¿Qué sucede cuando un correo electrónico de phishing parece lo suficientemente limpio como para pasar el control de seguridad, pero lo suficientemente peligroso como para exponer la empresa después de un clic? Ésa es la brecha con la que muchos SOC todavía luchan: los ataques que dejan a los equipos sin saber qué estuvo expuesto, quién más fue el objetivo y hasta qué punto se ha extendido el riesgo.

La detección temprana del phishing cierra esa brecha. Ayuda a los equipos a pasar de la incertidumbre a la evidencia más rápidamente, reducir los retrasos en la respuesta y evitar que un enlace perdido se convierta en exposición de la cuenta, acceso remoto o interrupción operativa.

Por qué el phishing crea ahora un mayor riesgo para los líderes de seguridad

El phishing se ha vuelto más difícil de gestionar porque ya no crea un evento claro y fácil de contener. Un solo clic puede convertirse en exposición de identidad, acceso remoto, acceso a datos o una investigación más amplia antes de que el equipo tenga una idea clara.

Lo que lo convierte en una preocupación mayor ahora:

• Pone la identidad en el centro del ataque: Las credenciales robadas pueden exponer el correo electrónico, las aplicaciones SaaS, las plataformas en la nube y los sistemas internos.
• Debilita la confianza en la AMF: Algunas campañas capturan códigos OTP, por lo que «MFA está habilitado» no siempre es suficiente.
• Se esconde detrás del comportamiento normal del usuario: Las comprobaciones de CAPTCHA, las páginas de inicio de sesión, las invitaciones y las herramientas confiables pueden hacer que las señales tempranas parezcan rutinarias.
• Ralentiza las decisiones a nivel empresarial: Es posible que los equipos necesiten tiempo para confirmar a qué se accedió, quién se vio afectado y si es necesaria la contención.
• Aumenta la exposición operativa: Cuanto más tiempo permanezca sin aclararse la actividad de phishing, mayores serán las posibilidades de abuso de la cuenta, acceso remoto o interrupción del negocio.

La forma más rápida de convertir las señales de phishing en acción

Cuando llega un correo electrónico de phishing, la velocidad depende de lo que haga el SOC a continuación. Los equipos más fuertes no investigan un vínculo sospechoso de forma aislada. Lo utilizan como el inicio de un proceso conectado: validan el comportamiento, amplían la inteligencia y verifican el entorno para detectar exposiciones relacionadas antes de que se extienda el riesgo.

Paso 1: Confirme el riesgo real detrás de los enlaces y correos electrónicos de phishing

Lo primero que necesitan los equipos de SOC es un lugar seguro para comprobar qué hace realmente un correo electrónico o un enlace sospechoso más allá de la bandeja de entrada. Aquí es donde los entornos sandbox interactivos se vuelven críticos: permiten a los equipos abrir archivos adjuntos, seguir URL, observar redireccionamientos, pasar por flujos de phishing y exponer comportamientos que pueden no ser visibles únicamente en el mensaje original.

Compruebe el reciente ataque de phishing con invitación falsa

Ataque de phishing expuesto dentro del sandbox de ANY.RUN

Una investigación reciente de ANY.RUN muestra por qué esto es importante. Los investigadores encontraron una peligrosa campaña de phishing dirigida a organizaciones estadounidenses, especialmente en industrias de alta exposición como Educación, banca, gobierno, tecnología y atención médica. Al principio, el ataque parecía rutinario: una invitación falsa, una verificación CAPTCHA y una página con el tema de un evento. Pero detrás de ese flujo, la campaña podría conducir al robo de credenciales, captura de OTP o entrega de herramientas RMM legítimas.

Dentro del sandbox interactivo de ANY.RUN, la cadena de ataque completa quedó expuesta en solo 40 segundos: redirecciones, páginas falsas, solicitudes de credenciales, descargas y señales de posible acceso remoto. Esa es la velocidad que necesitan los equipos de seguridad cuando cada minuto de incertidumbre puede aumentar la exposición.

Se necesitan 38 segundos para analizar la cadena completa de ataques de phishing complicados dentro del entorno limitado de ANY.RUN

Una vez que el sandbox expone la ruta completa del ataque, los líderes obtienen lo que a menudo les falta a las investigaciones de phishing: pruebas tempranas de la exposición empresarial. En lugar de esperar señales de abuso de cuenta o compromiso de endpoints, el SOC puede comprender el riesgo mientras todavía hay tiempo para contenerlo.

Con esa prueba, los equipos pueden:

• confirmar si el enlace crea una exposición real
• actuar antes de que las cuentas o los puntos finales comprometidos se conviertan en un problema mayor
• Dar a los líderes la evidencia necesaria para aprobar una contención rápida.

Paso 2: Contextualizar un ataque en un panorama de amenazas completo

Una vez que el entorno de pruebas expone el comportamiento de phishing, el siguiente paso es comprender si la amenaza es aislada o forma parte de una campaña más amplia. Aquí es donde Las soluciones de inteligencia de amenazas de ANY.RUN Ayude a los equipos a pasar de un vínculo sospechoso a una visión más amplia de la amenaza.

En la campaña de invitación falsa, la zona de pruebas reveló patrones repetibles en las páginas de phishing, incluidas solicitudes de /favicon.ico, /bloqueado.htmly recursos almacenados en /Imagen/*.png. Estos detalles son valiosos porque ayudan a conectar dominios, páginas e infraestructura relacionados que pueden pertenecer a la misma campaña.

Sesiones de análisis relevantes mostradas con Threat Intelligence de ANY.RUN para un contexto más amplio y una visibilidad total del comportamiento.

Una vez que se amplía el contexto de la amenaza, los equipos ya no reaccionan a una alerta de forma aislada. Pueden comprender hasta dónde puede llegar la campaña, qué áreas del negocio están más expuestas y si la respuesta debe ser limitada o ampliarse entre usuarios, departamentos o clientes.

Esa visión más amplia ayuda a los CISO a:

• priorizar la respuesta según la escala de la campaña, no un solo enlace de phishing
• reducir los puntos ciegos entre usuarios, regiones y unidades de negocio
• tomar decisiones más rápidas sobre bloqueo, búsqueda y escalada antes de que se acumule más exposición

Paso 3: Mantenga las defensas actualizadas para una concientización temprana sobre los riesgos

Una vez que la amenaza se valida y se enriquece, el siguiente paso es hacer que esa inteligencia se pueda utilizar en todas las herramientas de las que ya depende el SOC. El objetivo no es mantener los hallazgos dentro de una investigación, sino convertirlos en detección, bloqueo, enriquecimiento y respuesta en todo el entorno.

Con las soluciones de inteligencia de amenazas de ANY.RUN, los equipos pueden utilizar IOC basados ​​en el comportamiento y contexto de campaña en SIEM, TIP, SOAR, NDR, firewalls y otras herramientas de seguridad. Construido a partir de análisis de ataques reales en 15.000 organizaciones y 600.000 profesionales de la seguridadesta inteligencia brinda a los equipos un contexto nuevo que pueden aplicar directamente dentro de los flujos de trabajo existentes.

TI Feeds de ANY.RUN proporciona IOC nuevos basados ​​en el comportamiento en toda la pila de seguridad

Esto ayuda a los equipos a pasar de «analizamos un enlace de phishing» a «ahora podemos buscar exposición relacionada en toda la empresa». La inteligencia recopilada puede revelar dominios relacionados, rutas URL repetidas, solicitudes sospechosas, archivos descargados o signos de actividad RMM conectados a la misma campaña.

Para los CISO, aquí es donde la inteligencia de phishing se convierte en control operativo. Ayuda a los equipos:

• utilizar las inversiones en seguridad existentes para detectar la actividad relacionada más rápidamente
• reduzca los puntos ciegos en el correo electrónico, la red, los terminales, la identidad y los datos de la nube
• actuar antes de que un caso de phishing se convierta en una exposición empresarial más amplia

Este proceso cierra el círculo: la zona de pruebas prueba el comportamiento, la inteligencia sobre amenazas amplía el contexto y la pila de seguridad ayuda a los equipos a encontrar y detener amenazas relacionadas antes de que se propaguen.

Obtenga ofertas especiales de ANY.RUN antes del 31 de mayo

para celebrar su 10mo aniversarioANY.RUN ofrece condiciones especiales para equipos que desean fortalecer el análisis de phishing, la inteligencia sobre amenazas y los flujos de trabajo de respuesta SOC.

Ofertas especiales de ANY.RUN para un SOC más sólido y una visibilidad más temprana de las amenazas

Hasta 31 de mayolos equipos pueden acceder a ofertas de aniversario en las soluciones clave de ANY.RUN:

• Zona de pruebas interactiva: Asientos de bonificación y precios exclusivos para equipos que necesitan un análisis profundo de malware y phishing.
• Soluciones de inteligencia de amenazas: Meses adicionales para aportar inteligencia más actualizada a la detección, la investigación y la respuesta.

Para los SOC, este es un buen momento para ampliar la visibilidad del phishing, incorporar nueva inteligencia sobre amenazas a los flujos de trabajo existentes y mejorar la preparación de la respuesta sin ralentizar las operaciones.

Obtenga una oferta especial ahora para fortalecer la detección de phishing y ayudar a su SOC a actuar antes de que se extienda la exposición.

Convierta la detección temprana de phishing en un impacto SOC medible

La detección temprana del phishing es importante porque el retraso es lo que aumenta el riesgo. Cuando llega un enlace sospechoso, cada minuto extra puede significar más incertidumbre, más trabajo manual y más tiempo antes de que el equipo sepa si las cuentas, los puntos finales o los sistemas empresariales están expuestos.

Los equipos informan una eficiencia SOC 3 veces mayor con las soluciones de ANY.RUN

ANY.RUN ayuda a cerrar la brecha entre la primera señal de phishing y una respuesta segura. Los equipos pueden analizar el enlace de forma segura, confirmar lo que hace, enriquecer los hallazgos con el contexto de amenaza relacionado e insertar esa inteligencia en su pila de seguridad para encontrar y detener la actividad conectada en todo el entorno.

Equipos que utilizan el informe ANY.RUN:

• MTTR 21 minutos más rápido por caso para reducir la ventana entre la detección y la contención del phishing
• Clasificación 94 % más rápida según lo informado por los usuarios para reducir la incertidumbre en torno a enlaces sospechosos
• 30% menos escalamientos de Nivel 1 a Nivel 2 para proteger la capacidad del equipo senior
• Hasta un 20% menos de carga de trabajo de Nivel 1 para reducir la fatiga de alerta y el esfuerzo de investigación manual
• Eficiencia SOC hasta 3 veces mayor en flujos de trabajo de validación, enriquecimiento y respuesta

Cierre los puntos ciegos del phishing antes de que se conviertan en exposición empresarial. Obtenga asientos adicionales y precios especiales para ampliar la visibilidad de SOC mientras la oferta esté disponible.

Los investigadores de Google encontraron un exploit de día cero desarrollado por inteligencia artificial y alertaron al proveedor susceptible sobre la amenaza inminente antes de que un conocido grupo de cibercrimen iniciara una campaña de explotación masiva, dijo la compañía en un informe publicado el lunes.

El desastre evitado probablemente no sea la primera vez que los atacantes utilizaron IA para construir un día cero, pero es la primera vez que Google Threat Intelligence Group encontró evidencia convincente de que esta escalada preocupante y largamente predicha en el desarrollo de vulnerabilidades está en marcha.

«Finalmente descubrimos alguna evidencia de que esto está sucediendo», dijo a CyberScoop John Hultquist, analista jefe de GTIG. «Esta es probablemente la punta del iceberg y ciertamente no será la última».

Google se negó a identificar la vulnerabilidad específica, que ha sido parcheada, o nombrar la “herramienta de administración popular de código abierto basada en web” a la que afectaba. Sin embargo, sí señaló que el defecto afectó a un script de Python que permite a los atacantes eludir la autenticación de dos factores para el servicio.

Los investigadores también ocultaron detalles sobre cómo descubrieron el exploit de día cero o el grupo de delitos cibernéticos que se estaba preparando para utilizarlo en una serie de ataques a gran escala.

El grupo de amenazas tiene un «sólido historial de incidentes de alto perfil y explotación masiva», dijo Hultquist, sugiriendo que los atacantes son prominentes y bien conocidos entre los profesionales de la ciberseguridad.

GTIG está bastante seguro de que el grupo de amenazas estuvo utilizando la IA de manera significativa durante todo el proceso, pero aún tiene que determinar si la tecnología también descubrió la vulnerabilidad que finalmente convirtió en un exploit.

Cualquiera que sea el modelo de IA que utilizaron los atacantes (Google confía en que no fue Gemini o Mythos de Anthropic) dejó artefactos en todo el código de explotación que son inconsistentes con los desarrolladores humanos. Esta evidencia, que incluía cadenas de documentación en Python, código altamente anotado y una puntuación CVSS alucinada pero inexistente, alertó a Google sobre el hecho de que la IA estaba muy involucrada, dijo Hultquist.

GTIG ha estado advirtiendo y esperando que los exploits desarrollados por IA afecten a los sistemas en estado salvaje, especialmente después de que su agente Big Sleep AI encontró una vulnerabilidad de día cero a finales de 2024.

«Creo que el momento decisivo fue hace dos años, cuando demostramos que esto era posible», dijo Hultquist, y agregó que probablemente hay varias otras IA desarrolladas en días cero en juego ahora.

Sin embargo, para él, el descubrimiento de un exploit de día cero desarrollado por IA es menos preocupante de lo que este único ejemplo presagia aún más.

«El juego ya ha comenzado y esperamos que la trayectoria de capacidad sea bastante clara», dijo Hultquist. «Esperamos que este sea un problema mucho mayor, que se realicen ataques de día cero más devastadores, especialmente a medida que crezcan las capacidades».

En la rápida evolución del panorama de amenazas de 2026, ha surgido una paradoja frustrante para los CISO y los líderes de seguridad: Los programas de identidad están madurando, pero el riesgo en realidad está aumentando.

Según una nueva investigación del Instituto Ponemoncientos de aplicaciones dentro de una empresa típica permanecen desconectadas de los sistemas de identidad centralizados. Estas aplicaciones de «materia oscura» operan fuera del alcance de la gobernanza estándar, creando una superficie de ataque masiva y no administrada que ahora está siendo explotada agresivamente, no sólo por actores de amenazas humanas, sino también por agentes autónomos de IA.

La amenaza invisible: aplicaciones desconectadas y amplificación de IA

Las empresas modernas han invertido mucho en IAM y Zero Trust, pero la «última milla» de la identidad (aplicaciones heredadas, cuentas localizadas y SaaS aislado) sigue siendo un punto ciego obstinado.

La entrada de la IA en la fuerza laboral ha convertido esta brecha de un dolor de cabeza en materia de cumplimiento a una vulnerabilidad crítica. A medida que las organizaciones implementan copilotos de IA y agentes autónomos para aumentar la productividad, estos agentes a menudo requieren acceso a los mismos sistemas que se encuentran fuera de su control centralizado.

¿El resultado? Los agentes de IA están amplificando inadvertidamente los riesgos de credenciales, reutilizando tokens obsoletos y navegando por caminos de menor resistencia que su equipo de seguridad ni siquiera puede ver.

Únase a la sesión informativa sobre madurez de identidad 2026

Para ayudar a los líderes de seguridad a superar esta «brecha de confianza», Las noticias de los piratas informáticos es organizar un seminario web exclusivo que presenta Mike Fitzpatrick (Instituto Ponemon) y Matt Chiodi (CSO, Cerby).

Desglosarán los últimos hallazgos de más de 600 líderes de TI y seguridad y proporcionar una hoja de ruta táctica para cerrar las brechas de identidad que conducen a fricciones en las auditorías y al estancamiento de las iniciativas digitales.

En esta sesión descubrirás:

• Datos de referencia exclusivos de 2026: Vea cómo se compara la madurez de su identidad con la de sus pares.
• El factor «IA en la sombra»: Comprenda cómo los agentes de IA están ampliando su superficie desconectada.
• El costo de la gestión manual: Por qué confiar en correcciones manuales de contraseñas y credenciales es una estrategia perdedora en 2026.
• Pasos prácticos de remediación:Descubra exactamente qué están haciendo las organizaciones líderes ahora para recuperar el control de cada aplicación.

Por qué deberías asistir

Si lidera una estrategia de identidad, seguridad o cumplimiento, «hacer más de lo mismo» ya no es una opción. Esta conversación está diseñada para llevarlo más allá de la madurez teórica y hacia control operativo.

Asegura tu lugar ahora para obtener la información basada en datos que necesita para proteger el activo más fragmentado y más específico de su organización: Identidad.

Regístrese para el seminario web: Madurez de la identidad bajo presión →

Google dijo el lunes que está implementando oficialmente la verificación de desarrollador de Android para todos los desarrolladores para combatir el problema de los malos actores que distribuyen aplicaciones dañinas mientras «se esconden detrás del anonimato».

El desarrollo se produce antes de un mandato de verificación planificado que entrará en vigor en Brasil, Indonesia, Singapur y Tailandia en septiembre, antes de expandirse a nivel mundial el próximo año.

Como parte de este esfuerzo, Google exige a los desarrolladores de aplicaciones que distribuyen aplicaciones fuera de Google Play que creen una cuenta en la Consola de desarrollador de Android para confirmar su identidad. Aquellos que distribuyen aplicaciones a través del mercado oficial de aplicaciones de Android y han verificado su identidad pueden «ya estar configurados», dijo el gigante tecnológico.

«Para la gran mayoría de los usuarios, la experiencia de instalar aplicaciones seguirá siendo exactamente la misma», dijo Matthew Forsythe, director de gestión de productos para Android App Safety. dicho. «Solo cuando un usuario intenta instalar una aplicación no registrada necesitará ADB o flujo avanzado, lo que nos ayuda a mantener segura a la comunidad en general y al mismo tiempo preserva la flexibilidad para nuestros usuarios avanzados».

Los desarrolladores de Android Studio pueden esperar ver el estado de registro de su aplicación directamente desde el entorno de desarrollo integrado (IDE) en los próximos dos meses cuando generen un App Bundle o APK firmado.

Los desarrolladores que hayan completado los requisitos de verificación de desarrollador de Play Console registrarán automáticamente sus aplicaciones de Play elegibles. Si no se puede registrar una aplicación, se solicita a los desarrolladores que sigan un proceso de reclamo de aplicación manual.

Como se anunció hace un par de semanas, los usuarios avanzados siempre tienen la opción de habilitar la descarga de archivos APK no registrados a través de un flujo avanzado que requiere un paso de autenticación para confirmar que están dando este paso por su propia voluntad y un período de espera único de 24 horas para disuadir a los estafadores.

«Este flujo es un proceso único para usuarios avanzados, pero fue diseñado cuidadosamente para evitar que aquellos que se encuentran en medio de un intento de estafa sean coaccionados por tácticas de alta presión para instalar software malicioso», dijo Forsythe.

El desarrollo llega como lo ha hecho Apple. revisado su Acuerdo de Licencia del Programa de Desarrolladores para hacer cumplir las reglas de privacidad con respecto al acceso de dispositivos portátiles de terceros a actividades y notificaciones en vivo.

Apple señaló explícitamente que terceros «no pueden usar la información de reenvío para publicidad, elaboración de perfiles, modelos de entrenamiento o monitoreo de ubicación», y agregó que «no pueden difundir la información de reenvío a ninguna otra aplicación ni a ningún otro dispositivo además de su accesorio de destino autorizado».

La sección recién agregada también enfatizó que los desarrolladores no pueden almacenar de forma remota ninguna información de reenvío en un servicio en la nube, realizar modificaciones que cambien «materialmente» el significado del contenido o descifrar los datos en cualquier otro lugar que no sea el propio accesorio.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado cinco fallas de seguridad que afectan a Apple, Craft CMS y Laravel Livewire hasta sus vulnerabilidades explotadas conocidas (KEV) catálogo, instando a las agencias federales a parchearlos antes del 3 de abril de 2026.

Las vulnerabilidades que han sido objeto de explotación se enumeran a continuación:

• CVE-2025-31277 (Puntuación CVSS: 8,8): una vulnerabilidad en Apple WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. (Corregido en julio de 2025)
• CVE-2025-43510 (Puntuación CVSS: 7,8): una vulnerabilidad de corrupción de memoria en el componente del kernel de Apple que podría permitir que una aplicación maliciosa provoque cambios inesperados en la memoria compartida entre procesos. (Corregido en diciembre de 2025)
• CVE-2025-43520 (Puntuación CVSS: 8,8): una vulnerabilidad de corrupción de memoria en el componente del kernel de Apple que podría permitir que una aplicación maliciosa cause una terminación inesperada del sistema o escriba en la memoria del kernel. (Corregido en diciembre de 2025)
• CVE-2025-32432 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de código en Craft CMS que podría permitir a un atacante remoto ejecutar código arbitrario. (Corregido en abril de 2025)
• CVE-2025-54068 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de código en Laravel Livewire que podría permitir a atacantes no autenticados lograr la ejecución remota de comandos en escenarios específicos. (Corregido en julio de 2025)

La incorporación de las tres vulnerabilidades de Apple al catálogo KEV se produce a raíz de informes de Google Threat Intelligence Group (GTIG), iVerify y Lookout sobre un kit de explotación de iOS con nombre en código DarkSword que aprovecha estas deficiencias, junto con tres errores, para implementar varias familias de malware como GHOSTBLADE, GHOSTKNIFE y GHOSTSABER para el robo de datos.

Se considera que CVE-2025-32432 ha sido explotado como día cero por actores de amenazas desconocidos desde febrero de 2025, según Orange Cyberdefense SensePost. Desde entonces, también se ha observado un conjunto de intrusiones rastreado como Mimo (también conocido como Hezb) que explota la vulnerabilidad para implementar un minero de criptomonedas y un proxy residencial.

Completando la lista está CVE-2025-54068, cuya explotación fue señalada recientemente por el equipo Ctrl-Alt-Intel Threat Research como parte de ataques organizados por el grupo de hackers patrocinado por el estado iraní, MuddyWater (también conocido como Boggy Serpens).

En un informe publicado a principios de esta semana, la Unidad 42 de Palo Alto Networks denunció los constantes ataques del adversario a infraestructuras diplomáticas y críticas, incluidas las energéticas, marítimas y financieras, en todo el Medio Oriente y otros objetivos estratégicos en todo el mundo.

«Si bien la ingeniería social sigue siendo su característica distintiva, el grupo también está aumentando sus capacidades tecnológicas», Unidad 42 dicho. «Su diverso conjunto de herramientas incluye implantes de malware mejorados con IA que incorporan técnicas antianálisis para una persistencia a largo plazo. Esta combinación de ingeniería social y herramientas de rápido desarrollo crea un perfil de amenaza potente».

«Para respaldar sus campañas de ingeniería social a gran escala, Boggy Serpens utiliza una plataforma de orquestación basada en web hecha a medida», dijo la Unidad 42. «Esta herramienta permite a los operadores automatizar la entrega masiva de correos electrónicos mientras mantienen un control granular sobre las identidades de los remitentes y las listas de objetivos».

Atribuido al Ministerio de Inteligencia y Seguridad de Irán (MOIS), el grupo se centra principalmente en el ciberespionaje, aunque también se le ha vinculado con operaciones disruptivas dirigidas al Instituto de Tecnología Technion de Israel mediante la adopción del personaje del ransomware DarkBit.

Una de las características distintivas del oficio de MuddyWater ha sido el uso de cuentas secuestradas pertenecientes a entidades gubernamentales y corporativas oficiales en sus ataques de phishing, y el abuso de relaciones de confianza para evadir sistemas de bloqueo basados ​​en reputación y distribuir malware.

En una campaña sostenida dirigida a una empresa nacional de energía y marina no identificada en los Emiratos Árabes Unidos entre el 16 de agosto de 2025 y el 11 de febrero de 2026, se dice que el actor de amenazas llevó a cabo cuatro oleadas distintas de ataques, lo que llevó al despliegue de varias familias de malware, incluidos GhostBackDoor y Nuso (también conocido como HTTP_VIP). Algunas de las otras herramientas notables en el arsenal del actor de amenazas incluyen UDPGangster y LampoRAT (también conocido como CHAR).

«La actividad reciente de Boggy Serpens ejemplifica un perfil de amenaza en proceso de maduración, ya que el grupo integra sus metodologías establecidas con mecanismos refinados para la persistencia operativa», dijo la Unidad 42. «Al diversificar su proceso de desarrollo para incluir lenguajes de codificación modernos como Rust y flujos de trabajo asistidos por IA, el grupo crea vías paralelas que garantizan la redundancia necesaria para mantener un ritmo operativo alto».

Una falla de seguridad recientemente revelada y reparada por Microsoft puede haber sido explotada por el actor de amenazas patrocinado por el estado vinculado a Rusia conocido como APT28, según nuevos hallazgos de Akamai.

La vulnerabilidad en cuestión es CVE-2026-21513 (Puntuación CVSS: 8,8), una función de seguridad de alta gravedad que afecta al marco MSHTML.

«La falla del mecanismo de protección en MSHTML Framework permite a un atacante no autorizado eludir una característica de seguridad en una red», Microsoft anotado en su aviso sobre la falla. Fue solucionado por el fabricante de Windows como parte de su actualización del martes de parches de febrero de 2026.

Sin embargo, el gigante tecnológico también señaló que la vulnerabilidad había sido explotada como un día cero en ataques del mundo real, y le dio crédito al Microsoft Threat Intelligence Center (MSTIC), al Microsoft Security Response Center (MSRC) y al equipo de seguridad del grupo de productos de Office, junto con el Google Threat Intelligence Group (GTIG), por informarlo.

En un escenario de ataque hipotético, un actor de amenazas podría convertir la vulnerabilidad en un arma persuadiendo a la víctima para que abra un archivo HTML o un archivo de acceso directo (LNK) malicioso entregado a través de un enlace o como un archivo adjunto de correo electrónico.

Una vez que se abre el archivo elaborado, manipula el navegador y el manejo del Shell de Windows, lo que hace que el sistema operativo ejecute el contenido, señaló Microsoft. Esto, a su vez, permite al atacante eludir las funciones de seguridad y potencialmente lograr la ejecución del código.

Si bien la compañía no ha compartido oficialmente ningún detalle sobre el esfuerzo de explotación de día cero, Akamai dijo que identificó un artefacto malicioso que se subió a VirusTotal el 30 de enero de 2026 y está asociado con la infraestructura vinculada a APT28.

Vale la pena señalar que la muestra fue señalada por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) a principios del mes pasado en relación con los ataques de APT28 que explotaban otra falla de seguridad en Microsoft Office (CVE-2026-21509, puntuación CVSS: 7,8).

La compañía de infraestructura web dijo que CVE-2026-21513 tiene su origen en la lógica dentro de «ieframe.dll» que maneja la navegación de hipervínculos, y que es el resultado de una validación insuficiente de la URL de destino, lo que permite que la entrada controlada por el atacante alcance rutas de código que invocan ShellExecuteExW. Esto, a su vez, permite la ejecución de recursos locales o remotos fuera del contexto de seguridad previsto del navegador.

«Esta carga útil implica un acceso directo de Windows (LNK) especialmente diseñado que incrusta un archivo HTML inmediatamente después de la estructura LNK estándar», dijo el investigador de seguridad Maor Dahan. «El archivo LNK inicia comunicación con el dominio wellnesscaremed[.]com, que se atribuye a APT28 y se ha utilizado ampliamente para las cargas útiles de varias etapas de la campaña. El exploit aprovecha los iframes anidados y múltiples contextos DOM para manipular los límites de confianza».

Akamai señaló que la técnica hace posible que un atacante eluda la Marca de la Web (MotW) y Configuración de seguridad mejorada de Internet Explorer (Es decir, ESC), lo que lleva a una degradación del contexto de seguridad y, en última instancia, facilita la ejecución de código malicioso fuera del entorno limitado del navegador a través de ShellExecuteExW.

«Si bien la campaña observada aprovecha archivos LNK maliciosos, la ruta del código vulnerable puede activarse a través de cualquier componente que incorpore MSHTML», añadió la compañía. «Por lo tanto, se deben esperar mecanismos de entrega adicionales más allá del phishing basado en LNK».