ARCOTEL - EcuCERT

Alertas

aaaaa

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus

27Feb26: Se ha identificado una nueva familia de ransomware denominada VECT, que opera bajo el modelo Ransomware-as-a-Service (RaaS), permitiendo a actores afiliados ejecutar ataques de cifrado y extorsión contra organizaciones públicas y privadas. VECT utiliza técnicas avanzadas de cifrado y evasión, afectando sistemas Windows, Linux y entornos virtualizados (VMware ESXi), lo que incrementa su impacto en infraestructuras críticas y centros de datos.

25Feb26: La vulnerabilidad CVE-2026-2441 representa el primer «Zero-Day» de alto impacto del año 2026 para el ecosistema Chromium, esta falla reside en el componente de hojas de estilo en cascada (CSS) del navegador. Debido a su naturaleza, permite a un atacante remoto ejecutar código no autorizado dentro del entorno restringido del navegador (sandbox), comprometiendo la integridad de la sesión del usuario.

24Feb26: Una vulnerabilidad crítica en el MSHTML Framework de Microsoft Windows, catalogada como CVE-2026-21513, que permite a un atacante eludir controles de seguridad mediante el uso de contenido HTML o accesos directos manipulados. La vulnerabilidad se encuentra activamente explotada y ha sido incluida por CISA en su catálogo de Known Exploited Vulnerabilities (KEV).

19Feb26: El Ransomware Gentlemen es un grupo de ransomware que continúa operando activamente bajo el modelo Ransomware-as-a-Service (RaaS), facilitando herramientas y servicios a terceros para la ejecución de ataques. Esta amenaza mantiene un esquema de doble extorsión, el cual combina el cifrado de la información comprometida con la exfiltración de datos confidenciales. Posteriormente, los datos sustraídos son utilizados como mecanismo de presión contra las organizaciones afectadas, incrementando el impacto operativo, reputacional y legal del incidente.

18Feb26: Microsoft anuncia un parche para una vulnerabilidad 0-day identificada como CVE-2026-21533 en Windows Remote Desktop Services (RDS), la cual permite que un atacante autorizado eleve privilegios de manera local. Esta falla se deriva del concepto CWE-269: Gestión de privilegios inapropiada.

02Feb26: Fortinet ha confirmado una vulnerabilidad crítica de bypass de autenticación en la funcionalidad FortiCloud SSO, activamente explotada bajo el identificador CVE-2026-24858. Esta falla afecta a varios productos incluyendo FortiOS, FortiManager, FortiAnalyzer y FortiProxy, y permite que un atacante con cuenta FortiCloud acceda a otros dispositivos asociados a cuentas diferentes si FortiCloud SSO está habilitado, afectando la confidencialidad, integridad y disponibilidad del sistema.

22Ene26: Cisco parcheó una falla crítica de ejecución remota de código de día cero, identificada como CVE-2026-20045 (puntaje CVSS de 8,2), explotada activamente en ataques. Un atacante remoto no autenticado puede aprovechar la falla para ejecutar comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado.

16Ene26: Astaroth domina el arte del sigilo. Utilizando scripts maliciosos que se ejecutan directamente en la memoria y aprovechando procesos nativos de Windows para sus actividades delictivas, este troyano ha logrado vaciar cuentas bancarias y comprometer identidades digitales en todo el mundo. Con el reciente aumento de sus vectores de ataque, incluyendo la automatización de envíos por WhatsApp Web, entender su funcionamiento ya no es solo una tarea de especialistas, sino una necesidad de defensa crítica.

16Ene26: DevMan, variante evolucionada de Ransomware-as-a-Service (RaaS) con capacidades de cifrado y robo de datos (double-extortion), utilizada por actores criminales para extorsionar entidades con demandas de rescate. Su infraestructura operativa facilita campañas globales y recurrentes, ampliando el impacto operativo y financiero de las organizaciones comprometidas.

16Dic25: Trend Research de Trend Micro ha identificado actividad del grupo Qilin, el cual ha desplegado un binario de ransomware basado en Linux para su ejecución en sistemas Windows, utilizando de forma indebida herramientas de administración remota y transferencia de archivos. Se destaca la evolución de su modelo de Ransomware como Servicio (RaaS), incorporando asesoría legal para sus afiliados, con el fin de incrementar la presión sobre las víctimas durante los procesos de negociación del rescate.

04Dic25: FORTINET informó de dos vulnerabilidades catalogadas como críticas que afectan a su producto FortiWEB, CVE-2025-64446 es una vulnerabilidad de Relative Path Traversal que puede permitir la ejecución de comandos administrativos a través de crafted HTTP o HTTPS Request y CVE-2025-58034, es una vulnerabilidad de inyección de comandos del SO causada por la neutralización inadecuada de elementos controlados por el usuario tanto en los componentes API como CLI de FortiWeb.

04Dic25: Se registró un nueva alerta sobre una botnet derivada de Mirai, denominada ShadowV2. Esta variante explota vulnerabilidades en dispositivos IoT de proveedores como D-Link, TP-Link, DD-WRT, DigiEver y TBK, aprovechando un amplio conjunto de fallas conocidas que serían al menos 8 vulnerabilidades para comprometer la red, entre las que destacan CVE-2024-10914 y CVE-2024-10915 a equipos EoL que ya no reciben soporte.

26Nov25: Ransomware Gentlemen es un grupo de ransomware emergente que opera bajo el modelo de Ransomware-as-a-Service (RaaS). Su enfoque se basa en la doble extorsión: cifrado de archivos y amenaza de exposición pública de datos robados.

18Nov25: Se ha identificado un repunte significativo de actividad del SmokeLoader, que es un popular y asociado distribuidor de múltiples tipos de malware, de entrega de payloads como troyanos, familias de ransomware como MedusaLocker y Phobos e incluyendo Stealers (robo de información).

07Nov25: Google ha lanzado una actualización de emergencia para su navegador Chrome con el fin de corregir múltiples vulnerabilidades de alto riesgo, entre las que se incluyen la ejecución remota de código (RCE) y corrupción de memoria. Las que destacan tres fallos específicos: CVE-2025-12725, CVE-2025-12726, y CVE-2025-12727.

31Oct25: CVE-2025-12036 es una vulnerabilidad que permite la ejecución remota de código (RCE) que se deriva de una implementación inapropiada dentro del motor JavaScript y WebAssembly V8 de los navegadores basados en Chromium .

01Oct25: Broadcom empresa propietaria de VMWare reveló una vulnerabilidad 0-day que permite a usuarios sin privilegios ejecutar código a nivel de root sin necesidad de autenticación, esta vulnerabilidad registrada como CVE-2025-41244 está siendo activamente explotada afectando a VMware Tools y VMware Aria Operations Discovery Management Pack (SDMP).

29Sep25: Warlock Ransomware es una operación de ransomware relacionada con el actor de amenazas Storm-2603. Este grupo ha sido vinculado a ataques dirigidos contra organizaciones de alto perfil mediante el uso de vulnerabilidades de día cero en Microsoft SharePoint. La primera aparición pública de Warlock Ransomware se dio en foros de ciberdelincuencia como RAMP, promocionado con mensajes llamativos como: “Si quieres un Lamborghini, llámame”.

08Sep25: Drift IA está siendo el objetivo de actores de amenaza bajo el concepto de ataque a la cadena de suministro, mediante el uso de Ingeniería Social Phishing, Vishing actores de amenazas ganaron acceso a los sistemas de las víctimas para robar credenciales y exfiltrar de datos de estas empresas de alto nivel.

04Sep25: Las vulnerabilidades CVE-2025-43300 y CVE-2025-55177 están siendo aprovechadas por atacantes afectando específicamente a usuarios de Apple y de WhatsApp en dispositivos Apple. Estas permiten que un atacante pueda tomar control del dispositivo sin la interacción del usuario (Zero-Click) con lo que se estaría llevando a cabo robo de información

28Ago25: El equipo Threat Analysis Group de Google reporta una vulnerabilidad Zero-Day definida como CVE-2025-5419, esta falla se encuentra en el motor V8 de JavaScript de Google Chrome que permite ejecución remota de código (RCE)

28Ago25: Se ha identificado una nueva variante del Ransomware Trigona dirigida a distribuciones Linux. Este malware presenta técnicas avanzadas de evasión y manipulación de archivos empleando ingeniería inversa,lo que incrementa significativamente su peligrosidad, dificulta su detección y mitigación.

14Ago25:Alerta sobre vulnerabilidad de Zero-day en WinRar que está siendo explotada por el grupo cibernético RomCom, rastreada como CVE-2025-8088, permite a los atacantes ocultar archivos maliciosos en un archivo comprimido o .rar que se despliegan silenciosamente durante la extracción.

14Ago25: Ransomware Crytox instala la aplicación de mensajería uTox en el sistema infectado, lo que permite a la víctima comunicarse y negociar con los autores de la amenaza. Pertenece a la familia de ransomware que consta de varias etapas de código cifrado, a diferencia de otros ejerce presión dejando una nota de rescate con tiempo de comunicación.

12Ago25: Akira Ransomware reaparece teniendo como principal objetivo a los MSP o Managed Service Providers (Proveedores de Servicios Gestionados) empresas que ofrecen servicios de gestión de Tecnologías de información (TI)

08Ago25: Actualización vulnerabilidad ToolShell- SharePoint, CISA informa recibió archivos de webshells, DLL loader y key stealer, relacionados con las vulnerabilidades en Microsoft SharePoint Server.

07Ago25: Se han identificado múltiples vulnerabilidades en dispositivos D-Link (modelos DCS-2530L, DCS-2670L y DNR-322L), que están siendo explotadas actualmente. Estas fallas permiten a actores maliciosos acceder a contraseñas sin autenticación y ejecutar comandos remotos. La CISA ha incluido estas vulnerabilidades en su catálogo KEV (Known Exploited Vulnerabilities).

31Jul25:Se ha identificado la vulnerabilidad crítica en Google Chrome CVE-2025-6558, específicamente en los componentes ANGLE y GPU. Esta falla permite a atacantes remotos ejecutar código arbitrario mediante páginas HTML maliciosas, logrando evadir el sandbox (un entorno aislado de seguridad que protege a los usuarios de malware y amenazas) del navegador. La vulnerabilidad está siendo explotada activamente y ha sido incluida en el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA en julio de 2025.

23Jul25: Recientemente se conoció la vulnerabilidad de 0-day hacia el producto Microsoft SharePoint Server On-premise, la CVE-2025-53770 que es la deserialización de datos no confiables, que permite ejecución remota de código de un atacante no autorizado, junto a esta se conoce también otra vulnerabilidad la CVE-2025-53771 que es la limitación incorrecta de una ruta de acceso a un directorio restringido (path traversal) permite que un atacante no autorizado realice suplantación de identidad de manera remota.

23Jul25: Los atacantes han adoptado la nueva técnica llamada “FileFix” en los ataques de Interlock Ransomware para lanzar un troyano de acceso remoto (RAT) en sistemas dirigidos.

23Jul25: En el Centro de Respuesta a Incidentes Informáticos, se ha receptado información de una vulnerabilidad crítica en Microsoft SharePoint Server On-Premises que permite la ejecución remota de código sin necesidad de autenticación, identificada como CVE‑2025‑53770, que está siendo explotada activamente en entornos corporativos.

14Jul25: Nueva vulnerabilidad critica conocida como CVE-2025-7206 de 0-click en router D-link permite a los atacantes remotos sin autenticar, colapsar el servidor Web HTTP del dispositivo, mediante el desbordamiento de búfer basado en pila

14Jul25: Ransomware NightSpire es una cepa maliciosa perteneciente a la familia Snatch, que ha comprometido diversas organizaciones públicas y privadas en América Latina. Emplea técnicas de cifrado avanzadas combinadas con amenazas de filtración de datos para ejercer presión sobre las víctimas y exigir altos pagos de rescate

09Jul25: Vulnerabilidad de seguridad crítica en el firewall de aplicaciones web FortiWeb de Fortinet, identificada como CVE-2025-25257, permite a un atacante no autenticado ejecutar comandos SQL maliciosos a través de la interfaz gráfica de usuario del dispositivo.

09Jul25: Usuarios en el foro de la comunidad de FORTINET reportan la amenaza W32/Tedy.7918!tr en archivo ejecutable de actualización de Adobe Acrobat Reader. Aunque no está ampliamente catalogado en las bases del Sitio Web de VirusTotal, según reporte de más usuarios, múltiples EPP (Plataforma de Protección de Endpoint) lo han detectado en tiempo de ejecución con comportamiento sospechoso. La actividad sugiere un posible ataque a la cadena de suministro.

03Jul25: Vulnerabilidad crítica de seguridad en Linux encontrada bajo CVE-2025-32463 podría permitir a un atacante ejecutar comandos arbitrarios con escalamiento de privilegios root, bajo la utilidad Sudo de Linux que permite que usuarios sin privilegios invoquen chroot() en rutas modificables y no confiables bajo su control, las cuales Sudo ejecuta con permisos de root (superusuario).

19Jun25: Un medio especializado en ciberseguridad, ha informado sobre una de las mayores exposiciones de datos de la historia. Se trata de aproximadamente 16 mil millones de credenciales de inicio de sesión que quedaron accesibles en línea a través de bases de datos sin protección.

19Jun25: Una nueva variante de Ransomware denominada “BERT” ha comenzado a atacar distribuciones Linux (lo que marca una peligrosa expansión de esta amenaza que estaba previamente limitada a SO Windows), mediante el desarrollo de archivos binarios ELF (Executable and Linkable Format) de ejecución en Linux. Su método de ingreso principal sigue siendo campañas de Phishing con Ingeniería Social.

18Jun25: INC Ransomware explota la vulnerabilidad CVE-2023-3519 y utiliza herramientas como para evadir defensas y robar credenciales en sus distintas cadenas de ataque. Utiliza dos sitios de filtración: el primero es un sitio que requiere credenciales de inicio de sesión que el atacante proporciona a sus víctimas y que funciona como medio de comunicación; y el segundo es un sitio web de acceso público donde se alojan los datos filtrados.

02-Jun-25: Pumabot es un malware de tipo botnet basado en GO, ataca objetivos mediante una lista de direcciones IP alojadas en su servidor de comando y control C2, funciona mediante ataques de fuerza bruta de credenciales SSH y está dirigido a dispositivos IoT integrados basados en Linux.

26May25: CVE-2025-31324, una falla crítica en SAP NetWeaver Visual Composer (VC) que permite la ejecución remota de código sin autenticación que ya ha sido explotada por grupos de Ransomware como Qilin, BianLian y RansomExx.

26May25: El Ransomware VanHelsing cifra archivos del sistema Microsoft Windows, adicionando las extensiones.vanlocker o .vanhelsing, exfiltra datos sensibles del usuario antes de proceder con el cifrado (de doble extorsión) y amenaza con publicarlos si no se paga por su rescate.

19May25: El Ransomware MEOW infecta el dispositivo, cifra los archivos personales y críticos de la víctima, tras esta infección los archivos afectados adicionan la extensión .MEOW y crea un archivo de nota de rescate llamado «readme.txt», con instrucciones para que las víctimas se pongan en contacto con los atacantes para descifrar los archivos.

16May25: Las vulnerabilidades detectadas afectan a los productos FortiOS, FortiProxy, FortiPAM, FortiSRA y FortiWeb, lo cual permite a un atacante con privilegios elevados ejecutar código o comandos no autorizados mediante solicitudes HTTP o HTTPS.

16May25: Fortinet ha revelado una vulnerabilidad crítica de desbordamiento de búfer basada en pila [CWE-121], identificada como CVE-2025-32756 afecta a una amplia gama de sus productos de seguridad y red, permitiendo que un atacante remoto no autenticado ejecute código o comandos arbitrarios mediante solicitudes HTTP.

09May25: QILIN, es un grupo de ransomware activo en 2025. Se caracteriza por emplear técnicas avanzadas como BYOVD (Bring Your Own Vulnerable Driver) para evadir herramientas EDR, y el uso de herramientas legítimas del sistema (LotL) para evitar la detección. Su enfoque combina cifrado de datos con amenazas de filtración, consolidándolo como una amenaza crítica en entornos corporativos y gubernamentales.

21Abr25:Fortinet lanza asesoramiento para una nueva técnica post-explotación para 3 vulnerabilidades conocidas en sus productos FortiOS y FortiProxy

10Abr25: CVE-2024-48887, es una vulnerabilidad de cambio de contraseña no verificada en la Fortinet FortiSwitch GUI, puede permitir que un atacante remoto no autenticado cambie las contraseñas de administrador a través de una solicitud especialmente manipulada.

10Abr25: CVE-2025-25254 – FortiWeb Endpoint vulnerabilidad CWE-22, es una falla de seguridad que permite a un atacante acceder a archivos o directorios fuera de la ubicación restringida prevista por el sistema.

07Abr25: El grupo CoreInjection afirmó haber obtenido datos «altamente sensibles» de la compañía incluyendo mapas internos de la red, diagramas arquitectónicos, credenciales de usuarios y código fuente propietario de Check Point Software Technologies.

26Mar25: El ransomware Trigona utiliza una amplia gama de métodos de infección y vectores de ataque, lo que le permite infiltrarse en una amplia gama de sistemas objetivo. Estos métodos suelen aprovechar vulnerabilidades y errores humanos, lo que los hace potentes y versátiles

24Mar25: Un atacante de nombre rose87168 afirmo haber robado 6 millones de registros de datos de los sistemas de autenticación de Oracle Cloud, SSO (Oracle Single Sign-On) y LDAP (Lightweight Directory Access Protocol).

12Mar25: Se ha detectado la vulnerabilidad CVE-2025-27607 que afecta a Python-Json-Logger v3.2.x de Python v3.13. La vulnerabilidad representa un riesgo crítico, ya que permite la ejecución remota de código (RCE).

01Mar25: La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha añadido dos vulnerabilidades críticas al Catálogo de Vulnerabilidades Explotadas Conocidas, afectando a Adobe ColdFusion y Oracle Agile Product Lifecycle Management (PLM). Las vulnerabilidades identificadas como CVE-2017-3066 y CVE-2024-20953, ya están siendo aprovechadas por ciberdelincuentes.

27feb25: Se ha detectado la vulnerabilidad CVE-2025-1001 en RadiAnt DICOM Viewer versión 2024.02 que permite ataques MITM debido a una validación inadecuada de certificados en el proceso de actualización

12feb25: Se ha detectado la evolución del troyano Coyote Malware, que sigue afectando a usuarios de instituciones financieras de la región. Este malware utiliza archivos LNK maliciosos para infiltrarse en los sistemas y ejecutar comandos de PowerShell de Windows.

07feb25: La vulnerabilidad crítica CVE-2025-21298 se encuentra presente en
el OLE (Object Linking and Embedding) de Windows que permite la ejecución
remota de código, esta vulnerabilidad, con una puntuación CVSS de 9,8, permite
la ejecución remota de código (RCE) a través de correos electrónicos
especialmente diseñados.