Una falla de seguridad de alta gravedad recientemente revelada en Apache ActiveMQ Classic ha sido objeto de explotación activa en la naturaleza, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

Para ello, la agencia ha agregado la vulnerabilidad, rastreada como CVE-2026-34197 (Puntuación CVSS: 8,8), a sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 30 de abril de 2026.

CVE-2026-34197 se ha descrito como un caso de validación de entrada incorrecta que podría provocar la inyección de código, lo que permitiría efectivamente a un atacante ejecutar código arbitrario en instalaciones susceptibles. Según Naveen Sunkavally de Horizon3.ai, CVE-2026-34197 ha estado «escondido a plena vista» durante 13 años.

«Un atacante puede invocar una operación de administración a través de la API Jolokia de ActiveMQ para engañar al corredor para que obtenga un archivo de configuración remoto y ejecute comandos arbitrarios del sistema operativo», agregó Sunkavally.

«La vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos. En algunas versiones (6.0.0–6.1.1), no se requieren credenciales debido a otra vulnerabilidad, CVE-2024-32114, que expone inadvertidamente la API de Jolokia sin autenticación. En esas versiones, CVE-2026-34197 es efectivamente un RCE no autenticado».

la vulnerabilidad impactos las siguientes versiones –

• Agente Apache ActiveMQ (org.apache.activemq:activemq-broker) anterior a 5.19.4
• Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 anterior a 6.2.3
• Apache ActiveMQ (org.apache.activemq:activemq-all) anterior a 5.19.4
• Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 anterior a 6.2.3

Se recomienda a los usuarios que actualicen a la versión 5.19.4 o 6.2.3, que soluciona el problema. Actualmente no hay detalles sobre cómo se está explotando CVE-2026-34197 en la naturaleza, pero SAFE Security, en un informe publicado esta semana, reveló que los actores de amenazas están apuntando activamente a los puntos finales de administración de Jolokia expuestos en implementaciones de Apache ActiveMQ Classic.

Los hallazgos demuestran una vez más que los plazos de explotación continúan colapsando a medida que los atacantes se abalanzan sobre las vulnerabilidades recientemente reveladas a un ritmo alarmantemente más rápido y violan los sistemas antes de que puedan ser parcheados.

Apache ActiveMQ es un objetivo popular de ataque, con fallas en el intermediario de mensajes de código abierto explotadas repetidamente en varias campañas de malware desde 2021. En agosto de 2025, actores desconocidos utilizaron como arma una vulnerabilidad crítica en ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para lanzar un malware de Linux llamado DripDropper.

«Dado el papel de ActiveMQ en la mensajería empresarial y los canales de datos, las interfaces de gestión expuestas presentan un riesgo de alto impacto, lo que potencialmente permite la filtración de datos, la interrupción del servicio o el movimiento lateral», SAFE Security dicho. «Las organizaciones deben auditar todas las implementaciones para los puntos finales de Jolokia accesibles externamente, restringir el acceso a redes confiables, imponer una autenticación sólida y desactivar Jolokia cuando no sea necesario».

La Agencia de Seguridad de Infraestructura y Ciberseguridad ha informado a los participantes del programa de Becas por Servicio del gobierno federal que ha cancelado los programas de pasantías de verano de este año debido a los problemas de financiación actuales en el Departamento de Seguridad Nacional.

Los correos electrónicos de CISA obtenidos por CyberScoop informaron recientemente a los solicitantes que la agencia no incorporará a ningún pasante de CyberCorps: Beca para Servicio este verano debido a los impactos de la interrupción de los fondos federales y la situación administrativa actual en el DHS. Para algunos solicitantes, los representantes de la agencia reconocieron que las cancelaciones representan un segundo año consecutivo de esfuerzos de colocación interrumpidos.

La Fundación Nacional de Ciencias (NSF) dirige y gestiona el programa, en coordinación con la Oficina de Gestión de Personal (OPM) y el DHS. El programa cubre la matrícula y proporciona estipendios para estudiantes especializados en ciberseguridad e inteligencia artificial. A cambio, los graduados deben realizar una pasantía y posteriormente trabajar en el servicio federal por un período igual a la duración de su beca.

Un funcionario de la OPM dijo a CyberScoop que la agencia está “en contacto activo con todas las agencias del gabinete federal sobre este tema y confiamos en que colocaremos a casi todos los participantes elegibles de la Beca para el Servicio dentro de los próximos dos meses”.

Un portavoz de la NSF declinó hacer comentarios. CISA no respondió a la solicitud de comentarios de CyberScoop.

El cierre repentino de las carteras de agencias pone de relieve cómo los solicitantes de empleo federales se encuentran actualmente atravesando un entorno de contratación paralizado, exacerbado por la agitación presupuestaria en el DHS y las reducciones de fuerza laboral propuestas bajo la administración Trump. El presupuesto fiscal de 2027 de la Casa Blanca recortaría el presupuesto de CISA en $707 millonessegún un resumen publicado a principios de este mes, lo que reduciría profundamente una agencia que ya recibió un gran golpe en el primer año del presidente Donald Trump.

Las fuentes dijeron a CyberScoop el martes que CISA se ha estado comunicando con solicitantes de pasantías que habían participado en una feria laboral virtual celebrada en febrero, donde se les dijo que la agencia tendría 100 puestos de pasantías disponibles. Sin embargo, se advirtió a los solicitantes que la agencia no podría contratar a nadie hasta que recibiera fondos.

Los participantes del programa expresaron su pesar a CyberScoop en noviembre pasado por haber participado en una iniciativa que los vincula a un empleador que actualmente no puede contratarlos. Según se informa, los administradores del programa han aconsejado a los estudiantes que sean creativos en su búsqueda de empleo, una directiva que causó frustración entre los participantes que dependen de los canales de colocación federales estándar.

En respuesta a la creciente acumulación de graduados no colocados, la OPM anunció planes para colaborar con la Fundación Nacional de Ciencias en un aplazamiento masivo. El director de la OPM, Scott Kupor, declaró que el aplazamiento se implementará una vez que se resuelva el cierre del gobierno, lo que brindará a los graduados tiempo adicional para asegurar puestos calificados.

El colapso estructural del proyecto CyberCorps presenta desafíos a largo plazo para la capacidad del gobierno federal de reclutar talento técnico. Se estima que Estados Unidos enfrenta actualmente 500.000 puestos vacantes en ciberseguridad. Históricamente, el programa de becas fue visto como un mecanismo confiable para evitar la competencia salarial del sector privado y asegurar talentos al comienzo de su carrera para el gobierno federal.

legisladores Actualmente están luchando por las facturas. eso pondría fin al cierre del DHS.

Tim Starks contribuyó a esta historia.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado media docena de fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La lista de vulnerabilidades es la siguiente:

• CVE-2026-21643 (Puntuación CVSS: 9.1): una vulnerabilidad de inyección SQL en Fortinet FortiClient EMS que podría permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes HTTP específicamente diseñadas.
• CVE-2020-9715 (Puntuación CVSS: 7,8): una vulnerabilidad de uso después de la liberación en Adobe Acrobat Reader que podría provocar la ejecución remota de código.
• CVE-2023-36424 (Puntuación CVSS: 7,8): una vulnerabilidad de lectura fuera de límites en el controlador del sistema de archivos de registro común de Microsoft Windows que podría provocar una escalada de privilegios.
• CVE-2023-21529 (Puntuación CVSS: 8,8): una deserialización de datos que no son de confianza en Microsoft Exchange Server que podría permitir a un atacante autenticado lograr la ejecución remota de código.
• CVE-2025-60710 (Puntuación CVSS: 7,8): una resolución de enlace incorrecta antes de la vulnerabilidad de acceso a archivos en el proceso de host para tareas de Windows que podría permitir a un atacante autorizado elevar privilegios localmente.
• CVE-2012-1854 (Puntuación CVSS: 7,8): una vulnerabilidad de carga de biblioteca insegura en Microsoft Visual Basic para Aplicaciones (VBA) que podría provocar la ejecución remota de código.

La adición de CVE-2026-21643 al catálogo KEV se produce después de que Defused Cyber ​​dijera que detectó intentos de explotación dirigidos a la falla desde el 24 de marzo de 2026. La semana pasada, Microsoft reveló que un actor de amenazas al que rastrea como Storm-1175 ha estado utilizando CVE-2023-21529 como arma en ataques para entregar ransomware Medusa.

En cuanto a CVE-2012-1854, el fabricante de Windowsadmitido en un aviso publicado en julio de 2012 que tiene conocimiento de «ataques limitados y dirigidos» que intentan abusar de la vulnerabilidad. Actualmente se desconoce la naturaleza exacta de los ataques.

Actualmente no hay informes públicos que hagan referencia a la explotación de las tres vulnerabilidades restantes. A la luz de los ataques activos, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 27 de abril de 2026.

El presupuesto fiscal 2027 del presidente Donald Trump recortaría el total de la Agencia de Seguridad de Infraestructura y Ciberseguridad en $707 millonessegún un resumen publicado el viernes, lo que reduciría profundamente una agencia que ya recibió un gran golpe en el primer año de Trump.

Otro documento presupuestario sugiere un impacto menor, pero aún sustancial, de $361 millones, y la discrepancia posiblemente se deba a los puntos de comparación en medio de la incertidumbre presupuestaria para la agencia matriz de CISA, el Departamento de Seguridad Nacional. DHS y CISA no respondieron de inmediato a una solicitud de aclaración.

“En el momento en que se preparó el Presupuesto, el proyecto de ley de asignaciones de 2026 para el Departamento de Seguridad Nacional no estaba promulgado, y los fondos proporcionados por la última resolución continua bajo la cual había estado operando (Ley de Asignaciones Continuas, 2026, división A de la Ley Pública 119-37, modificada por la división H de la Ley Pública 119-75) habían caducado”, señala el resumen del presupuesto. «Las referencias al gasto de 2026 en el texto y las tablas para programas y actividades normalmente previstas en el proyecto de ley de asignaciones para todo el año reflejan el nivel anualizado proporcionado por la última resolución continua».

Según cualquiera de las mediciones, el presupuesto propuesto recortaría profundamente una agencia que inició la administración Trump con aproximadamente $3 mil millones, y estaría sustancialmente por debajo si el Congreso promulga el último plan. El apéndice del presupuesto dice que CISA terminaría con poco más de 2.000 millones de dólares en financiación discrecional según el plan de Trump. Para el año fiscal 2026, los apropiadores buscaron mitigar algunas de las reducciones CISA propuestas por Trump.

El resumen del presupuesto de 2027 recicla un lenguaje idéntico del resumen del presupuesto de 2026 y hace referencia a la finalización de programas que CISA ya ha cerrado.

“El Presupuesto reenfoca a CISA en su misión principal: la defensa de la red federal y la mejora de la seguridad y la resiliencia de la infraestructura crítica, al tiempo que elimina el uso de armas y el desperdicio”, afirma el resumen en los documentos de 2026 y 2027.

Hace referencia a deshacerse de cosas que ya se han recortado, como «oficinas de participación externa como la gestión del consejo, la participación de las partes interesadas y los asuntos internacionales». Habla de poner fin a los programas centrados en la censura, algo que CISA bajo la administración Biden dijo que nunca había hecho, y de la “llamada” desinformación, que CISA dijo que puso fin durante el mandato del expresidente.

El representante de Mississippi Bennie Thompson, el principal demócrata en el Comité de Seguridad Nacional de la Cámara de Representantes, criticó la propuesta de presupuesto para CISA.

«Al igual que la estrategia cibernética del presidente, el presupuesto CISA del presidente refleja su total falta de comprensión de la urgencia de las amenazas cibernéticas que enfrentamos y de cómo movilizar al gobierno para ayudar a enfrentarlas», dijo en una declaración a CyberScoop. “A partir de 2023, CISA estaba gastando 2 millones de dólares para contrarrestar las operaciones de información, un esfuerzo lanzado inicialmente a instancias de los republicanos del Congreso durante la primera administración Trump.

«No hay nada que justifique un recorte imprudente de 700 millones de dólares al CISA, particularmente en un momento de tensiones intensificadas con Irán y una China cada vez más agresiva», continuó. «Estoy comprometido a trabajar con mis colegas para hacer frente a estos recortes y garantizar que podamos proteger al gobierno y las redes de infraestructura crítica».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado una falla de seguridad crítica que afecta al Administrador de políticas de acceso (APM) de F5 BIG-IP a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad en cuestión es CVE-2025-53521 (Puntuación CVSS v4: 9,3), lo que podría permitir a un actor de amenazas lograr la ejecución remota de código.

«Cuando se configura una política de acceso BIG-IP APM en un servidor virtual, el tráfico malicioso específico puede conducir a la ejecución remota de código (RCE)», según una descripción de la falla en CVE.org.

Si bien la deficiencia fue inicialmente categorizada y remediada como una vulnerabilidad de denegación de servicio (DoS) con una puntuación CVSS v4 de 8,7, F5 dijo que ha sido reclasificada como un caso de RCE a la luz de «nueva información obtenida en marzo de 2026».

La empresa desde entonces actualizado su aviso para confirmar que la vulnerabilidad «ha sido explotada en las versiones vulnerables de BIG-IP». No compartió ningún detalle adicional sobre quién puede estar detrás de la actividad de explotación.

Sin embargo, F5 compartió un número de indicadores que se puede utilizar para evaluar si el sistema ha sido comprometido –

• Indicadores relacionados con archivos –
  • Presencia de /run/bigtlog.pipe y/o /run/bigstart.ltm.
  • No coinciden los hashes de archivos en comparación con versiones buenas conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
  • No coinciden los tamaños de archivos o las marcas de tiempo en comparación con versiones buenas y conocidas de /usr/bin/umount y/o /usr/sbin/httpd.
  • Cada versión y EHF pueden tener diferentes tamaños de archivo y marcas de tiempo.
• Indicadores relacionados con registros –
  • Una entrada en «/var/log/restjavad-audit..log» que muestra a un usuario local accediendo a la API REST de iControl desde localhost.
  • Una entrada en «/var/log/auditd/audit.log.«que muestra a un usuario local accediendo a la API REST de iControl desde localhost para desactivar SELinux.
  • Los mensajes de registro en «/var/log/audit» muestran los resultados de un comando que se ejecuta en el registro de auditoría.
• Otros TTP observados incluyen:
  • Modificaciones a los componentes subyacentes que el verificador de integridad del sistema, sys-eicheckse basa, lo que resulta en una falla de la herramienta, específicamente /usr/bin/umount y/o /usr/sbin/httpd, lo que indica cambios inesperados en el software del sistema como se mencionó anteriormente.
  • Tráfico HTTP/S del sistema BIG-IP que contiene códigos de respuesta HTTP 201 y tipo de contenido CSS para disfrazar las actividades del atacante.
  • Cambios en los siguientes tres archivos, aunque su presencia por sí sola no indica un problema de seguridad:
    • /var/sam/www/webtop/renderer/apm_css.php3
    • /var/sam/www/webtop/renderer/full_wt.php3
    • /var/sam/www/webtop/renderer/webtop_popup_css.php3

«Hemos observado casos en los que webshell se escribe en el disco; sin embargo, se ha observado que los webshells funcionan sólo en la memoria, lo que significa que los archivos enumerados anteriormente podrían no modificarse», advirtió F5.

El problema afecta a las siguientes versiones:

• 17.5.0 – 17.5.1 (Corregido en la versión 17.5.1.3)
• 17.1.0 – 17.1.2 (Corregido en la versión 17.1.3)
• 16.1.0 – 16.1.6 (Corregido en la versión 16.1.6.1)
• 15.1.0 – 15.1.10 (Corregido en la versión 15.1.10.8)

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 30 de marzo de 2026 para aplicar las correcciones para proteger sus redes.

«Cuando F5 CVE-2025-53521 surgió por primera vez el año pasado como un problema de denegación de servicio, no indicó inmediatamente urgencia, y muchos administradores de sistemas probablemente le dieron prioridad en consecuencia», dijo el CEO y fundador de watchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.

«Avanzando rápidamente hasta el gran momento de hoy: la situación ha cambiado significativamente. Lo que estamos observando ahora es la ejecución remota de código previo a la autenticación y evidencia de explotación en estado salvaje, con una lista CISA KEV para respaldarlo. Ese es un perfil de riesgo muy diferente al que se comunicó inicialmente».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado cinco fallas de seguridad que afectan a Apple, Craft CMS y Laravel Livewire hasta sus vulnerabilidades explotadas conocidas (KEV) catálogo, instando a las agencias federales a parchearlos antes del 3 de abril de 2026.

Las vulnerabilidades que han sido objeto de explotación se enumeran a continuación:

• CVE-2025-31277 (Puntuación CVSS: 8,8): una vulnerabilidad en Apple WebKit que podría provocar daños en la memoria al procesar contenido web creado con fines malintencionados. (Corregido en julio de 2025)
• CVE-2025-43510 (Puntuación CVSS: 7,8): una vulnerabilidad de corrupción de memoria en el componente del kernel de Apple que podría permitir que una aplicación maliciosa provoque cambios inesperados en la memoria compartida entre procesos. (Corregido en diciembre de 2025)
• CVE-2025-43520 (Puntuación CVSS: 8,8): una vulnerabilidad de corrupción de memoria en el componente del kernel de Apple que podría permitir que una aplicación maliciosa cause una terminación inesperada del sistema o escriba en la memoria del kernel. (Corregido en diciembre de 2025)
• CVE-2025-32432 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de código en Craft CMS que podría permitir a un atacante remoto ejecutar código arbitrario. (Corregido en abril de 2025)
• CVE-2025-54068 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de código en Laravel Livewire que podría permitir a atacantes no autenticados lograr la ejecución remota de comandos en escenarios específicos. (Corregido en julio de 2025)

La incorporación de las tres vulnerabilidades de Apple al catálogo KEV se produce a raíz de informes de Google Threat Intelligence Group (GTIG), iVerify y Lookout sobre un kit de explotación de iOS con nombre en código DarkSword que aprovecha estas deficiencias, junto con tres errores, para implementar varias familias de malware como GHOSTBLADE, GHOSTKNIFE y GHOSTSABER para el robo de datos.

Se considera que CVE-2025-32432 ha sido explotado como día cero por actores de amenazas desconocidos desde febrero de 2025, según Orange Cyberdefense SensePost. Desde entonces, también se ha observado un conjunto de intrusiones rastreado como Mimo (también conocido como Hezb) que explota la vulnerabilidad para implementar un minero de criptomonedas y un proxy residencial.

Completando la lista está CVE-2025-54068, cuya explotación fue señalada recientemente por el equipo Ctrl-Alt-Intel Threat Research como parte de ataques organizados por el grupo de hackers patrocinado por el estado iraní, MuddyWater (también conocido como Boggy Serpens).

En un informe publicado a principios de esta semana, la Unidad 42 de Palo Alto Networks denunció los constantes ataques del adversario a infraestructuras diplomáticas y críticas, incluidas las energéticas, marítimas y financieras, en todo el Medio Oriente y otros objetivos estratégicos en todo el mundo.

«Si bien la ingeniería social sigue siendo su característica distintiva, el grupo también está aumentando sus capacidades tecnológicas», Unidad 42 dicho. «Su diverso conjunto de herramientas incluye implantes de malware mejorados con IA que incorporan técnicas antianálisis para una persistencia a largo plazo. Esta combinación de ingeniería social y herramientas de rápido desarrollo crea un perfil de amenaza potente».

«Para respaldar sus campañas de ingeniería social a gran escala, Boggy Serpens utiliza una plataforma de orquestación basada en web hecha a medida», dijo la Unidad 42. «Esta herramienta permite a los operadores automatizar la entrega masiva de correos electrónicos mientras mantienen un control granular sobre las identidades de los remitentes y las listas de objetivos».

Atribuido al Ministerio de Inteligencia y Seguridad de Irán (MOIS), el grupo se centra principalmente en el ciberespionaje, aunque también se le ha vinculado con operaciones disruptivas dirigidas al Instituto de Tecnología Technion de Israel mediante la adopción del personaje del ransomware DarkBit.

Una de las características distintivas del oficio de MuddyWater ha sido el uso de cuentas secuestradas pertenecientes a entidades gubernamentales y corporativas oficiales en sus ataques de phishing, y el abuso de relaciones de confianza para evadir sistemas de bloqueo basados ​​en reputación y distribuir malware.

En una campaña sostenida dirigida a una empresa nacional de energía y marina no identificada en los Emiratos Árabes Unidos entre el 16 de agosto de 2025 y el 11 de febrero de 2026, se dice que el actor de amenazas llevó a cabo cuatro oleadas distintas de ataques, lo que llevó al despliegue de varias familias de malware, incluidos GhostBackDoor y Nuso (también conocido como HTTP_VIP). Algunas de las otras herramientas notables en el arsenal del actor de amenazas incluyen UDPGangster y LampoRAT (también conocido como CHAR).

«La actividad reciente de Boggy Serpens ejemplifica un perfil de amenaza en proceso de maduración, ya que el grupo integra sus metodologías establecidas con mecanismos refinados para la persistencia operativa», dijo la Unidad 42. «Al diversificar su proceso de desarrollo para incluir lenguajes de codificación modernos como Rust y flujos de trabajo asistidos por IA, el grupo crea vías paralelas que garantizan la redundancia necesaria para mantener un ritmo operativo alto».

Los piratas informáticos afiliados a la inteligencia rusa han obtenido acceso a las aplicaciones de mensajería de miles de usuarios con una campaña global de phishing, advirtieron el viernes el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad en un anuncio de servicio público.

Los objetivos de alto valor que persiguen incluyen a funcionarios actuales y anteriores del gobierno estadounidense, figuras políticas, personal militar y periodistas, dijeron las dos agencias en el PSA conjunto sobre los intentos de los piratas informáticos de infiltrarse en aplicaciones de mensajería comercial (CMA).

El alerta estadounidense viene inmediatamente después de un anterior Advertencia de las autoridades holandesas.quien dijo la semana pasada que los piratas informáticos rusos estaban “involucrados en un intento global a gran escala” de apoderarse de las cuentas de WhatsApp y Signal. La advertencia holandesa también siguió a una advertencia similar de Alemania en febrero.

Las agencias estadounidenses enfatizaron que los piratas informáticos no habían podido eludir el cifrado de extremo a extremo, sino que habían manipulado a los usuarios para que renunciaran al acceso. El esquema involucra a piratas informáticos que se hacen pasar por personal de ayuda de Signal y luego los invitan a hacer clic en un enlace o proporcionar códigos de verificación o un número de identificación personal de la cuenta.

«Después de comprometer una cuenta, los actores maliciosos pueden ver los mensajes y las listas de contactos de las víctimas, enviar mensajes y realizar phishing adicional contra otras cuentas CMA», explica la PSA. «(Nota: los informes muestran que los actores de amenazas se dirigen específicamente a las cuentas de Signal, pero pueden aplicar métodos similares contra otras CMA)».

Sin embargo, «los usuarios de CMA que fortalecen su ciberseguridad personal y se defienden contra los intentos de ingeniería social pueden reducir el riesgo de que la cuenta se vea comprometida y limitar la efectividad de las tácticas, técnicas y procedimientos actuales de los actores de amenazas», dijeron las agencias.

La campaña rusa es sólo la última que busca eludir las protecciones que ofrecen las aplicaciones comerciales de mensajería. CISA advirtió en noviembre sobre software espía dirigido a aplicaciones de mensajería.

En ocasiones ha habido un nexo de inteligencia ruso con el reciente ataque. El año pasado, Google Threat Intelligence Group destacó los intentos rusos de atacar a los usuarios de Signal en Ucrania.

«Anticipamos que las tácticas y métodos utilizados para atacar a Signal aumentarán en prevalencia en el corto plazo y proliferarán a actores de amenazas adicionales y regiones fuera del teatro de guerra de Ucrania», dijo la compañía.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha instado a las agencias gubernamentales a aplicar parches para dos fallas de seguridad que afectan Suite de colaboración Synacor Zimbra (ZCS) y Microsoft Office SharePointafirmando que han sido explotados activamente en la naturaleza.

Las vulnerabilidades en cuestión son las siguientes:

• CVE-2025-66376 (Puntuación CVSS: 7,2): una vulnerabilidad de secuencias de comandos entre sitios almacenadas en la interfaz de usuario clásica de ZCS, donde los atacantes podrían abusar de las directivas @import de hojas de estilo en cascada (CSS) en un mensaje de correo electrónico HTML. (Corregido en las versiones 10.0.18 y 10.1.13 en noviembre 2025)
• CVE-2026-20963 (Puntuación CVSS: 8,8): una vulnerabilidad de deserialización de datos no confiables en Microsoft Office SharePoint que permite a un atacante no autorizado ejecutar código a través de una red. (Fijado en enero 2026)

Actualmente no hay informes públicos que hagan referencia a la explotación de las fallas antes mencionadas, quién puede estar aprovechándolas y la escala de dichos esfuerzos. A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen parches para CVE-2025-66376 antes del 1 de abril de 2026 y para CVE-2026-20963 antes del 23 de marzo de 2026.

La divulgación se produce cuando Amazon reveló que los actores de amenazas asociados con el ransomware Interlock han explotado una falla de seguridad de máxima gravedad que afecta el software de administración de firewall de Cisco (CVE-2026-20131, puntuación CVSS: 10.0) desde el 26 de enero de 2026, más de un mes antes de que se divulgara públicamente.

«Históricamente, Interlock se ha dirigido a sectores específicos donde la interrupción operativa crea la máxima presión para el pago», dijo Amazon. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, industria, atención médica y entidades gubernamentales.

El ataque destaca una vez más un patrón persistente de actores de amenazas que apuntan a dispositivos de red perimetrales de diferentes proveedores, incluidos Cisco, Fortinet, Ivanti y otros, para obtener acceso inicial a las redes de destino. El hecho de que CVE-2026-20131 se haya convertido en un arma de día cero muestra que los atacantes están invirtiendo tiempo y recursos para encontrar fallas previamente desconocidas que podrían otorgarles un acceso elevado.

El gobierno de Estados Unidos no debería ceñirse rígidamente a las designaciones tradicionales sobre qué agencia toma la iniciativa en la interacción con sectores de infraestructura críticos, dijo el martes el director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad.

Las designaciones de agencias de gestión de riesgos sectoriales han determinado durante mucho tiempo qué agencia está a la vanguardia de los esfuerzos gubernamentales para proteger cada uno de los 16 sectores de infraestructura crítica, siendo CISA responsable de ocho de ellos.

«Cuando analizamos la estructura de nuestra agencia de gestión de riesgos del sector, eso es importante por muchas razones. Es menos importante cumplir con eso estrictamente y decir 'CISA es la Agencia de Gestión de Riesgos del Sector para las telecomunicaciones'», dijo Nick Andersen de CISA en un evento organizado por el Instituto McCrary de la Universidad de Auburn.

Más bien, al responder a incidentes cibernéticos o emprender otros compromisos con el sector privado, la pregunta debería ser quién tiene la mejor relación con un determinado sector.

«Es posible que tengamos algunos propietarios-operadores dentro de un determinado sector de infraestructura crítica y tal vez la persona de la que estén mejor posicionados para recibir recursos seamos nosotros, o tal vez sea [Department of] Energía, o tal vez sea la EPA, o tal vez sea el FBI o la NSA, etc., etc.», dijo. «Simplemente tenemos que sentirnos cómodos quitándonos esas anteojeras y diciendo: 'No necesariamente necesito estar a cargo todo el tiempo, sin importar quién sea'. Sólo necesito asegurarme de que este propietario-operador tenga el mejor socio preparado para liderar ese compromiso'”.

El objetivo es evitar otra “situación en Guam”, en la que “todo el mundo corría hacia Guam durante los últimos años como niños persiguiendo un balón de fútbol”, dijo Andersen. Guam fue escenario de ataques a infraestructuras críticas contra bases militares estadounidenses que Microsoft atribuyó al grupo de hackers chino Volt Typhoon en 2023.

Un ataque al sector de las telecomunicaciones por parte de otro grupo “Typhoon”, Salt Typhoon, generó dudas sobre si CISA tiene las manos demasiado ocupadas con todas sus responsabilidades como agencia de gestión de riesgos del sector. El presidente de Seguridad Nacional de la Cámara de Representantes, Andrew Garbarino, RN.Y., planteó preocupaciones el año pasado sobre cómo CISA manejó su papel de agencia de gestión de riesgos sectoriales para el sector de las telecomunicaciones después de que se descubriera la campaña del tifón de sal.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado una falla de seguridad de gravedad media que afecta a Wing FTP a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad, CVE-2025-47813 (Puntuación CVSS: 4,3), es una vulnerabilidad de divulgación de información que filtra la ruta de instalación de la aplicación bajo ciertas condiciones.

«Wing FTP Server contiene una generación de mensajes de error que contienen vulnerabilidades de información confidencial cuando se utiliza un valor largo en la cookie UID», dijo CISA.

La deficiencia afecta a todas las versiones del software anteriores a la versión 7.4.3 incluida. El problema se solucionó en la versión 7.4.4, enviada en mayo luego de una divulgación responsable por parte del investigador de seguridad de RCE, Julien Ahrens.

Vale la pena señalar que la versión 7.4.4 también parchea CVE-2025-47812 (puntaje CVSS: 10.0), otro error crítico en el mismo producto que permite la ejecución remota de código. En julio de 2025, la vulnerabilidad se encuentra bajo explotación activa en la naturaleza.

Según los detalles compartidos por Huntress en ese momento, los atacantes lo aprovecharon para descargar y ejecutar archivos Lua maliciosos, realizar reconocimientos e instalar software de administración y monitoreo remoto.

Ahrens, en un exploit de prueba de concepto (PoC), compartido en GitHub, señaló que el punto final en «/loginok.html» no valida adecuadamente el valor de la cookie de sesión «UID». Como resultado, si el valor proporcionado es más largo que el tamaño de ruta máximo del sistema operativo subyacente, genera un mensaje de error que revela la ruta completa del servidor local.

«Los exploits exitosos pueden permitir que un atacante autenticado obtenga la ruta del servidor local de la aplicación, lo que puede ayudar a explotar vulnerabilidades como CVE-2025-47812», el investigador agregado.

Actualmente no hay detalles sobre cómo se explota la vulnerabilidad en la naturaleza y si se abusa de ella junto con CVE-2025-47812. A la luz de los últimos acontecimientos, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 30 de marzo de 2026.