, que están capturando participación de mercado con departamentos de policía y universidades en todo Estados Unidos, a pesar de tener vínculos con el ejército chino y vulnerabilidades de ciberseguridad. como un exploit para gusanos descubierto en 2025 que permitiría a un atacante apoderarse de flotas de robots Unitree.

Malchano dijo que Unitree es una de las «docenas» de empresas chinas respaldadas por el plan nacional de robótica e inteligencia artificial de China, que «prevé transformar prácticamente todas las industrias importantes de China mediante la integración de robots impulsados ​​por inteligencia artificial» a través de financiación y políticas favorables.

Presionó a los legisladores estadounidenses para que adoptaran una estrategia nacional similar y se mostró perplejo ante la aprobación de la Ley de la Comisión Nacional de Robóticapatrocinado por el representante Jay Olbernolte, republicano por California, que desarrollaría una comisión bipartidista para impulsarlo.

Max Fenkell, jefe global de políticas y relaciones gubernamentales de ScaleAI, dijo que si bien Estados Unidos está ganando la carrera de la IA en las métricas elegidas (calidad del modelo y chips), está «perdiendo» en datos e implementación.

A diferencia de los grandes modelos de lenguaje, que descargan datos de entrenamiento directamente desde Internet, los sistemas de inteligencia artificial para robots requerirán datos de entrenamiento únicos recopilados, categorizados y etiquetados a través de miles de horas de pruebas personalizadas.

Si bien China ha seguido una estrategia de capacitación “industrializada” junto con la industria, financiando tramos de almacenes de kilómetros de largo dedicados a recopilar datos de capacitación para empresas chinas, Estados Unidos no tiene una estrategia similar.

«Estamos viendo dos carreras diferentes y me temo que en este momento Estados Unidos puede estar ganando la carrera equivocada», dijo.

Los ejecutivos en la audiencia fueron unánimes al sugerir que el Congreso impida que las agencias federales estadounidenses compren robots fabricados en China y cree un estándar regulatorio federal único para la industria, mientras que Fenkell y Malchado pidieron que la Agencia de Seguridad de Infraestructura y Ciberseguridad lleve a cabo una revisión de seguridad de los robots fabricados en el extranjero.

En la audiencia, el representante James Walkinshaw, demócrata por Virginia, destacó una larga historia de cooperación bipartidista para ayudar a las empresas estadounidenses a competir contra las empresas chinas subsidiadas por el estado.

«Con una amplia inversión estatal en empresas de tecnología y leyes que reclutan empresas privadas para servir a los intereses del gobierno, la fusión militar-civil de la República Popular China es una grave amenaza para nuestra propia seguridad nacional», dijo Walkinshaw.

Los robots impulsados ​​por IA chocan con la sed de datos de la administración Trump

Mientras los legisladores sopesan cuál es la mejor manera de posicionar a las empresas estadounidenses para competir con China, también deben lidiar con la posibilidad de que los robots impulsados ​​por inteligencia artificial puedan ser pirateados, manipulados o vueltos intencionalmente contra el público.

Los expertos en privacidad y libertades civiles han expresado durante mucho tiempo preocupaciones sobre el uso de robots en áreas como la policía, en ciertos contextos militares y contra ciudadanos estadounidenses.

Las solicitudes de más ayuda de Washington se producen al mismo tiempo que el gobierno de Estados Unidos, incluido el ejército y el Departamento de Seguridad Nacional, se ha vuelto notablemente más agresivo bajo la administración Trump en el seguimiento de datos sobre estadounidenses y el uso de la fuerza contra ciudadanos estadounidenses involucrados en operaciones de inmigración.

Empresas como Boston Dynamics venden sus robots a instalaciones de fabricación, fabricantes de semiconductores, plantas de energía, socorristas y el Servicio Secreto de Estados Unidos. Pero también los venden a los departamentos de policía y al ejército estadounidense, y una primera versión del modelo cuadrúpedo viral «BigDog» de la compañía fue creada a través de la Agencia de Proyectos de Investigación Avanzada de Defensa del Departamento de Defensa.

El año pasado, Inmigración y Control de Aduanas gastado 78.000 dólares por un robot canadiense que podría realizar tareas similares a las de Spot, otro modelo de robot de Boston Dynamics, incluido el despliegue de bombas de humo, según Governing.

El mes pasado, el DHS finalizó un contrato de mil millones de dólares con Palantir para expandir el análisis de datos de IA en todo el departamento para apoyar la aplicación de la ley de inmigración. Sólo la Guardia Costera es invertir 350 millones de dólares en robótica y sistemas autónomos para 2028.

Los demócratas del Congreso actualmente están bloqueando la financiación del DHS por sus políticas de inmigración y recopilación de datos.

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos ha sancionado a seis personas y dos entidades por su participación en el plan de trabajadores de tecnología de la información (TI) de la República Popular Democrática de Corea (RPDC) con el objetivo de defraudar a empresas estadounidenses y generar ingresos ilícitos para que el régimen financie sus programas de armas de destrucción masiva (ADM).

«El régimen de Corea del Norte ataca a las empresas estadounidenses a través de esquemas engañosos llevados a cabo por sus operadores de TI en el extranjero, que utilizan datos confidenciales como armas y extorsionan a las empresas mediante pagos sustanciales». dicho El secretario del Tesoro, Scott Bessent.

El plan fraudulento, también llamado Coral Sleet/Jasper Sleet, PurpleDelta y Wagemole, se basa en documentación falsa, identidades robadas y personas inventadas para ayudar a los trabajadores de TI a ocultar sus verdaderos orígenes y conseguir empleos en empresas legítimas en los EE. UU. y otros lugares. Luego, una parte desproporcionada de los salarios se canaliza de regreso a Corea del Norte para facilitar los programas de misiles de la nación, en violación de las sanciones internacionales.

En algunos casos, estos esfuerzos se complementan con la implementación de malware para robar información privada y confidencial, así como con esfuerzos de extorsión exigiendo rescates a cambio de no filtrar públicamente los datos robados.

Las personas y entidades objeto de la última ronda de sanciones de la OFAC se enumeran a continuación:

• Empresa de desarrollo tecnológico Amnokganguna empresa de TI que gestiona delegaciones de trabajadores de TI en el extranjero y lleva a cabo otras actividades de adquisiciones ilícitas para obtener y vender tecnología militar y comercial a través de sus redes en el extranjero.
• Nguyen Quang Vietdirector ejecutivo de una empresa vietnamita Quangvietdnbg International Services Company Limited que facilita los servicios de conversión de moneda para los norcoreanos. Se estima que la compañía convirtió alrededor de 2,5 millones de dólares en criptomonedas entre mediados de 2023 y mediados de 2025.
• Phi Khanhun asociado de Kim Se Un, que fue sancionado por Estados Unidos en julio de 2025. Se alega que Do actuó como representante de Kim y permitió que Kim usara su identidad para abrir cuentas bancarias y lavar ganancias de trabajadores de TI.
• Hoang Van Nguyenquien también ayuda a Kim a abrir cuentas bancarias y permite transacciones de criptomonedas para Kim.
• Yun Song Gukun ciudadano norcoreano que dirigió un grupo de trabajadores de TI que realizaban trabajos de TI independientes desde Boten, Laos, desde al menos 2023. Yun ha coordinado varias docenas de transacciones financieras por un valor de más de 70.000 dólares con Hoang Minh Quang relacionados con servicios de TI, y ha trabajado con York Luis Celestino Herrera desarrollar contratos freelance de servicios TI.

El desarrollo se produce cuando LevelBlue destacó el uso de Astrill VPN por parte del plan de trabajadores de TI para realizar sus operaciones mientras se encuentran en países como China, debido a la capacidad del servicio para evitar el Gran Cortafuegos de China. La idea es canalizar el tráfico a través de los nodos de salida de Estados Unidos, permitiéndoles efectivamente hacerse pasar por empleados domésticos legítimos.

«Estos actores de amenazas comúnmente operan desde China en lugar de Corea del Norte por dos razones: una infraestructura de Internet más confiable y la capacidad de aprovechar los servicios VPN para ocultar su verdadero origen geográfico», dijo el investigador de seguridad Tue Luu. dicho. «Los subgrupos del Grupo Lazarus, incluido Contagious Interview, dependen de esta capacidad para acceder a Internet global sin restricciones, gestionar la infraestructura de comando y control y enmascarar su verdadera ubicación».

La empresa de ciberseguridad también dijo que detectó un intento fallido por parte de Corea del Norte de infiltrarse en una organización respondiendo a un anuncio de búsqueda de ayuda. El trabajador de TI, que fue contratado el 15 de agosto de 2025 como empleado remoto para trabajar con datos de Salesforce, fue despedido 10 días después después de mostrar indicadores que mostraban inicios de sesión consistentes desde China.

Un aspecto notable del oficio de Jasper Sleet es el uso de inteligencia artificial para permitir la fabricación de identidades, la ingeniería social y la persistencia operativa a largo plazo a bajo costo, lo que subraya cómo los servicios impulsados ​​por IA pueden reducir las barreras técnicas y aumentar las capacidades de los actores de amenazas.

«Jasper Sleet aprovecha la IA durante todo el ciclo de vida del ataque para ser contratado, permanecer contratado y hacer mal uso del acceso a escala», Microsoft dicho. «Los actores de amenazas están utilizando la IA para acortar el proceso de reconocimiento que informa el desarrollo de personas digitales convincentes adaptadas a roles y mercados laborales específicos».

Otro componente crucial implica el uso de una aplicación de inteligencia artificial llamada Faceswap para insertar los rostros de los trabajadores de TI de Corea del Norte en documentos de identidad robados y generar fotografías pulidas para los currículums. Al hacerlo, estos esfuerzos no solo apuntan a mejorar la precisión de sus campañas, sino también aumentar la credibilidad mediante la elaboración de identidades digitales convincentes.

Además, se considera que la amenaza de los trabajadores de TI remotos ha aprovechado herramientas de IA agente para crear sitios web corporativos falsos y para generar, refinar y reimplementar rápidamente componentes de malware, en algunos casos mediante el jailbreak de modelos de lenguajes grandes (LLM).

«Los actores de amenazas, como los trabajadores remotos de TI de Corea del Norte, dependen de un acceso confiable a largo plazo», dijo Microsoft. «Debido a este hecho, los defensores deberían tratar el empleo fraudulento y el uso indebido del acceso como un escenario de riesgo interno, centrándose en detectar el uso indebido de credenciales legítimas, patrones de acceso anormales y una actividad baja y lenta sostenida».

En un informe detallado publicado por Flare e IBM X-Force que examina las tácticas y técnicas empleadas por los trabajadores de TI, salió a la luz que los actores de amenazas utilizan hojas de tiempo para rastrear las solicitudes de empleo y el progreso del trabajo, IP Messenger (también conocido como IPMsg) para la comunicación interna descentralizada y Google Translate para traducir descripciones de puestos, elaborar aplicaciones e incluso interpretar respuestas de herramientas como ChatGPT.

El esquema de trabajadores de TI se construye sobre una estructura operativa de varios niveles que involucra reclutadores, facilitadores, trabajadores de TI y colaboradores, cada uno de los cuales desempeña un papel distinto:

• Reclutadores, que son responsables de seleccionar a los posibles trabajadores de TI y grabar las sesiones de entrevistas iniciales para enviarlas a los facilitadores.
• Facilitadores y trabajadores de TI, que tienen la tarea de crear personalidades, obtener empleo independiente o de tiempo completo e incorporar nuevas contrataciones.
• Colaboradores, que son reclutados para donar su identidad personal y/o información para ayudar a los trabajadores de TI a completar el proceso de contratación y recibir computadoras portátiles proporcionadas por la empresa.

«Con la ayuda de colaboradores occidentales reclutados, principalmente de LinkedIn y GitHub, que, voluntaria o involuntariamente, proporcionan sus identidades para su uso en el esquema de fraude de los trabajadores de TI, NKITW puede penetrar de manera más profunda y confiable en una organización, durante un período de tiempo más largo», afirman las empresas. dicho en un informe compartido con The Hacker News.

«Las operaciones de los trabajadores de TI de Corea del Norte están generalizadas y profundamente integradas dentro del partido-estado de la RPDC. Es un componente integral de la maquinaria de generación de ingresos y evasión de sanciones de la RPDC».

Amazon Threat Intelligence advierte sobre una campaña activa de ransomware Interlock que explota una falla de seguridad crítica recientemente revelada en el software Cisco Secure Firewall Management Center (FMC).

La vulnerabilidad en cuestión es CVE-2026-20131 (puntuación CVSS: 10.0), un caso de deserialización insegura de un flujo de bytes Java proporcionado por el usuario, que podría permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como root en un dispositivo afectado.

Según datos obtenidos del gigante tecnológico loco red mundial de sensoresse dice que la falla de seguridad fue explotada como día cero desde el 26 de enero de 2026, más de un mes antes de que Cisco la revelara públicamente.

«Esto no era simplemente otro exploit de vulnerabilidad; Interlock tenía un día cero en sus manos, lo que les daba una semana de ventaja para comprometer a las organizaciones antes de que los defensores supieran siquiera mirar. Al hacer este descubrimiento, compartimos nuestros hallazgos con Cisco para ayudar a respaldar su investigación y proteger a los clientes», dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security, en un informe compartido con The Hacker News.

El descubrimiento, dijo Amazon, fue posible gracias a un error de seguridad operativa por parte del actor de amenazas que expuso el conjunto de herramientas operativas de su grupo de cibercrimen a través de un servidor de infraestructura mal configurado, ofreciendo información sobre su cadena de ataque de múltiples etapas, troyanos de acceso remoto personalizados, scripts de reconocimiento y técnicas de evasión.

La cadena de ataque implica el envío de solicitudes HTTP diseñadas a una ruta específica en el software afectado con el objetivo de ejecutar código Java arbitrario, después de lo cual el sistema comprometido emite una solicitud HTTP PUT a un servidor externo para confirmar la explotación exitosa. Una vez que se completa este paso, los comandos se envían para recuperar un binario ELF de un servidor remoto, que aloja otras herramientas vinculadas a Interlock.

La lista de herramientas identificadas es la siguiente:

• Un script de reconocimiento de PowerShell que se utiliza para la enumeración sistemática del entorno de Windows, que recopila detalles sobre el sistema operativo y el hardware, los servicios en ejecución, el software instalado, la configuración de almacenamiento, el inventario de máquinas virtuales Hyper-V, los listados de archivos de usuario en los directorios de escritorio, documentos y descargas, los artefactos del navegador de Chrome, Edge, Firefox, Internet Explorer y el navegador 360, conexiones de red activas y eventos de autenticación RDP de los registros de eventos de Windows.
• Troyanos de acceso remoto personalizados escritos en JavaScript y Java para comando y control, acceso interactivo al shell, ejecución de comandos arbitrarios, transferencia de archivos bidireccional y capacidad de proxy SOCKS5. También admite mecanismos de autoactualización y autoeliminación para reemplazar o eliminar el artefacto sin tener que reinfectar la máquina y desafiar la investigación forense.
• Un script Bash para configurar servidores Linux como servidores proxy inversos HTTP para ocultar los verdaderos orígenes del atacante. El guión cumple falla2banuna herramienta de prevención de intrusiones de Linux de código abierto, y compila y genera una instancia de HAProxy que escucha en el puerto 80 y reenvía todo el tráfico HTTP entrante a una dirección IP de destino codificada. Además, el script de lavado de infraestructura ejecuta una rutina de borrado de registros como una tarea cron cada cinco minutos para eliminar y purgar agresivamente el contenido de los archivos *.log y suprimir el historial del shell al desarmar la variable HISTFILE.
• Un shell web residente en memoria para inspeccionar solicitudes entrantes en busca de parámetros especialmente diseñados que contengan cargas útiles de comandos cifradas, que luego se descifran y ejecutan.
• Una baliza de red liviana para llamar a la infraestructura controlada por un atacante que probablemente valide la ejecución exitosa del código o confirme la accesibilidad del puerto de la red luego de la explotación inicial.
• ConnectWise ScreenConnect para acceso remoto persistente y para servir como vía alternativa en caso de que se detecten y eliminen otros puntos de apoyo.
• Volatility Framework, un marco forense de memoria de código abierto

Los enlaces a Interlock surgen de indicadores técnicos y operativos «convergentes», incluida la nota de rescate integrada y el portal de negociación TOR. La evidencia muestra que el actor de amenazas probablemente esté operativo durante la zona horaria UTC+3.

A la luz de la explotación activa de la falla, se recomienda a los usuarios que apliquen parches lo antes posible, realicen evaluaciones de seguridad para identificar posibles compromisos, revisen las implementaciones de ScreenConnect en busca de instalaciones no autorizadas e implementen estrategias de defensa en profundidad.

«La verdadera historia aquí no se trata solo de una vulnerabilidad o un grupo de ransomware, sino del desafío fundamental que los exploits de día cero plantean para cada modelo de seguridad», dijo Moses. «Cuando los atacantes explotan las vulnerabilidades antes de que existan los parches, ni siquiera los programas de parcheo más diligentes pueden protegerte en esa ventana crítica».

«Esta es precisamente la razón por la que la defensa en profundidad es esencial: los controles de seguridad en capas brindan protección cuando un solo control falla o aún no se ha implementado. La aplicación rápida de parches sigue siendo fundamental en la gestión de vulnerabilidades, pero la defensa en profundidad ayuda a las organizaciones a no estar indefensas durante el período entre el exploit y el parche».

La divulgación se produce cuando Google reveló que los actores del ransomware están cambiando sus tácticas en respuesta a la disminución de las tasas de pago, apuntando a las vulnerabilidades en VPN y firewalls comunes para el acceso inicial y apoyándose menos en herramientas externas y más en las capacidades integradas de Windows.

También se ha descubierto que múltiples grupos de amenazas, tanto los propios operadores de ransomware como los intermediarios de acceso inicial, emplean tácticas de publicidad maliciosa y/o optimización de motores de búsqueda (SEO) para distribuir cargas útiles de malware para el acceso inicial. Otras técnicas comúnmente observadas incluyen el uso de credenciales comprometidas, puertas traseras o software de escritorio remoto legítimo para establecer un punto de apoyo, así como confiar en herramientas integradas y ya instaladas para reconocimiento, escalada de privilegios y movimiento lateral.

«Si bien anticipamos que el ransomware seguirá siendo una de las amenazas más dominantes a nivel mundial, la reducción de las ganancias puede hacer que algunos actores de amenazas busquen otros métodos de monetización», dijo Google. «Esto podría manifestarse como un aumento de las operaciones de extorsión por robo de datos, el uso de tácticas de extorsión más agresivas o el uso oportunista de acceso a los entornos de las víctimas para mecanismos secundarios de monetización, como el uso de infraestructura comprometida para enviar mensajes de phishing».

Los investigadores han descubierto un segundo caso de presuntos piratas informáticos rusos que reutilizaron exploits de iOS que se cree que fueron creados originalmente en nombre del gobierno de los EE. UU., lo que señala lo que dicen que son varias tendencias premonitorias.

iVerificar, Estar atento y Google colaboraron en la investigación publicada el miércoles, una continuación de revelaciones anteriores sobre un kit de explotación similar, Coruña. Si bien el segundo kit, denominado DarkSword, también estaba dirigido a usuarios en Ucrania, la escala es significativa: iVerify estimó que hasta 270 millones de usuarios de iPhone podrían ser susceptibles, mientras que Lookout le dijo a CyberScoop que aproximadamente el 15% de todos los dispositivos iOS actualmente en uso ejecutan iOS 18 o versiones anteriores y podrían ser vulnerables al kit de explotación.

La investigación revela una serie de nuevos detalles, así como patrones interesantes:

• Mientras que los piratas informáticos rusos y chinos utilizaron Coruña con fines de lucro, hay indicios de que DarkSword podría servir tanto para fines financieros como de vigilancia, y/o podría usarse para infligir daño.
• Lookout observó que alguien utilizó un modelo de lenguaje grande para personalizar tanto Coruña como DarkSword.
• El descubrimiento de DarkSword refuerza las preocupaciones anteriores sobre un mercado secundario de exploits, dijeron Lookout e iVerify.
• DarkSword es la segunda campaña «masiva» de iOS descubierta este mes, siendo la primera conocida Coruña.
• Ambos kits sugieren que los ciberataques están migrando hacia los teléfonos móviles, ya que representan una mayor porción del tráfico de Internet, dijo a CyberScoop Rocky Cole, cofundador y director de operaciones de iVerify.
• Google también descubrió que DarkSword se utilizó contra objetivos en Arabia Saudita, Turquía y Malasia.

DarkSword puede filtrar contraseñas guardadas, billeteras criptográficas, mensajes de texto y más, según descubrieron los investigadores. Los atacantes están aprovechando el kit de explotación comprometiendo primero el WebKit de Apple y luego usando WebGPU como punto de pivote para escapar de la zona de pruebas, según Justin Albrecht, director global de inteligencia de amenazas móviles de Lookout.

Lo que no está tan claro es quién, exactamente, está detrás del kit de exploits, además de los vínculos con Rusia. Cole dijo que DarkSword está alojado en la misma infraestructura de comando y control que Coruña, pero es un kit completamente separado creado por personas completamente diferentes. Google ha atribuido las campañas a un grupo al que rastrea como UNC6353, al que describe como un grupo de espionaje respaldado por Rusia, así como UNC6748 y el proveedor turco de vigilancia comercial PARS Defense.

Los motivos de los atacantes también son un poco opacos, mezclando lo que parecen ser tanto espionaje como objetivos financieros. Albrecht señaló que hay un precedente para esto: los grupos de amenazas rusos han atacado las criptomonedas en Ucrania antes, en particular con Infamous Chisel, un kit de explotación de Android implementado por Sandworm.

«Probablemente estén bien financiados y bien conectados, pero se ha confirmado que están robando criptomonedas. Definitivamente hay una motivación financiera», dijo Albrecht a CyberScoop. «Ahora, creo que la gran pregunta es, dependiendo de quién sea el grupo, ¿la motivación financiera en esto es simplemente hacer daño a los ucranianos o es robar criptomonedas?»

Rusia ha estado bajo duras sanciones durante mucho tiempo y está empezando a tener problemas presupuestarios debido a la guerra en curso en Ucrania, señaló. «¿Por qué no empezar a financiar sus operaciones con fondos robados? No estaría fuera de la norma, aunque sería un cambio potencial en sus TTP para las APT rusas en general», dijo Albrecht.

El kit podría ser útil para alguien que intente hacer un análisis de “patrones de vida”, dijo Cole, y por lo tanto útil para fines de vigilancia e inteligencia.

Dijo que un proveedor comercial de software espía podría haber fabricado el kit sin ningún público objetivo en mente, de ahí su calidad de “navaja suiza”. La principal preocupación para Cole es que aparentemente hay un mercado creciente para este tipo de herramientas, y la gente puede sentirse adormecida con una falsa sensación de seguridad acerca de que los iPhone no son vulnerables.

A pesar de la sofisticación de los exploits en sí, los actores de amenazas detrás de DarkSword pueden no tener mucha experiencia, dijo Albrecht. Ninguno de los códigos JavaScript o HTML estaba ofuscado de ninguna manera, y el componente del lado del servidor estaba etiquetado como “Receptor de archivos Dark Sword”, una seguridad operativa deficiente para un actor de amenazas ruso experimentado.

“Yo esperaría que sus experimentados actores de amenazas rusos, sus APT29 del mundo, tuvieran mejores OPSEC”, dijo Albrecht.

Uno de los hallazgos más inusuales de la investigación es la clara presencia de código generado por modelos de lenguaje de gran tamaño. El componente del lado del servidor de DarkSword, por ejemplo, incluye signos reveladores de código generado por IA, completo con notas detalladas y comentarios característicos del resultado LLM. Es un desarrollo que efectivamente reduce la barrera de entrada para el despliegue de exploits móviles avanzados, incluso entre actores patrocinados por el estado, dijo Albrecht.

Los tres equipos de investigación han estado en contacto con Apple sobre los hallazgos, según Albrecht, y es probable que Google haya estado en contacto más cercano desde que comenzaron a investigar la amenaza a fines de 2025. En su blog, Google dijo que informó a Apple de las vulnerabilidades utilizadas en DarkSword a fines de 2025, y que todas las vulnerabilidades fueron reparadas con el lanzamiento de iOS 26.3, aunque la mayoría fueron parcheadas antes.

Los investigadores de ciberseguridad han advertido sobre los riesgos que plantean los dispositivos IP KVM (teclado, vídeo, ratón sobre protocolo de Internet) de bajo coste, que pueden otorgar a los atacantes un amplio control sobre los hosts comprometidos.

Las nueve vulnerabilidades, descubiertas por eclipsioabarcan cuatro productos diferentes: GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM y JetKVM. Los más graves permiten que actores no autenticados obtengan acceso de root o ejecuten código malicioso.

«Los temas comunes son condenatorios: falta de validación de firma de firmware, falta de protección de fuerza bruta, controles de acceso rotos e interfaces de depuración expuestas», investigadores Paul Asadoorian y Reynaldo Vasquez García. dicho en un análisis.

Dado que los dispositivos IP KVM permiten el acceso remoto al teclado, la salida de video y la entrada del mouse de la máquina de destino a nivel BIOS/UEFI, la explotación exitosa de las vulnerabilidades en estos productos puede exponer los sistemas a posibles riesgos de adquisición, socavando los controles de seguridad implementados. La lista de deficiencias es la siguiente:

• CVE-2026-32290 (Puntuación CVSS: 4,2) – Una verificación insuficiente de la autenticidad del firmware en GL-iNet Comet KVM (se está planificando una solución)
• CVE-2026-32291 (Puntuación CVSS: 7,6) – Una vulnerabilidad de acceso raíz al receptor-transmisor asíncrono universal (UART) en GL-iNet Comet KVM (se está planificando una solución)
• CVE-2026-32292 (Puntuación CVSS: 5,3) – Una vulnerabilidad de protección de fuerza bruta insuficiente en GL-iNet Comet KVM (corregido en la versión 1.8.1 BETA)
• CVE-2026-32293 (Puntuación CVSS: 3.1) – Un aprovisionamiento inicial inseguro a través de una vulnerabilidad de conexión a la nube no autenticada en GL-iNet Comet KVM (corregido en la versión 1.8.1 BETA)
• CVE-2026-32294 (Puntuación CVSS: 6.7) – Una vulnerabilidad de verificación de actualización insuficiente en JetKVM (corregido en la versión 0.5.4)
• CVE-2026-32295 (Puntuación CVSS: 7.3) – Una vulnerabilidad de limitación de velocidad insuficiente en JetKVM (corregido en la versión 0.5.4)
• CVE-2026-32296 (Puntuación CVSS: 5.4) – Una vulnerabilidad de exposición del punto final de configuración en Sipeed NanoKVM (corregido en NanoKVM versión 2.3.1 y NanoKVM Pro versión 1.2.4)
• CVE-2026-32297 (Puntuación CVSS: 9,8) – Autenticación faltante para una vulnerabilidad de función crítica en Angeet ES3 KVM que conduce a la ejecución de código arbitrario (no hay solución disponible)
• CVE-2026-32298 (Puntuación CVSS: 8,8) – Una vulnerabilidad de inyección de comandos del sistema operativo en Angeet ES3 KVM que conduce a la ejecución de comandos arbitrarios (no hay solución disponible)

«Estos no son días cero exóticos que requieren meses de ingeniería inversa», señalaron los investigadores. «Estos son controles de seguridad fundamentales que cualquier dispositivo en red debe implementar. Validación de entrada. Autenticación. Verificación criptográfica. Limitación de velocidad. Estamos viendo la misma clase de fallas que afectaron a los primeros dispositivos IoT hace una década, pero ahora en una clase de dispositivo que proporciona el equivalente de acceso físico a todo lo que se conecta».

Un adversario puede utilizar estos problemas como arma para inyectar pulsaciones de teclas, arrancar desde medios extraíbles para evitar el cifrado del disco o las protecciones de arranque seguro, eludir las pantallas de bloqueo y los sistemas de acceso y, lo que es más importante, permanecer sin ser detectado por el software de seguridad instalado en el nivel del sistema operativo.

Esta no es la primera vez que se revelan vulnerabilidades en dispositivos IP KVM. En julio de 2025, el proveedor ruso de ciberseguridad Positive Technologies señaló cinco defectos en conmutadores ATEN International (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713 y CVE-2025-3714) que podrían allanar el camino para la denegación de servicio o la ejecución remota de código.

Es más, los trabajadores de TI norcoreanos que residen en países como China han utilizado conmutadores KVM IP como PiKVM o TinyPilot para conectarse de forma remota a computadoras portátiles proporcionadas por la empresa alojadas en granjas de computadoras portátiles.

Como mitigaciones, se recomienda aplicar la autenticación multifactor (MFA) cuando sea compatible, aislar los dispositivos KVM en una VLAN de administración dedicada, restringir el acceso a Internet, usar herramientas como Shodan para verificar la exposición externa, monitorear el tráfico de red inesperado hacia/desde los dispositivos y mantener el firmware actualizado.

«Un KVM comprometido no es como un dispositivo IoT comprometido ubicado en su red. Es un canal directo y silencioso hacia cada máquina que controla», dijo Eclypsium. «Un atacante que compromete el KVM puede ocultar herramientas y puertas traseras en el propio dispositivo, reinfectando constantemente los sistemas host incluso después de la reparación».

«Dado que algunas actualizaciones de firmware carecen de verificación de firma en la mayoría de estos dispositivos, un atacante de la cadena de suministro podría alterar el firmware en el momento de la distribución y hacer que persista indefinidamente».

Cuando una carga útil de Magecart se esconde dentro de los datos EXIF ​​de un favicon de terceros cargado dinámicamente, ningún escáner de repositorio la detectará, porque el código malicioso nunca toca su repositorio. A medida que los equipos adoptan Claude Code Security para el análisis estático, este es el límite técnico exacto donde se detiene el escaneo del código de IA y comienza la ejecución del tiempo de ejecución del lado del cliente.

Está disponible un análisis detallado de dónde se detiene Claude Code Security y qué cubre el monitoreo del tiempo de ejecución. aquí.

A Desnatador de carro mágico descubierto recientemente en la naturaleza utilizaba una cadena de carga de tres etapas para ocultar su carga útil dentro de los metadatos EXIF ​​de un favicon: nunca tocaba el código fuente del comerciante, nunca aparecía en un repositorio y se ejecutaba completamente en el navegador del comprador al momento de pagar. El ataque plantea una pregunta que vale la pena precisar: ¿qué categoría de herramienta se supone que debe detectar esto?

Magecart vive fuera de su código base

Los ataques al estilo Magecart rara vez se refieren a vulnerabilidades clásicas en su propio código fuente. Son infiltraciones en la cadena de suministro. El JavaScript malicioso generalmente llega a través de activos de terceros comprometidos: administradores de etiquetas, widgets de pago/pago, herramientas de análisis, scripts alojados en CDN e imágenes que se cargan en el navegador en tiempo de ejecución. La organización víctima no escribió ese código, no lo revisa en las relaciones públicas y, a menudo, ni siquiera existe en su repositorio.

Eso significa que una herramienta de análisis estático basada en repositorio, como Claude Code Security, está limitada por diseño en este escenario, porque solo puede analizar lo que hay en el repositorio o lo que usted le proporciona explícitamente. Cualquier skimmer que viva únicamente en recursos de terceros modificados o archivos binarios cargados dinámicamente en producción nunca entra en su campo de visión. Eso no es un error en el producto; es una discrepancia en el alcance.

El flujo de ataque: cómo se esconde el skimmer

Aquí está el cargador inicial que se ve en los sitios web comprometidos:

Este código auxiliar carga dinámicamente un script desde lo que parece ser una URL CDN legítima de Shopify. Luego, el script cargado construye la URL maliciosa real utilizando matrices de índice ofuscadas:

Una vez decodificado, esto apunta a //b4dfa5[.]xyz/favicon.ico. Lo que sucede a continuación es donde la técnica se vuelve interesante: el script recupera el favicon como datos binarios, analiza los metadatos EXIF ​​para extraer una cadena maliciosa y la ejecuta a través de la nueva Función(): la carga útil se encuentra dentro de los metadatos de la imagen, por lo que es invisible para cualquier cosa que no esté observando el navegador en tiempo de ejecución.

La exfiltración final llama a POST los datos de pago robados de forma silenciosa a un servidor controlado por el atacante:

La cadena tiene cuatro propiedades que son importantes para la discusión sobre herramientas que sigue: el cargador inicial parece una inclusión benigna de terceros; la carga útil está oculta en metadatos de imágenes binarias; la exfiltración ocurre directamente desde el navegador del comprador; y nada de esto requiere tocar el código fuente del propio comerciante.

Lo que Claude Code Security puede y no puede ver

Claude Code Security está diseñado para escanear bases de código, rastrear flujos de datos y sugerir soluciones para vulnerabilidades en el código que usted o sus equipos escriben. Eso lo hace útil para proteger aplicaciones propias, pero también define sus puntos ciegos para esta clase de ataque.

En este escenario, no tiene visibilidad práctica del código malicioso que solo se inyecta en scripts hospedados por terceros, CDN o administradores de etiquetas que nunca se almacenan en sus repositorios. Tampoco puede interrogar cargas útiles ocultas en activos binarios como favicons o imágenes que no forman parte de su árbol de origen. No puede evaluar el riesgo o la reputación activa de los dominios controlados por atacantes que solo aparecen en tiempo de ejecución, y la detección en tiempo real de solicitudes de red anómalas del lado del navegador durante el pago también está fuera de su alcance.

Donde podría contribuir (aunque no como control principal) sería en los casos en que su propio código contenga lógica dinámica de inyección de scripts, un patrón que una herramienta de análisis de código puede marcar como riesgoso. Y si el código propio codifica puntos finales de exfiltración sospechosos o utiliza una lógica de recopilación de datos insegura, el análisis estático puede resaltar esos flujos para su revisión.

Las cuatro filas superiores son las que más importan en un escenario de Magecart, y Claude Code Security no tiene visibilidad en tiempo de ejecución de ninguna de ellas.

Los dos últimos representan una amenaza fundamentalmente diferente: un desarrollador escribe accidentalmente código de apariencia maliciosa en su propio repositorio.

Magecart es un vector, no toda la superficie de ataque

La técnica de esteganografía de favicon anterior es sofisticada, pero es un ejemplo de un patrón más amplio. Los ataques a la cadena de suministro web llegan a través de varios mecanismos distintos, cada uno con la misma característica definitoria: la actividad maliciosa ocurre en tiempo de ejecución, en el navegador, a través de activos que el comerciante no creó. Vea cómo el JavaScript polimórfico generado por IA está aumentando las apuestas →

Algunos otros que vale la pena nombrar:

Inyección maliciosa de iframe. Un widget de terceros comprometido superpone silenciosamente un formulario de pago legítimo con un iframe controlado por un atacante. El usuario ve la página real, pero sus pulsaciones de teclas se envían al atacante. Nada en el repositorio del comerciante cambia.

Abuso del rastreador de píxeles. Los píxeles de análisis y publicidad, casi universales en los sitios de comercio electrónico, se cargan desde CDN externos. Cuando esas CDN se ven comprometidas o se viola el propio proveedor de píxeles, el código de seguimiento que se ejecuta en cada página se convierte en un canal de exfiltración. El código del comerciante todavía llama al mismo punto final de apariencia legítima que siempre llamó.

Recolección de credenciales basada en DOM. Un script cargado a través de un administrador de etiquetas escucha silenciosamente los eventos de los campos de formulario en las páginas de inicio de sesión o de pago, capturando datos antes de enviarlos. El ataque reside completamente en el controlador de eventos registrado en tiempo de ejecución, no en nada que un escáner estático pueda ver.

Cada uno de estos sigue la misma lógica que el caso Magecart: la amenaza vive fuera del repositorio, se ejecuta en un contexto que el análisis estático no puede observar y apunta a la brecha entre lo que usted envió y lo que realmente se ejecuta en los navegadores de sus usuarios. Puedes encontrar el desglose completo de cómo cada vector se asigna a la cobertura de herramientas, y cómo se ve un programa de defensa en profundidad en todos ellos, en la guía vinculada a continuación.

Por qué la supervisión del tiempo de ejecución es fundamental (pero no el único control)

Para amenazas a la cadena de suministro web Al igual que esta campaña de Magecart, el monitoreo continuo de lo que realmente se ejecuta en los navegadores de los usuarios es la capa principal con visibilidad directa del ataque a medida que ocurre. Las plataformas de monitoreo del tiempo de ejecución del lado del cliente responden a un par de preguntas que las herramientas estáticas no pueden responder: «¿Qué código se está ejecutando en los navegadores de mis usuarios en este momento y qué está haciendo?»

Al mismo tiempo, la supervisión del tiempo de ejecución es sólo una parte del panorama. Funciona mejor como parte de una estrategia de defensa en profundidad. El análisis estático y la gobernanza de la cadena de suministro reducen la superficie de ataque, mientras que el monitoreo del tiempo de ejecución detecta lo que se escapa y lo que queda completamente fuera de sus repositorios.

Replantear la «prueba»: categoría, no capacidad

Evaluar una herramienta centrada en repositorios como Claude Code Security contra un ataque en tiempo de ejecución es un error de categoría, no una falla del producto. Es como esperar que un detector de humo apague un incendio. Es la herramienta equivocada para ese trabajo, pero es la ideal para lo que fue diseñada para hacer. Para un edificio a prueba de incendios, necesita detectores de humo y extintores, y para un sitio web seguro, necesita Claude Code Security y monitoreo del tiempo de ejecución en su pila. Para Magecart y ataques similares de skimming del lado del cliente, necesita esa ventana de ejecución en el navegador. El escaneo de repositorios estáticos, por sí solo, simplemente no ve dónde viven realmente estos ataques.

Si está asignando herramientas a clases de amenazas a nivel CISO, hemos elaborado una breve guía sobre cómo la seguridad del código y el monitoreo del tiempo de ejecución encajan en toda la gama de vectores de la cadena de suministro web y dónde cada uno deja de ser útil.

Guía del CISO sobre seguridad del código Claude →

A los equipos de seguridad de hoy no les faltan herramientas ni datos. Están abrumados por ambos.

Sin embargo, dentro de los terabytes de alertas, exposiciones y configuraciones erróneas, los equipos de seguridad todavía tienen dificultades para comprender el contexto:

P: ¿Qué exposiciones, configuraciones erróneas y vulnerabilidades se encadenan para crear rutas de ataque viables hacia las joyas de la corona?

Incluso los equipos de seguridad más maduros no pueden responder tan fácilmente.

El problema no son las herramientas. Es que las herramientas no se comunican entre sí.

Este es precisamente el problema para el que se diseñó el marco Cybersecurity Mesh Architecture (CSMA) de Gartner, y es lo que Seguridad de malla ha puesto en funcionamiento la primera plataforma CSMA especialmente diseñada del mundo.

En este artículo, veremos qué es CSMA y cómo funciona Mesh CSMA:

• Descubre rutas de ataque hacia las joyas de la corona.
• Prioridades basadas en amenazas activas
• Elimina sistemáticamente las rutas de ataque.

¿Qué es CSMA y por qué es importante ahora?

Antes de sumergirnos en la plataforma, aclaremos qué es CSMA.

CSMAtal como lo define Gartner, es una capa de seguridad distribuida y componible que conecta su pila existente, brindándole la unificación del contexto de una plataforma sobre sus mejores herramientas. Con CSMA, el riesgo se puede entender de manera integral y no en silos.

El problema: las herramientas aisladas pierden la historia del ataque

Todos hemos visto hallazgos como estos en paneles separados:

• Un desarrollador ha instalado un asistente de codificación de IA de aspecto legítimo de VS Code Marketplace
• Esa extensión ha sido marcada como potencialmente troyanizada, pero la alerta se encuentra en una herramienta, desconectada de cualquier otra cosa.
• La estación de trabajo del desarrollador tiene largos tiempos de espera de sesión y no se aplica ninguna política de aislamiento de dispositivos.
• Las credenciales del desarrollador tienen amplio acceso a una cuenta de producción de AWS.
• Esa cuenta de AWS tiene acceso directo y sin restricciones a una base de datos RDS de producción que almacena la PII del cliente.

De forma aislada, cada señal parece manejable: un indicador de política de mercado aquí, una configuración incorrecta del tiempo de espera de sesión allí. Los equipos de seguridad los ven, los registran y les quitan prioridad. Ninguno de ellos parece P1 por sí solo.

Pero unidos, cuentan una historia muy diferente: una ruta de ataque clara y de múltiples saltos desde la estación de trabajo de un desarrollador directamente a los datos más confidenciales de sus clientes. No se ha producido ninguna brecha, pero el camino está abierto, es viable y está a la espera.

Si se añade inteligencia sobre amenazas, el riesgo se vuelve aún más difícil de ignorar: los actores de amenazas se dirigen activamente a los entornos de desarrollo y a los puntos de entrada de la cadena de suministro como su punto de apoyo preferido en la infraestructura de producción. ¿Encadenó sus herramientas marcadas por separado? Se corresponde casi exactamente con su libro de jugadas.

Exposición a amenazas en vivo en malla

Esta es una exposición a una amenaza viva. No es una brecha, sino una ruta explotable que existe en su entorno en este momento, invisible porque ninguna herramienta puede verla toda a la vez.

Eso es exactamente para lo que se creó Mesh CSMA. Al unificar el contexto en toda su pila, Mesh muestra estas rutas de ataque entre dominios antes de que sean explotadas, para que su equipo pueda romper la cadena antes de que un atacante la recorra.

Cómo funciona CSMA en malla

Mesh CSMA convierte señales fragmentadas en historias de amenazas significativas entre dominios. Para que los equipos de seguridad puedan centrarse en lo que importa.

Así es como funciona Mesh.

Paso 1: Conéctese: sin agentes, sin quitar y reemplazar

Mesh comienza integrándose con su pila existente: todas las herramientas, lagos de datos e infraestructura. (¿Con qué se integra Mesh? Ver Más de 150 integraciones aquí.

Integraciones de malla

Paso 2: Ver – The Mesh Context Graph™

A continuación, Mesh descubre automáticamente su Joyas de la Corona: bases de datos de producción, repositorios de datos de clientes, sistemas financieros, infraestructura de firma de código y ancla todo el modelo de riesgo en torno a ellos.

Este es el principio fundamental que hace que Mesh sea diferente: el riesgo se entiende en relación con lo que realmente importa para el negocio, no en relación con las alertas más ruidosas.

A partir de ahí, Mesh construye el Gráfico de contexto de malla™ – un gráfico centrado en la identidad y que se actualiza continuamente de cada entidad en su entorno: usuarios, máquinas, cargas de trabajo, servicios, almacenes de datos y las relaciones entre ellos.

A diferencia de los inventarios de activos, que le indican lo que existe, Mesh Context Graph™ le informa como todo se conecta. Mapea rutas de acceso, relaciones de confianza, cadenas de derechos y exposición de la red en un único modelo unificado, todo rastreado hasta sus Joyas de la Corona.

Gráfico de contexto de malla

Paso 3: Evaluar: descubrimiento de rutas de ataque viables

Aquí es donde Mesh se diferencia de las herramientas tradicionales de gestión de exposición.

Las plataformas CTEM y los escáneres de vulnerabilidades muestran CVE y configuraciones erróneas. Pero una vulnerabilidad CVSS 9.8 en un activo aislado con acceso a Internet sin acceso a nada sensible es un riesgo muy diferente a una mala configuración de CVSS 5.5 en una cuenta de servicio que tiene acceso directo a su base de datos de producción. Mesh entiende la diferencia.

La plataforma correlaciona los hallazgos entre dominios (configuraciones erróneas de la postura en la nube, extralimitación de los derechos de identidad, puntos ciegos de detección, vulnerabilidades sin parches) y los rastrea en el gráfico de contexto para determinar qué combinaciones crean cadenas de ataques viables de múltiples saltos hacia Crown Jewels. Luego, prioriza basándose en inteligencia sobre amenazas en vivo.

El resultado: una lista clasificada y procesable de rutas completas de ataque entre dominios, cada una de las cuales muestra:

• Punto de entrada: cómo un atacante obtendría acceso inicial
• Cadena de pivote: cada salto intermedio a través del entorno
• Objetivo: a qué joya de la corona se puede acceder
• ¿Por qué es viable?: las configuraciones erróneas específicas, las rutas de acceso o las brechas de detección que lo permiten
• Contexto de amenaza: si actores de amenazas activos conocidos están explotando esto actualmente

Exposiciones de la joya de la corona de malla

Con Mesh, puede hacer clic en cada exposición a amenazas en vivo y visualizar la ruta de ataque, convirtiendo señales aisladas en una hoja de ruta significativa para la solución de riesgos.

Visualización de la ruta de ataque de malla

Paso 4: Eliminar – Rompiendo la cadena

Descubrir rutas de ataque es solo la mitad del valor. La malla los cierra.

Para cada ruta de ataque identificada, Mesh genera acciones de remediación específicas y priorizadas asignadas a las herramientas existentes que ya están en su pila. En lugar de una guía genérica como «parchear este CVE», Mesh le indica: revocar este enlace de rol específico, aplicar MFA en esta cuenta de servicio, actualizar esta política CSPM, aislar esta carga de trabajo.

Fundamentalmente, Mesh organiza la corrección en todos los dominios: una única ruta de ataque puede requerir una solución en su herramienta CSPM, un cambio en su plataforma IGA y una actualización de políticas en su solución ZTNA. Mesh coordina esas acciones sin obligar a su equipo a cambiar manualmente de contexto entre consolas.

Paso 5: Defender: validación continua y cobertura de brechas de detección

La malla no se limita a la postura. También valida continuamente su capa de detección, identificando puntos ciegos donde las técnicas de ataque tendrían éxito pero no generarían alertas.

Esto cierra el círculo entre prevención y detección. Los equipos de seguridad pueden ver no sólo donde pueden ir los atacantes pero donde pasarían desapercibidos si lo intentaran. Las brechas de detección surgen junto con las brechas de postura dentro del mismo modelo de riesgo unificado, lo que permite una priorización que refleja el verdadero riesgo comercial.

Mesh reevalúa continuamente el entorno a medida que cambia la infraestructura, se incorporan nuevas herramientas y se actualiza la inteligencia sobre amenazas. El mapa de ruta de ataque nunca es una instantánea de un momento determinado: es un modelo en vivo.

Cronología de la investigación automática de malla

¿Qué lo diferencia de SIEM, XDR o CTEM?

SIEM y XDR detectar amenazas después de que se generan las señales. Se basan en eventos que ya sucedieron y requieren ajustes importantes para reducir los falsos positivos. No modelan rutas de ataque de manera proactiva.

Plataformas CTEM priorizan las vulnerabilidades en función de las puntuaciones de explotabilidad, pero la mayoría opera dentro de un único dominio (nube, punto final, identidad) y luchan por modelar cómo se encadenan los riesgos de diferentes dominios.

Grandes proveedores de plataformas lograr la unificación del contexto, pero a costa de la dependencia de un proveedor y el reemplazo forzoso de herramientas especializadas.

Mesh adopta un enfoque diferente. Alineándose precisamente con lo que Gartner imaginó para CSMA, Mesh unifica el contexto en todas las herramientas, lagos de datos e infraestructura existentes, lo que permite la eliminación continua de la exposición sin necesidad de extraer nada.

¿Para quién está diseñado Mesh?

Mesh CSMA está diseñado para equipos de seguridad que ya han invertido en las mejores herramientas y ahora están lidiando con las consecuencias de la seguridad fragmentada:

• Docenas de paneles, contexto cero
• Datos de seguridad inconexos, que generan ruido en lugar de información
• Correlación manual, conectando los puntos entre herramientas.

La plataforma cerró recientemente una Serie A de 12 millones de dólares liderada por Lobby Capital con la participación de Bright Pixel Capital y S1 (SentinelOne) Ventures.

Su próximo paso: obtenga más información sobre Mesh CSMA

Las herramientas de seguridad muestran riesgos aislados. Mesh muestra rutas de ataque hacia las Joyas de la Corona y las elimina.

¿Quiere ver exposiciones a amenazas en vivo en su entorno? Prueba Mesh gratis durante 7 días.

O regístrese para el seminario web en vivo: ¿Quién puede alcanzar las joyas de su corona? Modelado de rutas de ataque con Mesh CSMA para ver a Mesh identificar rutas de ataque reales en vivo.

Una falla de seguridad de alta gravedad que afecta las instalaciones predeterminadas de las versiones 24.04 y posteriores de Ubuntu Desktop podría aprovecharse para escalar privilegios al nivel raíz.

Seguimiento como CVE-2026-3888 (Puntuación CVSS: 7,8), el problema podría permitir a un atacante tomar el control de un sistema vulnerable.

«Esta falla (CVE-2026-3888) permite a un atacante local sin privilegios escalar privilegios a acceso raíz completo mediante la interacción de dos componentes estándar del sistema: snap-confine y systemd-tmpfiles», informó la Unidad de Investigación de Amenazas de Qualys (TRU) dicho. «Si bien el exploit requiere una ventana de tiempo específica (10 a 30 días), el impacto resultante es un compromiso total del sistema host».

El problema, señaló Qualys, surge de la interacción no intencionada de snap-confine, que administra los entornos de ejecución para aplicaciones instantáneas mediante la creación de un entorno limitado, y systemd-tmpfiles, que limpia automáticamente archivos y directorios temporales (por ejemplo,/tmp, /run y /var/tmp) más antiguos que un umbral definido.

La vulnerabilidad ha sido parcheada en las siguientes versiones:

• Ubuntu 24.04 LTS: versiones snapd anteriores a 2.73+ubuntu24.04.1
• Ubuntu 25.10 LTS: versiones snapd anteriores a 2.73+ubuntu25.10.1
• Ubuntu 26.04 LTS (Dev): versiones snapd anteriores a 2.74.1+ubuntu26.04.1
• Snapd ascendente: versiones anteriores a 2.75

El ataque requiere privilegios bajos y ninguna interacción del usuario, aunque la complejidad del ataque es alta debido al mecanismo de retardo en la cadena de explotación.

«En las configuraciones predeterminadas, systemd-tmpfiles está programado para eliminar datos obsoletos en /tmp», dijo Qualys. «Un atacante puede aprovechar esto manipulando el momento de estos ciclos de limpieza».

El ataque se desarrolla de la siguiente manera:

• El atacante debe esperar a que el demonio de limpieza del sistema elimine un directorio crítico (/tmp/.snap) requerido por snap-confine. El período predeterminado es de 30 días en Ubuntu 24.04 y de 10 días en versiones posteriores.
• Una vez eliminado, el atacante recrea el directorio con cargas útiles maliciosas.
• Durante la siguiente inicialización de la zona de pruebas, ajuste el ajuste unir montajes estos archivos como raíz, lo que permite la ejecución de código arbitrario dentro del contexto privilegiado.

Además, Qualys dijo que descubrió una falla en la condición de carrera en el paquete uutils coreutils que permite a un atacante local sin privilegios reemplazar entradas de directorio con enlaces simbólicos (también conocidos como enlaces simbólicos) durante ejecuciones cron de propiedad raíz.

«La explotación exitosa podría conducir a la eliminación arbitraria de archivos como raíz o a una mayor escalada de privilegios al apuntar a directorios de espacio aislado», dijo la compañía de ciberseguridad. «La vulnerabilidad se informó y mitigó antes del lanzamiento público de Ubuntu 25.10. El comando rm predeterminado en Ubuntu 25.10 se revirtió a GNU coreutils para mitigar este riesgo de inmediato. Desde entonces, se han aplicado correcciones iniciales al repositorio de uutils».

Apple lanzó el martes su primera ronda de Mejoras de seguridad en segundo plano para abordar una falla de seguridad en WebKit que afecta a iOS, iPadOS y macOS.

La vulnerabilidad, rastreada como CVE-2026-20643 (Puntuación CVSS: N/A), se ha descrito como un problema de origen cruzado en la API de navegación de WebKit que podría aprovecharse para eludir la política del mismo origen al procesar contenido web creado con fines malintencionados.

La falla afecta a iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 y macOS 26.3.2. Se solucionó con una validación de entrada mejorada en iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) y macOS 26.3.2 (a). Al investigador de seguridad Thomas Espach se le atribuye el mérito de descubrir e informar la deficiencia.

Manzana notas que las mejoras de seguridad en segundo plano están destinadas a ofrecer versiones de seguridad ligeras para componentes como el navegador Safari, la pila de marco WebKit y otras bibliotecas del sistema a través de parches de seguridad más pequeños y continuos en lugar de publicarlos como parte de actualizaciones de software más grandes.

La función es compatible y está habilitada para versiones futuras a partir de iOS 26.1, iPadOS 26.1 y macOS 26. En los casos en que se descubran problemas de compatibilidad, las mejoras pueden eliminarse temporalmente y luego mejorarse en una actualización de software posterior, agrega Apple.

Los usuarios pueden controlar las mejoras de seguridad en segundo plano a través del menú Privacidad y seguridad en la aplicación Configuración. Para garantizar que se instalen automáticamente, se recomienda mantener activada la opción «Instalar automáticamente».

Vale la pena señalar que si los usuarios optan por desactivar esta configuración, tendrán que esperar hasta que las mejoras se incluyan en la próxima actualización de software. Visto desde esa perspectiva, la función es análoga a Rapid Security Response, que introducido en iOS 16 como una forma de instalar actualizaciones de seguridad menores.

«Si se aplicó una mejora de seguridad en segundo plano y elige eliminarla, su dispositivo vuelve a la actualización de software básica (por ejemplo, iOS 26.3) sin aplicar mejoras de seguridad en segundo plano», señaló Apple en un documento de ayuda.

El desarrollo se produce poco más de un mes después de que Apple publicara correcciones para un día cero explotado activamente que afecta a iOS, iPadOS, macOS Tahoe, tvOS, watchOS y visionOS (CVE-2026-20700, puntuación CVSS: 7,8) y que podría provocar la ejecución de código arbitrario.

La semana pasada, el fabricante de iPhone también amplió los parches para cuatro fallos de seguridad (CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 y CVE-2024-23222) que se utilizaron como parte del kit de exploits Coruña.