Una serie de vulnerabilidades críticas que afectan a los productos de Adobe, Fortinet, Microsoft y SAP han ocupado un lugar central en los lanzamientos del martes de parches de abril.

Encabezando la lista se encuentra una vulnerabilidad de inyección SQL que afecta a SAP Business Planning and Consolidation y SAP Business Warehouse (CVE-2026-27681puntuación CVSS: 9,9) que podría dar lugar a la ejecución de comandos arbitrarios de la base de datos.

«El programa ABAP vulnerable permite a un usuario con pocos privilegios cargar un archivo con sentencias SQL arbitrarias que luego se ejecutarán», Onapsis dicho en un aviso.

En un posible escenario de ataque, un mal actor podría abusar de la funcionalidad relacionada con la carga afectada para ejecutar SQL malicioso contra almacenes de datos BW/BPC, extraer datos confidenciales y eliminar o corromper el contenido de la base de datos.

«Las cifras de planificación manipuladas, los informes rotos o los datos de consolidación eliminados pueden socavar los procesos cerrados, los informes ejecutivos y la planificación operativa», Pathlock dicho. «En las manos equivocadas, este problema también crea un camino creíble hacia el robo sigiloso de datos y la interrupción abierta del negocio».

Otra vulnerabilidad de seguridad que merece una mención es la ejecución remota de código de gravedad crítica en Adobe Acrobat Reader (CVE-2026-34621, puntuación CVSS: 8,6) que ha sido objeto de explotación activa en la naturaleza.

Dicho esto, hay muchas incógnitas en este momento. No está claro cuántas personas se han visto afectadas por la campaña de piratería. Tampoco hay información sobre quién está detrás de la actividad, quién está siendo atacado y cuáles podrían ser sus motivos.

También parcheado por Adobe son cinco fallas críticas en las versiones 2025 y 2023 de ColdFusion que, si se explota con éxito, podría provocar la ejecución de código arbitrario, denegación de servicio de la aplicación, lectura arbitraria del sistema de archivos y omisión de funciones de seguridad.

Las vulnerabilidades se enumeran a continuación:

• CVE-2026-34619 (Puntuación CVSS: 7,7): una vulnerabilidad de recorrido de ruta que conduce a la omisión de una característica de seguridad
• CVE-2026-27304 (Puntuación CVSS: 9,3): una vulnerabilidad de validación de entrada incorrecta que conduce a la ejecución de código arbitrario
• CVE-2026-27305 (Puntuación CVSS: 8,6): una vulnerabilidad de recorrido de ruta que conduce a una lectura arbitraria del sistema de archivos
• CVE-2026-27282 (Puntuación CVSS: 7,5) – Una vulnerabilidad de validación de entrada incorrecta que conduce a la omisión de la función de seguridad
• CVE-2026-27306 (Puntuación CVSS: 8,4): una vulnerabilidad de validación de entrada incorrecta que conduce a la ejecución de código arbitrario

También se han publicado correcciones para dos vulnerabilidades críticas de FortiSandbox que podrían provocar la omisión de autenticación y la ejecución de código:

• CVE-2026-39813 (Puntuación CVSS: 9.1): una vulnerabilidad de recorrido de ruta en la API JRPC de FortiSandbox que podría permitir que un atacante no autenticado omita la autenticación a través de solicitudes HTTP especialmente diseñadas. (Corregido en las versiones 4.4.9 y 5.0.6)
• CVE-2026-39808 (Puntuación CVSS: 9.1): una vulnerabilidad de inyección de comandos del sistema operativo en FortiSandbox que podría permitir que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes HTTP diseñadas. (Corregido en la versión 4.4.9)

El desarrollo se produce cuando Microsoft abordó la asombrosa cantidad de 169 defectos de seguridad, incluida una vulnerabilidad de suplantación de identidad que afecta a Microsoft SharePoint Server (CVE-2026-32201, puntuación CVSS: 6,5) que podría permitir a un atacante ver información confidencial. La compañía dijo que está siendo explotado activamente, aunque no hay información sobre la explotación salvaje asociada con el error.

«Los servicios de SharePoint, especialmente aquellos utilizados como almacenes de documentos internos, pueden ser un tesoro para los actores de amenazas que buscan robar datos, especialmente datos que pueden aprovecharse para forzar pagos de rescate utilizando técnicas de doble extorsión, amenazando con revelar los datos robados si no se realiza el pago», dijo Kev Breen, director senior de investigación de amenazas de Immersive.

«Una preocupación secundaria es que los actores de amenazas con acceso a los servicios de SharePoint podrían desplegar documentos armados o reemplazar documentos legítimos con versiones infectadas que les permitirían propagarse a otros hosts o víctimas que se mueven lateralmente por toda la organización».

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:

• TEJIDO
• Servicios web de Amazon
• AMD
• Manzana
• ASUS
• aveva
• Broadcom (incluido VMware)
• Canon
• cisco
• citrix
• CODESYS
• Enlace D
• Sistemas Dassault
• Dell
• Devoluciones
• dormakaba
• drupal
• Elástico
• F5
• Fortinet
• Software Foxit
• FUJIFILM
• gigabyte
• GitLab
• Google Androide y Píxel
• Google Chrome
• Nube de Google
• Grafana
• Energía Hitachi
• caballos de fuerza
• HP empresarial (incluyendo Aruba Networking y Redes de enebro)
• Huawei
• IBM
• Ivanti
• Jenkins
• lenovo
• Distribuciones de Linux AlmaLinux, Linux alpino, amazonlinux, Arco Linux, Debian, Gentoo, Oráculo Linux, magia, sombrero rojo, Linux rocoso, SUSEy ubuntu
• MediaTek
• Mitel
• Mitsubishi Electrico
• MongoDB
• moxa
• Mozilla Firefox, Firefox ESR y Thunderbird
• NETGEAR
• Nodo.js
• Nvidia
• propia nube
• Redes de Palo Alto
• Contacto Fénix
• Software de progreso
• QNAP
• Qualcomm
• Automatización Rockwell
• Alboroto inalámbrico
• Samsung
• Electricidad Schneider
• siemens
• SonicWall
• Splunk
• Marco de primavera
• supermicro
• Sinología
• TP-Link
• GuardiaGuardiay
• Xiaomi

Se ha observado una campaña activa dirigida a instancias expuestas a Internet que ejecutan ComfyUI, una popular plataforma de difusión estable, para incluirlas en una botnet proxy y de minería de criptomonedas.

«Un escáner Python especialmente diseñado barre continuamente los principales rangos de IP de la nube en busca de objetivos vulnerables, instalando automáticamente nodos maliciosos a través de ComfyUI-Manager si no hay ningún nodo explotable presente», dijo el investigador de seguridad de Censys, Mark Ellzey. dicho en un informe publicado el lunes.

La actividad de ataque, en esencia, busca sistemáticamente instancias expuestas de ComfyUI y explota una configuración incorrecta que permite la ejecución remota de código en implementaciones no autenticadas a través de nodos personalizados.

Tras una explotación exitosa, los hosts comprometidos se agregan a una operación de criptominería que extrae Monero a través de XMRig y Conflux a través de lolMiner, así como a una botnet Hysteria V2. Ambos se administran de forma centralizada a través de un panel de comando y control (C2) basado en Flask.

Los datos de las plataformas de gestión de superficies de ataque muestran que hay más de 1000 instancias de ComfyUI de acceso público. Si bien no es un número enorme, es suficiente para que un actor de amenazas ejecute campañas oportunistas para obtener ganancias financieras.

Censys dijo que descubrió la campaña el mes pasado después de identificar un directorio abierto en 77.110.96[.]200una dirección IP asociada con un proveedor de servicios de hosting a prueba de balas, Aeza Group. Se dice que el directorio contenía un conjunto de herramientas no documentadas previamente para llevar a cabo los ataques.

Esto incluye dos herramientas de reconocimiento para enumerar las instancias de ComfyUI expuestas en la infraestructura de la nube, identificar aquellas que tienen instalado ComfyUI-Manager y seleccionar aquellas que son susceptibles al exploit de ejecución de código.

Uno de los dos scripts de Python del escáner también funciona como un marco de explotación que utiliza los nodos personalizados de ComfyUI como arma para lograr la ejecución del código. Esta técnica, algunos aspectos de los cuales fueron documentado por Snyk en diciembre de 2024, aprovecha el hecho de que algunos nodos personalizados aceptan código Python sin formato como entrada y lo ejecutan directamente sin requerir ninguna autenticación.

Como resultado, un atacante puede escanear instancias expuestas de ComfyUI en busca de familias de nodos personalizados específicos que admitan la ejecución de código arbitrario, convirtiendo efectivamente el servicio en un canal para entregar cargas útiles de Python controladas por el atacante. Algunas de las familias de nodos personalizados que el ataque busca particularmente se enumeran a continuación:

• Vova75Rus/ComfyUI-Shell-Executor
• filliptm/ComfyUI_Fill-Nodes
• seanlynch/srl-nodos
• ruiqutech/ComfyUI-RuiquNodes

«Si ninguno de los nodos objetivo está presente, el escáner comprueba si ComfyUI-Manager está instalado», dijo Censys. «Si está disponible, instala él mismo un paquete de nodo vulnerable y luego vuelve a intentar la explotación».

Vale la pena señalar que «ComfyUI-Shell-Executor» es un paquete malicioso creado por el atacante para recuperar un script de shell de la siguiente etapa («ghost.sh») de la dirección IP antes mencionada. Una vez que se obtiene la ejecución del código, el escáner elimina la evidencia del exploit borrando el historial de mensajes de ComfyUI.

Una versión más nueva del escáner también incorpora mecanismos de persistencia que hacen que el script de shell se descargue cada seis horas y que el flujo de trabajo del exploit se vuelva a ejecutar cada vez que se inicia ComfyUI.

El script de shell, por su parte, desactiva el historial de shell, elimina a los mineros competidores, inicia el proceso de minería y utiliza el gancho LD_PRELOAD para ocultar un proceso de vigilancia que garantiza que el proceso de minería se recupere en caso de que finalice.

Además, el programa minero se copia en varias ubicaciones, de modo que incluso si se borra el directorio de instalación principal, se puede iniciar desde una de las ubicaciones alternativas. Un tercer mecanismo que utiliza el malware para garantizar la persistencia es el uso del «chattr +i«comando para bloquear los archivos binarios del minero y evitar que sean eliminados, modificados o renombrados, incluso por el usuario root.

«También hay un código dedicado dirigido a un competidor específico, ‘Hisana’ (al que se hace referencia en todo el código), que parece ser otra botnet de minería», explicó Censys. «En lugar de simplemente matarlo, ghost.sh sobrescribe su configuración para redirigir la producción minera de Hisana a su propia dirección de billetera, luego ocupa el puerto C2 de Hisana (10808) con un oyente Python ficticio para que Hisana no pueda reiniciarse».

Los hosts infectados se controlan mediante un panel C2 basado en Flask, que permite al operador enviar instrucciones o implementar cargas útiles adicionales, incluido un script de shell que instala Hysteria V2 con el objetivo probable de vender nodos comprometidos como servidores proxy.

Un análisis más detallado del historial de comandos de shell del atacante ha revelado un intento de inicio de sesión SSH como root en la dirección IP. 120.241.40[.]237que se ha relacionado con un campaña de gusanos en curso dirigido a servidores de bases de datos Redis expuestos.

«Gran parte de las herramientas en este repositorio parecen ensambladas apresuradamente, y las tácticas y técnicas generales podrían sugerir inicialmente una actividad poco sofisticada», dijo Censys. «Específicamente, el operador identifica instancias expuestas de ComfyUI que ejecutan nodos personalizados, determina cuáles de esos nodos exponen una funcionalidad insegura y luego los utiliza como vía para la ejecución remota de código».

«La infraestructura a la que accede el operador respalda aún más la idea de que esta actividad es parte de una campaña más amplia centrada en descubrir y explotar servicios expuestos, seguida del despliegue de herramientas personalizadas para persistencia, escaneo o monetización».

El descubrimiento coincide con la aparición de múltiples campañas de botnets en las últimas semanas.

• Explotación de vulnerabilidades de inyección de comandos en enrutadores n8n (CVE-2025-68613) y Tenda AC1206 (CVE-2025-7544) a agregarlos a una botnet basada en Mirai conocida como Zerobot.
• Explotación de vulnerabilidades en Apache ActiveMQ (CVE-2023-46604), Metabase (CVE-2023-38646) y React Server Components (CVE-2025-55182 también conocido como React2Shell) para entregar Kinsing, un malware persistente utilizado para la minería de criptomonedas y el lanzamiento de ataques de denegación de servicio distribuido (DDoS).
• Explotación de una supuesta vulnerabilidad de día cero en el almacenamiento conectado en red (NAS) de fnOS para atacar sistemas expuestos a Internet e implantarlos con un malware DDoS llamado netdragon. «NetDragon establece una interfaz de puerta trasera HTTP en los dispositivos comprometidos, lo que permite a los atacantes acceder y controlar de forma remota los sistemas infectados», dijo QiAnXin XLab. «Altera el archivo ‘hosts’ para secuestrar los dominios oficiales de actualización del sistema Feiniu NAS, evitando efectivamente que los dispositivos obtengan actualizaciones del sistema y parches de seguridad».
• Ampliación de la lista de exploits de RondoDox a 174 vulnerabilidades diferentes, al tiempo que se cambia la metodología de ataque de un «enfoque directo» a fallas más específicas y recientes que tienen más probabilidades de provocar infecciones.
• Explotación de vulnerabilidades de seguridad conocidas implementar una nueva variante de Condi, un malware de Linux que convierte los dispositivos Linux comprometidos en robots capaces de realizar ataques DDoS. El binario hace referencia a una cadena «QTXBOT», que indica el nombre de la versión bifurcada o el nombre del proyecto interno.
• Ataques de fuerza bruta contra servidores SSH para lanzar un minero XMRig y generar ingresos ilícitos en criptomonedas como parte de una operación activa de criptojacking llamada Mónaco. También se han identificado contraseñas SSH débiles. utilizados como vías de ataque para implementar malware que establece persistencia, mata a los mineros competidores, se conecta a un servidor externo y realiza un escaneo ZMap para propagar el malware en forma de gusano a otros hosts vulnerables.

«La actividad de botnets ha aumentado durante el último año, y Spauhaus observó aumentos del 26 % y del 24 % en los dos períodos de seis meses de enero a junio de 2025 y de julio a diciembre de 2025, respectivamente», Pulsedive dicho.

«Este aumento está asociado con la aparición de bots y nodos en los Estados Unidos. El aumento también se debe a la disponibilidad de código fuente para botnets como Mirai. Las ramas y variantes de Mirai son responsables de algunos de los mayores ataques DDoS por volumen».

Los actores de amenazas están explotando una falla de seguridad de máxima gravedad en fluiruna plataforma de inteligencia artificial (IA) de código abierto, según nuevos hallazgos de VulnCheck.

La vulnerabilidad en cuestión es CVE-2025-59528 (Puntuación CVSS: 10.0), una vulnerabilidad de inyección de código que podría resultar en la ejecución remota de código.

«El nodo CustomMCP permite a los usuarios ingresar ajustes de configuración para conectarse a un servidor MCP (Protocolo de contexto modelo) externo», Flowise dicho en un aviso publicado en septiembre de 2025. «Este nodo analiza la cadena mcpServerConfig proporcionada por el usuario para crear la configuración del servidor MCP. Sin embargo, durante este proceso, ejecuta código JavaScript sin ninguna validación de seguridad».

Flowise señaló que la explotación exitosa de la vulnerabilidad puede permitir el acceso a módulos peligrosos como child_process (ejecución de comandos) y fs (sistema de archivos), ya que se ejecuta con privilegios completos de tiempo de ejecución de Node.js.

Dicho de otra manera, un actor de amenazas que utiliza la falla como arma puede ejecutar código JavaScript arbitrario en el servidor Flowise, lo que compromete todo el sistema, el acceso al sistema de archivos, la ejecución de comandos y la filtración de datos confidenciales.

«Como sólo se requiere un token API, esto plantea un riesgo de seguridad extremo para la continuidad del negocio y los datos de los clientes», añadió Flowise. Le dio crédito a Kim SooHyun por descubrir e informar la falla. El problema se solucionó en la versión 3.0.6 del paquete npm.

Según los detalles compartidos por VulnCheck, la actividad de explotación de la vulnerabilidad se originó en una única dirección IP de Starlink. CVE-2025-59528 es el tercer defecto de Flowise con explotación salvaje después CVE-2025-8943 (Puntuación CVSS: 9,8), un comando del sistema operativo, ejecución remota de código, y CVE-2025-26319 (Puntuación CVSS: 8,9), una carga de archivo arbitraria.

«Este es un error de gravedad crítica en una popular plataforma de inteligencia artificial utilizada por varias grandes corporaciones», dijo a The Hacker News Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, en un comunicado.

«Esta vulnerabilidad específica ha sido pública durante más de seis meses, lo que significa que los defensores han tenido tiempo para priorizar y parchear la vulnerabilidad. La superficie de ataque de Internet de más de 12.000 instancias expuestas hace que los intentos de exploración y explotación activos que estamos viendo sean más serios, ya que significa que los atacantes tienen muchos objetivos para reconocer y explotar de manera oportunista».

Se sospecha que un actor de amenazas del nexo con Irán está detrás de una campaña de pulverización de contraseñas dirigida a entornos de Microsoft 365 en Israel y los Emiratos Árabes Unidos en medio del conflicto en curso en el Medio Oriente.

La actividad, considerada en curso, se llevó a cabo en tres oleadas de ataques distintas que tuvieron lugar el 3 de marzo, el 13 de marzo y el 23 de marzo de 2026, según Check Point.

«La campaña se centra principalmente en Israel y los Emiratos Árabes Unidos, impactando a más de 300 organizaciones en Israel y más de 25 en los Emiratos Árabes Unidos», dijo la empresa israelí de ciberseguridad. dicho. «También se observó actividad asociada con el mismo actor contra un número limitado de objetivos en Europa, Estados Unidos, Reino Unido y Arabia Saudita».

Se considera que la campaña se ha dirigido a entornos de nube de entidades gubernamentales, municipios, organizaciones de tecnología, transporte, sector energético y empresas del sector privado de la región.

La pulverización de contraseñas es una forma de ataque de fuerza bruta en la que un actor de amenazas intenta utilizar una única contraseña común contra varios nombres de usuario en la misma aplicación. También se considera una forma más eficaz de descubrir credenciales débiles a escala sin activar defensas que limiten la velocidad.

Check Point dijo que se sabe que la técnica fue adoptada por grupos de hackers iraníes como Peach Sandstorm y Gray Sandstorm (anteriormente DEV-0343) en el pasado para infiltrarse en las redes objetivo.

Básicamente, la campaña se desarrolla en tres fases: escaneo agresivo o pulverización de contraseñas realizado desde los nodos de salida de Tor, seguido de la realización del proceso de inicio de sesión y la filtración de datos confidenciales, como el contenido del buzón.

«El análisis de los registros de M365 sugiere similitudes con Gray Sandstorm, incluido el uso de herramientas del equipo rojo para realizar estos ataques a través de nodos de salida Tor», dijo Check Point. «El actor de amenazas utilizó nodos VPN comerciales alojados en AS35758 (Rachamim Aviel Twito), lo que se alinea con la actividad reciente vinculada a las operaciones del nexo con Irán en el Medio Oriente».

Para contrarrestar la amenaza, se recomienda a las organizaciones que supervisen los registros de inicio de sesión en busca de signos de pulverización de contraseñas, apliquen controles de acceso condicional para limitar la autenticación a ubicaciones geográficas aprobadas, apliquen la autenticación multifactor (MFA) para todos los usuarios y habiliten registros de auditoría para la investigación posterior al compromiso.

Irán revive las operaciones clave de Pay2

La divulgación se produce cuando una organización de atención médica estadounidense fue atacada a fines de febrero de 2026 por Pay2Key, una banda de ransomware iraní con vínculos con el gobierno del país. La operación de ransomware como servicio (RaaS), que tiene vínculos con el grupo Fox Kitten, surgió por primera vez en 2020.

La variante implementada en el ataque es una actualización de campañas anteriores observadas en julio de 2025, que utiliza técnicas mejoradas de evasión, ejecución y antiforenses para lograr sus objetivos. Según Beazley Security y Halcyon, no se exfiltró ningún dato durante el ataque, un cambio con respecto al manual de doble extorsión del grupo.

Se dice que el ataque aprovechó una ruta de acceso indeterminada para violar la organización, utilizando una herramienta legítima de acceso remoto como TeamViewer para establecer un punto de apoyo, luego recolectar credenciales para el movimiento lateral, desarmar Microsoft Defender Antivirus al señalar falsamente que un producto antivirus de terceros está activo, inhibir la recuperación, implementar ransomware, enviar una nota de rescate y borrar registros para cubrir las pistas.

«Al borrar los registros al final de la ejecución en lugar de al principio, los actores garantizan que incluso se borre la propia actividad del ransomware, no solo lo que la precedió», Halcyon dicho.

Entre los cambios clave que el grupo promulgó tras su regreso el año pasado estuvo ofrecer a sus afiliados un recorte del 80% de las ganancias del rescate, frente al 70%, por participar en ataques contra los enemigos de Irán. Un mes después, se detectó en libertad una variante para Linux del ransomware Pay2Key.

«La muestra se basa en la configuración, requiere privilegios de nivel raíz para su ejecución y está diseñada para atravesar un amplio alcance del sistema de archivos, clasificar montajes y cifrar datos usando ChaCha20 en modo total o parcial», Ilia Kulmin, investigadora de Morphisec dicho en un informe publicado el mes pasado.

«Antes del cifrado, debilita las defensas y elimina la fricción al detener servicios, eliminar procesos, deshabilitar SELinux y AppArmor e instalar una entrada cron en el momento del reinicio. Esto permite que el cifrador se ejecute más rápido y sobreviva a los reinicios».

En marzo de 2026, Halcyon también reveló que el administrador del ransomware Sicarii, Uke, instó a los operadores proiraníes a utilizar Baqiyat 313 Locker (también conocido como BQTlock) debido a la afluencia de solicitudes de afiliados. BQTLock, que opera con motivos propalestinos, ha apuntado a los Emiratos Árabes Unidos, Estados Unidos e Israel desde julio de 2025.

«Irán tiene un largo historial de uso de operaciones cibernéticas para tomar represalias contra desaires políticos percibidos», dijo la empresa de ciberseguridad. dicho. «El ransomware se incorpora cada vez más a estas operaciones, con campañas de ransomware que desdibujan la línea entre la extorsión criminal y el sabotaje patrocinado por el Estado».

Se ha observado que los actores de amenazas asociados con las operaciones de ransomware Qilin y Warlock utilizan la técnica de traer su propio controlador vulnerable (BYOVD) para silenciar las herramientas de seguridad que se ejecutan en hosts comprometidos, según los hallazgos de Cisco Talos y Trend Micro.

Se ha descubierto que los ataques Qilin analizados por Talos implementan una DLL maliciosa llamada «msimg32.dll», que inicia una cadena de infección de varias etapas para deshabilitar las soluciones de detección y respuesta de endpoints (EDR). La DLL, lanzada mediante carga lateral de DLL, es capaz de terminar más de 300 controladores EDR de casi todos los proveedores de seguridad del mercado.

«La primera etapa consta de un cargador PE responsable de preparar el entorno de ejecución para el componente asesino de EDR», afirman los investigadores de Talos Takahiro Takeda y Holger Unterbrink. dicho. «Esta carga útil secundaria está integrada en el cargador de forma cifrada».

El cargador de DLL implementa una serie de técnicas para evadir la detección. Neutraliza los enlaces del modo de usuario, suprime los registros de eventos de Event Tracing for Windows (ETW) y toma medidas para ocultar el flujo de control y los patrones de invocación de API. Como resultado, permite que la carga útil principal del asesino de EDR se descifre, cargue y ejecute completamente en la memoria mientras pasa completamente desapercibida.

Una vez iniciado, el malware utiliza dos controladores:

• rwdrv.sys, una versión renombrada de «ThrottleStop.sys» que se utiliza para obtener acceso a la memoria física del sistema y actuar como una capa de acceso al hardware en modo kernel.
• hlpdrv.sys, para finalizar procesos asociados con más de 300 controladores EDR diferentes que pertenecen a diversas soluciones de seguridad.

Vale la pena señalar que ambos controladores se han utilizado como parte de ataques BYOVD llevados a cabo junto con intrusiones de ransomware Akira y Makop.

«Antes de cargar el segundo controlador, el componente asesino de EDR cancela el registro de las devoluciones de llamadas de monitoreo establecidas por el EDR, lo que garantiza que la terminación del proceso pueda continuar sin interferencias», dijo Talos. «Demuestra los trucos sofisticados que emplea el malware para eludir o desactivar por completo las funciones modernas de protección EDR en sistemas comprometidos».

Según las estadísticas recopiladas por CYFIRMA y cinetQilin tiene surgió como el grupo de ransomware más activo en los últimos meses, cobrándose cientos de víctimas. El grupo ha sido vinculado a 22 de los 134 incidentes de ransomware reportados en Japón en 2025, lo que representa el 16,4% de todos los ataques.

«Qilin se basa principalmente en credenciales robadas para obtener acceso inicial», Talos dicho. «Después de traspasar con éxito un entorno objetivo, el grupo pone un énfasis considerable en las actividades posteriores al compromiso, lo que le permite expandir metódicamente su control y maximizar el impacto».

El proveedor de ciberseguridad también señaló que la ejecución de ransomware se produjo en promedio aproximadamente seis días después del compromiso inicial, lo que destaca la necesidad de que las organizaciones detecten la actividad maliciosa en la etapa más temprana posible y eviten la implementación de ransomware.

La divulgación se produce mientras el grupo de ransomware Warlock (también conocido como Water Manaul) continúa explotando servidores Microsoft SharePoint sin parches, mientras actualiza su conjunto de herramientas para mejorar la persistencia, el movimiento lateral y la evasión de defensa. Esto incluye el uso de TightVNC para un control persistente y una solución legítima pero vulnerable. controlador NSec («NSecKrnl.sys») en un ataque BYOVD para cancelar productos de seguridad a nivel de kernel, reemplazando el controlador «googleApiUtil64.sys» utilizado en campañas anteriores.

También se observaron durante el curso del ataque de Warlock en enero de 2026 las siguientes herramientas:

• PsExecpara movimiento lateral.
• RDP Patcher, para facilitar sesiones RDP simultáneas.
• Velociraptor, para comando y control (C2).
• Visual Studio Code y Cloudflare Tunnel, para tunelizar las comunicaciones C2.
• yuzepara la penetración de la intranet y el establecimiento de una conexión de proxy inverso al servidor C2 del atacante a través de HTTP (puerto 80), HTTPS (puerto 443) y DNS (puerto 53).
• Rclone, para exfiltración de datos.

Para contrarrestar las amenazas BYOVD, se recomienda permitir únicamente controladores firmados de editores de confianza explícita, monitorear los eventos de instalación de controladores y mantener un programa riguroso de administración de parches para actualizar el software de seguridad, específicamente aquellos con componentes basados ​​en controladores que podrían explotarse.

«La dependencia de Warlock de controladores vulnerables para desactivar los controles de seguridad requiere una defensa de múltiples capas centrada en la integridad del kernel», Trend Micro dicho. «Por lo tanto, las organizaciones deben pasar de una protección básica de endpoints a aplicar una estricta gobernanza de los controladores y un monitoreo en tiempo real de las actividades a nivel del kernel».

El presupuesto fiscal 2027 del presidente Donald Trump recortaría el total de la Agencia de Seguridad de Infraestructura y Ciberseguridad en $707 millonessegún un resumen publicado el viernes, lo que reduciría profundamente una agencia que ya recibió un gran golpe en el primer año de Trump.

Otro documento presupuestario sugiere un impacto menor, pero aún sustancial, de $361 millones, y la discrepancia posiblemente se deba a los puntos de comparación en medio de la incertidumbre presupuestaria para la agencia matriz de CISA, el Departamento de Seguridad Nacional. DHS y CISA no respondieron de inmediato a una solicitud de aclaración.

“En el momento en que se preparó el Presupuesto, el proyecto de ley de asignaciones de 2026 para el Departamento de Seguridad Nacional no estaba promulgado, y los fondos proporcionados por la última resolución continua bajo la cual había estado operando (Ley de Asignaciones Continuas, 2026, división A de la Ley Pública 119-37, modificada por la división H de la Ley Pública 119-75) habían caducado”, señala el resumen del presupuesto. «Las referencias al gasto de 2026 en el texto y las tablas para programas y actividades normalmente previstas en el proyecto de ley de asignaciones para todo el año reflejan el nivel anualizado proporcionado por la última resolución continua».

Según cualquiera de las mediciones, el presupuesto propuesto recortaría profundamente una agencia que inició la administración Trump con aproximadamente $3 mil millones, y estaría sustancialmente por debajo si el Congreso promulga el último plan. El apéndice del presupuesto dice que CISA terminaría con poco más de 2.000 millones de dólares en financiación discrecional según el plan de Trump. Para el año fiscal 2026, los apropiadores buscaron mitigar algunas de las reducciones CISA propuestas por Trump.

El resumen del presupuesto de 2027 recicla un lenguaje idéntico del resumen del presupuesto de 2026 y hace referencia a la finalización de programas que CISA ya ha cerrado.

“El Presupuesto reenfoca a CISA en su misión principal: la defensa de la red federal y la mejora de la seguridad y la resiliencia de la infraestructura crítica, al tiempo que elimina el uso de armas y el desperdicio”, afirma el resumen en los documentos de 2026 y 2027.

Hace referencia a deshacerse de cosas que ya se han recortado, como «oficinas de participación externa como la gestión del consejo, la participación de las partes interesadas y los asuntos internacionales». Habla de poner fin a los programas centrados en la censura, algo que CISA bajo la administración Biden dijo que nunca había hecho, y de la “llamada” desinformación, que CISA dijo que puso fin durante el mandato del expresidente.

El representante de Mississippi Bennie Thompson, el principal demócrata en el Comité de Seguridad Nacional de la Cámara de Representantes, criticó la propuesta de presupuesto para CISA.

«Al igual que la estrategia cibernética del presidente, el presupuesto CISA del presidente refleja su total falta de comprensión de la urgencia de las amenazas cibernéticas que enfrentamos y de cómo movilizar al gobierno para ayudar a enfrentarlas», dijo en una declaración a CyberScoop. “A partir de 2023, CISA estaba gastando 2 millones de dólares para contrarrestar las operaciones de información, un esfuerzo lanzado inicialmente a instancias de los republicanos del Congreso durante la primera administración Trump.

«No hay nada que justifique un recorte imprudente de 700 millones de dólares al CISA, particularmente en un momento de tensiones intensificadas con Irán y una China cada vez más agresiva», continuó. «Estoy comprometido a trabajar con mis colegas para hacer frente a estos recortes y garantizar que podamos proteger al gobierno y las redes de infraestructura crítica».

manzana el miercoles expandido la disponibilidad de iOS 18.7.7 y iPadOS 18.7.7 en una gama más amplia de dispositivos para proteger a los usuarios del riesgo que representa un kit de explotación recientemente revelado conocido como DarkSword.

«Habilitamos la disponibilidad de iOS 18.7.7 para más dispositivos el 1 de abril de 2026, por lo que los usuarios con las Actualizaciones automáticas activadas pueden recibir automáticamente importantes protecciones de seguridad contra ataques web llamados DarkSword», dijo la compañía. «Las correcciones asociadas con el exploit DarkSword se enviaron por primera vez en 2025».

La actualización está disponible para los siguientes dispositivos:

• iPhone XR, iPhone XS, iPhone XS Max, iPhone 11 (todos los modelos), iPhone SE (segunda generación), iPhone 12 (todos los modelos), iPhone 13 (todos los modelos), iPhone SE (tercera generación), iPhone 14 (todos los modelos), iPhone 15 (todos los modelos), iPhone 16 (todos los modelos) y iPhone 16e.
• iPad mini (quinta generación – A17 Pro), iPad (séptima generación – A16), iPad Air (tercera – quinta generación), iPad Air de 11 pulgadas (M2 – M3), iPad Air de 13 pulgadas (M2 – M3), iPad Pro de 11 pulgadas (primera generación – M4), iPad Pro de 12,9 pulgadas (tercera – sexta generación) y iPad Pro de 13 pulgadas (M4)

La última actualización tiene como objetivo cubrir dispositivos que tienen la capacidad de actualizarse a iOS 26 pero que aún tienen versiones anteriores. Apple lanzó por primera vez iOS 18.7.7 y iPadOS 18.7.7 el 24 de marzo de 2026, pero solo para iPhone XS, iPhone XS Max, iPhone XR y iPad de séptima generación.

El mes pasado, la compañía también instó a los usuarios a actualizar los dispositivos más antiguos a iOS 15.8.7, iPadOS 15.8.7, iOS 16.7.15 y iPadOS 16.7.15 para solucionar algunos de los exploits que se utilizaron en DarkSword y otro kit de exploits llamado Coruna.

Si bien se sabe que Apple admite correcciones para dispositivos más antiguos dependiendo de la importancia de las vulnerabilidades, la medida para permitir a los usuarios de iOS 18 parchear sus dispositivos sin tener que actualizar a la última versión del sistema operativo marca un cambio inusual para el gigante tecnológico.

en una declaración compartido Con WIRED, un portavoz de Apple dijo que estaba ampliando la actualización a más dispositivos para ayudarlos a mantenerse protegidos. Los usuarios que no tengan habilitada la actualización automática tendrán la opción de actualizar a la última versión parcheada de iOS 18 o iOS 26.

Este raro paso se produce semanas después de que Google Threat Intelligence Group (GTIG), iVerify y Lookout compartieran detalles de un kit de explotación de iOS llamado DarkSword que se ha utilizado en ataques cibernéticos dirigidos a usuarios en Arabia Saudita, Turquía, Malasia y Ucrania desde julio de 2025. El kit es capaz de apuntar a dispositivos iOS y iPadOS que ejecutan versiones entre iOS 18.4 y 18.7.

El ataque se desencadena cuando un usuario que ejecuta un dispositivo vulnerable visita un sitio web legítimo pero comprometido que aloja el código malicioso como parte de lo que se llama un ataque de abrevadero. Una vez lanzados, se ha descubierto que los ataques implementan puertas traseras y un minero de datos para el acceso persistente y el robo de información.

Actualmente no se sabe cómo la herramienta de piratería avanzada llegó a ser compartida por múltiples actores de amenazas. Desde entonces, se filtró una versión más nueva del kit en el sitio de código compartido GitHub, lo que generó preocupaciones de que más actores de amenazas pudieran subirse al tren de la explotación.

El descubrimiento también destaca que el software espía potente para iPhone puede no ser tan raro como se pensaba anteriormente y que podría convertirse en herramientas atractivas para una explotación masiva.

A partir de la semana pasada, Apple comenzó a enviar notificaciones de pantalla de bloqueo a iPhones y iPads que ejecutan versiones anteriores de iOS y iPadOS para alertar a los usuarios sobre ataques basados ​​en la web e instarlos a instalar las últimas actualizaciones.

Proofpoint y Malfors también revelaron que otro actor de amenazas vinculado a Rusia conocido como COLDRIVER (también conocido como TA446) ha explotado el kit DarkSword para entregar el malware de robo de datos GHOSTBLADE en ataques dirigidos a entidades gubernamentales, grupos de expertos, educación superior, financieras y legales.

«DarkSword roba silenciosamente grandes cantidades de datos de usuario simplemente porque el usuario ahora visitó un sitio web real (pero comprometido)», dijo Rocky Cole, cofundador y director de operaciones de iVerify, en un comunicado compartido con The Hacker News. «Apple al menos ha estado de acuerdo con la evaluación de la comunidad de seguridad de que esto presenta una amenaza clara y presente para los dispositivos que permanecen sin parches en versiones anteriores de iOS, que aproximadamente el 20% de las personas todavía utilizan».

«Dejar expuestos a esos usuarios sería una decisión difícil de defender, especialmente para una empresa que centra su marca en la seguridad y la privacidad. Actualizar parches a versiones anteriores de iOS parece ser lo mínimo que pueden hacer en lugar de proporcionar un marco de seguridad para desarrolladores externos. El hecho es que los parches son demasiado pequeños y demasiado tarde cuando se trata de días 0, y el mercado de exploits está en auge».

Un grupo proucraniano llamado osolyfy se ha atribuido a más de 70 ataques cibernéticos dirigidos a empresas rusas desde que apareció por primera vez en el panorama de amenazas en enero de 2025, y los ataques recientes aprovecharon una cepa de ransomware de Windows personalizada con el nombre en código GenieLocker.

«Bearlyfy (también conocido como Labubu) opera como un grupo de doble propósito destinado a infligir el máximo daño a las empresas rusas; sus ataques sirven al doble objetivo de extorsión para obtener ganancias financieras y actos de sabotaje», dijo el proveedor de seguridad ruso F6. dicho.

F6 documentó por primera vez que el grupo de piratas informáticos aprovechaba cifrados asociados con LockBit 3 (Black) y Babuk en septiembre de 2025, y las primeras intrusiones se centraron en empresas más pequeñas antes de subir la apuesta y exigir rescates por una suma de 80.000 euros (alrededor de 92.100 dólares). En agosto de 2025, el grupo se había cobrado al menos 30 víctimas.

A partir de mayo de 2025, los actores de Bearlyfy también utilizaron una versión modificada de PolyVice, una familia de ransomware atribuida a Vice Society (también conocida como DEV-0832 o Vanilla Tempest), que tiene un historial de entregar casilleros de terceros como Hello Kitty, Zeppelin, RedAlert y Rhysida ransomware en sus ataques.

Un análisis más profundo del conjunto de herramientas y la infraestructura del actor de amenazas revela superposiciones con PhantomCore, otro grupo que se considera que opera teniendo en cuenta los intereses ucranianos. Se sabe que ataca a empresas rusas y bielorrusas desde 2022. Más allá de PhantomCore, también se dice que Bearlyfy ha colaborado con Head Mare.

Los ataques organizados por el grupo obtuvieron acceso inicial mediante la explotación de servicios externos y aplicaciones vulnerables, seguido de la eliminación de herramientas como MeshAgent para facilitar el acceso remoto y permitir el cifrado, destrucción o modificación de datos. Por el contrario, PhantomCore lleva a cabo campañas estilo APT, donde tienen prioridad el reconocimiento, la persistencia y la filtración de datos.

«El grupo en sí se distingue por ataques rápidos caracterizados por una preparación mínima y un rápido cifrado de datos; otra característica distintiva de estos ataques es que las notas de rescate no son generadas por el software ransomware en sí, sino que son elaboradas directamente por los atacantes», señaló F6 el año pasado.

Los ataques de Bearlyfy han demostrado ser una fuente ilícita de generación de ingresos. Según los datos de F6, aproximadamente una de cada cinco víctimas opta por pagar el rescate. Se dice que las demandas iniciales de rescate por parte del adversario aumentaron aún más, alcanzando cientos de miles de dólares.

El cambio más notable en el modus operandi del actor de amenazas es el uso de una familia de ransomware patentada llamada GenieLocker para apuntar a puntos finales de Windows desde principios de marzo de 2026. El esquema de cifrado de GenieLocker está inspirado en las familias de ransomware Venus/Trinity.

Uno de los rasgos más distintivos de los ataques de ransomware es que el casillero genera automáticamente las notas de rescate. En cambio, los actores de amenazas optan por sus propios métodos para compartir los siguientes pasos con las víctimas, ya sea simplemente compartiendo datos de contacto o elaborando mensajes que buscan ejercer presión psicológica y obligarlas a pagar.

«Si bien en sus primeras etapas, los miembros de Bearlyfy demostraron una falta de sofisticación y claramente estaban experimentando con varias técnicas y conjuntos de herramientas, en el lapso de un solo año, este grupo se ha convertido en una verdadera pesadilla para las empresas rusas, incluidas las grandes empresas», dijo F6.

Los investigadores de ciberseguridad están llamando la atención sobre una campaña activa de phishing de códigos de dispositivos dirigida a identidades de Microsoft 365 en más de 340 organizaciones en EE. UU., Canadá, Australia, Nueva Zelanda y Alemania.

La actividad, según Huntress, fue visto por primera vez el 19 de febrero de 2026, y desde entonces los casos posteriores han aparecido a un ritmo acelerado. En particular, la campaña aprovecha las redirecciones de Cloudflare Workers con sesiones capturadas redirigidas a una infraestructura alojada en una oferta de plataforma como servicio (PaaS) llamada Railway, convirtiéndola efectivamente en un motor de recolección de credenciales.

La construcción, las organizaciones sin fines de lucro, el sector inmobiliario, la manufactura, los servicios financieros, la atención médica, el sector legal y el gobierno son algunos de los sectores destacados a los que se dirige la campaña.

«Lo que también hace que esta campaña sea inusual no son sólo las técnicas de phishing del código del dispositivo involucradas, sino la variedad de técnicas observadas», dijo la compañía. «Las ofertas de construcción, la generación de códigos de páginas de destino, la suplantación de DocuSign, las notificaciones de correo de voz y el abuso de las páginas de Microsoft Forms están afectando al mismo grupo de víctimas a través de la misma infraestructura IP de Railway.com».

El phishing de código de dispositivo se refiere a una técnica que explota el Flujo de autorización de dispositivos OAuth para otorgar al atacante tokens de acceso persistentes, que luego pueden usarse para tomar el control de las cuentas de las víctimas. Lo importante de este método de ataque es que los tokens siguen siendo válidos incluso después de que se restablezca la contraseña de la cuenta.

A un alto nivel, el ataque funciona de la siguiente manera –

• El actor de amenazas solicita un código de dispositivo al proveedor de identidad (por ejemplo, Microsoft Entra ID) a través de la API de código de dispositivo legítimo.
• El servicio responde con un código de dispositivo.
• El actor de amenazas crea un correo electrónico persuasivo y lo envía a la víctima, instándola a visitar una página de inicio de sesión («microsoft[.]com/devicelogin») e ingrese el código del dispositivo.
• Después de que la víctima ingresa el código proporcionado, junto con sus credenciales y el código de autenticación de dos factores (2FA), el servicio crea un token de acceso y un token de actualización para el usuario.

«Una vez que el usuario ha sido víctima del phishing, su autenticación genera un conjunto de tokens que ahora residen en el punto final de la API del token OAuth y se pueden recuperar proporcionando el código de dispositivo correcto», explicó Huntress. «El atacante, por supuesto, conoce el código del dispositivo porque fue generado por la solicitud cURL inicial a la API de inicio de sesión del código del dispositivo».

«Y aunque ese código es inútil por sí solo, una vez que se ha engañado a la víctima para que se autentique, los tokens resultantes ahora pertenecen a cualquiera que sepa qué código de dispositivo se utilizó en la solicitud original».

El uso de phishing de código de dispositivo fue observado por primera vez por Microsoft y Volexity en febrero de 2025, con oleadas posteriores documentadas por Amazon Threat Intelligence y Proofpoint. A estos ataques se les han atribuido múltiples grupos alineados con Rusia, identificados como Storm-2372, APT29, UTA0304, UTA0307 y UNK_AcademicFlare.

La técnica es insidiosa, sobre todo porque aprovecha la infraestructura legítima de Microsoft para realizar el flujo de autenticación del código del dispositivo, sin dar así a los usuarios motivos para sospechar que algo podría estar mal.

En la campaña detectada por Huntress, el abuso de autenticación se origina en un pequeño grupo de direcciones IP de Railway.com, y tres de ellas representan aproximadamente el 84% de los eventos observados.

• 162.220.234[.]41
• 162.220.234[.]66
• 162.220.232[.]57
• 162.220.232[.]99
• 162.220.232[.]235

El punto de partida del ataque es un correo electrónico de phishing que envuelve URL maliciosas dentro de archivos legítimos. servicios de redireccionamiento de proveedores de seguridad de Cisco, Trend Micro y Mimecast para evitar los filtros de spam y activar una cadena de redireccionamiento de múltiples saltos que presenta una combinación de sitios comprometidos, Cloudflare Workers y Vercel como intermediarios antes de llevar a la víctima al destino final.

«Los sitios de aterrizaje observados solicitan a la víctima que proceda al punto final de autenticación del código del dispositivo legítimo de Microsoft e ingrese un código proporcionado para leer algunos archivos», dijo Huntress. «El código se representa directamente en la página cuando llega la víctima».

«Esta es una iteración interesante de la táctica, ya que, normalmente, el adversario debe producir y luego proporcionar el código a la víctima. Al representar el código directamente en la página, probablemente mediante alguna automatización de generación de código, la víctima recibe inmediatamente el código y el pretexto para el ataque».

La página de inicio también incluye un mensaje «Continuar con Microsoft» que, al hacer clic, muestra una ventana emergente que muestra el punto final de autenticación legítimo de Microsoft («microsoft[.]com/devicelogin»).

Casi todos los sitios de phishing de códigos de dispositivos se han alojado en trabajadores de Cloudflare.[.]ejemplo de desarrollo, que ilustra cómo los actores de amenazas están utilizando como arma la confianza asociada con el servicio en entornos empresariales para eludir los filtros de contenido web. Para combatir la amenaza, se recomienda a los usuarios escanear los registros de inicio de sesión para buscar inicios de sesión de IP ferroviaria, revocar todos los tokens de actualización para los usuarios afectados y bloquear los intentos de autenticación desde la infraestructura ferroviaria si es posible.

Desde entonces, Huntress ha atribuido el ataque a Railway a una nueva plataforma de phishing como servicio (PhaaS) conocida como EvilTokens, que hizo su debut el mes pasado en Telegram. Además de las herramientas publicitarias para enviar correos electrónicos de phishing y evitar los filtros de spam, el panel de EvilTokens proporciona a los clientes enlaces de redireccionamiento abiertos a dominios vulnerables para ocultar los enlaces de phishing.

«Además del rápido crecimiento en la funcionalidad de la herramienta, el equipo de EvilTokens ha creado un equipo de soporte completo 24 horas al día, 7 días a la semana y un canal de comentarios de soporte», dijo la compañía. «También tienen comentarios de los clientes».

La divulgación se produce cuando la Unidad 42 de Palo Alto Networks también prevenido de una campaña similar de phishing de código de dispositivo, destacando el uso por parte del ataque de técnicas anti-bot y anti-análisis para pasar desapercibidas, mientras filtra cookies del navegador al actor de la amenaza al cargar la página. La primera observación de la campaña se remonta al 18 de febrero de 2026.

La página de phishing «deshabilita la funcionalidad de hacer clic con el botón derecho, la selección de texto y las operaciones de arrastre», dijo la compañía, y agregó que «bloquea los atajos de teclado para las herramientas de desarrollo (F12, Ctrl+Shift+I/C/J) y la visualización de fuentes (Ctrl+U)» y «detecta herramientas de desarrollo activas mediante la utilización de una heurística del tamaño de la ventana, que posteriormente inicia un bucle de depuración infinito».

La medida de la Comisión Federal de Comunicaciones de prohibir los enrutadores fabricados en el extranjero toca una amenaza real, pero los críticos dicen que la regla de la agencia es demasiado amplia, prácticamente inviable y no aborda de manera significativa las debilidades en la seguridad de los enrutadores que han llevado a importantes violaciones a los gobiernos y empresas estadounidenses.

Según la Ley de Equipos Seguros y la Ley de Redes Seguras, la FCC puede prohibir a los fabricantes de tecnología extranjeros si los considera un riesgo para la seguridad nacional. Pero el gobierno federal casi siempre ha optado por apuntar estrechamente a empresas extranjeras específicas con conexiones conocidas o problemáticas con adversarios extranjeros, como la empresa de telecomunicaciones china Huawei o la empresa rusa de antivirus Kaspersky Labs.

Sin embargo, las restricciones anunciadas el lunes simplemente prohíben todos los enrutadores «producidos en un país extranjero», excepto aquellos que cuentan con aprobación condicional de los departamentos de Defensa o Seguridad Nacional.

La orden impone un cese radical e inmediato de la compra de enrutadores y servicios Wi-Fi no estadounidenses para agencias gubernamentales y empresas, junto con preguntas sin respuesta sobre dónde comprar a continuación y qué hacer con los dispositivos extranjeros ya integrados en sus redes.

Al justificar la decisión, el presidente de la FCC, Brendan Carr, citó un informe interinstitucional dirigido por la Casa Blanca del 20 de marzo que concluía que los enrutadores fabricados en el extranjero plantean riesgos «inaceptables» para la seguridad nacional de Estados Unidos.

“Siguiendo el liderazgo del presidente Trump, la FCC continuará [to do] «Nuestra parte es garantizar que el ciberespacio, la infraestructura crítica y las cadenas de suministro de Estados Unidos sean seguros y protegidos», dijo Carr.

A los responsables políticos estadounidenses les preocupan los posibles riesgos de ciberseguridad que supone depender de tecnología y equipos de países como China o Rusia, donde las leyes locales obligan a las empresas nacionales a cooperar en investigaciones de seguridad nacional y a entregar datos confidenciales.

En 2024, los miembros del Congreso pidieron al Departamento de Comercio que investigara a los fabricantes chinos de enrutadores y Wi-Fi como TP-Link, alegando el «grado inusual de vulnerabilidades y el cumplimiento requerido de la compañía». [Chinese] ley” equivalía a un riesgo inaceptable para la seguridad nacional.

El año pasado, cinco presidentes de comités republicanos de la Cámara de Representantes instaron al secretario de Comercio, Howard Lutnick, a utilizar la autoridad del departamento “para eliminar de las cadenas de suministro nacionales los productos y servicios creados por China y otros adversarios extranjeros que han demostrado tener el potencial de introducir vulnerabilidades de seguridad”. Una lista adjunta de industrias que “necesitan acción inmediata” incluía enrutadores y Wi-Fi, al tiempo que mencionaba a TP-Link y Huawei como entidades “chinas o controladas por chinos”.

Si bien la inseguridad de los enrutadores es un problema importante, vale la pena señalar que los productos fabricados en Estados Unidos están lejos de ser inmunes a la piratería extranjera. Las principales campañas de piratería china, como Salt Typhoon, tuvieron éxito no gracias a las puertas traseras de la tecnología fabricada en China, sino a través de la explotación de vulnerabilidades conocidas y previamente reportadas en productos estadounidenses y occidentales.

Un exlíder de inteligencia de EE. UU. dijo a CyberScoop que el país de origen importa más cuando se trata de un adversario como China, que tiene leyes de divulgación de vulnerabilidades y seguridad nacional que exigen que las empresas chinas de enrutadores revelen primero las vulnerabilidades de ciberseguridad al gobierno.

Pero no son sólo los enrutadores chinos, o los fabricados por rivales directos de Estados Unidos, los que preocupan a los funcionarios de inteligencia.

Incluso en un mundo global y conectado digitalmente, la proximidad sigue siendo importante. Los países extranjeros pueden perturbar o infectar más fácilmente la cadena de suministro de países vecinos o limítrofes que pueden depender de piezas, componentes o infraestructura de Internet similares.

“Los atacantes tienen muchas opciones sobre lo que se puede hacer con el acceso al enrutador. [It’s] Aún más fácil si tienes al país que los dirige y accede a ellos en tu patio trasero”, dijo el funcionario, que solicitó el anonimato para hablar con franqueza.

Los inversores pueden estar sacando conclusiones similares. En particular, las acciones de las empresas asiáticas de enrutadores cayó tras el anuncio de la FCCmientras que la empresa estadounidense NetGear, que no depende de las cadenas de suministro chinas, vio sus acciones subir un 12%.

Un nuevo punto de influencia

La naturaleza amplia de la orden, junto con la capacidad de otorgar exenciones a empresas específicas a voluntad, restablece efectivamente la relación regulatoria entre las empresas extranjeras de enrutadores y el gobierno de Estados Unidos. Según él, cada empresa con operaciones de fabricación en China o en el extranjero tendría que solicitar a la FCC una exención de la regla.

La ambigüedad detrás de lo que, específicamente, una empresa tendría que hacer para obtener una exención podría abrir el proceso a posibles abusos o clientelismo político, dijeron los expertos.

Un exfuncionario de la FCC dijo a CyberScoop que estaban desconcertados por la medida y cuestionó si estaba relacionada con la seguridad nacional o si incluso sería aprobada legalmente en los tribunales.

En lugar de agregar empresas objetivo con vínculos extranjeros o un historial de vulnerabilidades de ciberseguridad a la lista de proveedores prohibidos, como lo ha hecho el gobierno y defendido exitosamente En el pasado, la FCC intentó prohibir todos los enrutadores fabricados en el extranjero en todo el mundo. Esto representa una acción disruptiva potencialmente significativa en un entorno en el que muchas empresas y gobiernos hoy utilizan TP-Link y otras empresas extranjeras para sus necesidades de Internet.

El efecto neto es “en realidad crear un nuevo programa federal de aprobaciones condicionales” para empresas extranjeras de enrutadores, dijo el alumno de la FCC, uno que es tan amplio que requeriría un esfuerzo federal combinado masivo para eliminar efectivamente a los malos actores de la cadena de suministro extranjera.

«Me cuesta creer que esta administración -dado lo que hemos visto en CISA y otras agencias y las salidas masivas- realmente implementará un programa sofisticado y personalizado para abordar adecuadamente este tipo de enorme oscilación de toda una base de productos de consumo», dijo el funcionario, a quien se le concedió el anonimato para hablar con franqueza.

El funcionario señaló un intento a principios de este año por parte de la administración, a través de la Administración Federal de Aviación, de hacer valer una amplia autoridad para regular los vuelos de drones en todo el país, diciendo que había paralelos similares de «grandes cambios» con la justificación legal aquí. Actualmente se está prohibiendo los drones desafiado en la cortey el funcionario dijo que esperan que el pedido de enrutadores de la FCC esté sujeto a demandas similares por parte de empresas.

A principios de este mes, Carr también propuso nuevas regulaciones que impondrían requisitos de idioma inglés a los centros de llamadas en el extranjero y pidió al público información sobre posibles políticas para «alentar» a las empresas a establecer centros de llamadas en los EE. UU., «incluidos límites al volumen de llamadas de los centros de llamadas en el extranjero».

Carr dijo que la FCC también estaba «abriendo un nuevo frente en nuestros esfuerzos por bloquear las llamadas automáticas ilegales desde el extranjero al examinar el uso específico de aranceles o bonos».

El ex funcionario de la FCC dijo que la prioridad de Carr sobre la aplicación novedosa de autoridades arancelarias mientras discutía la implementación de dos leyes: la Ley rastreada y el Ley de verdad en el identificador de llamadas – que no están relacionados con el comercio hace imposible separar las preocupaciones genuinas de seguridad nacional de la agencia de los intentos más amplios de la administración Trump de ganar influencia sobre las empresas extranjeras en sus luchas comerciales.

«Esos son saltos aleatorios extraños que parecen ser una respuesta a este panorama más amplio de la gran decisión arancelaria que surgió», dijo el funcionario.