La semana en brechas de seguridad

11 de marzo de 2026

Los incidentes cibernéticos de esta semana ponen de manifiesto una combinación de vulnerabilidades explotadas, ataques a infraestructuras y filtraciones de datos corporativos. Cisco advirtió a los usuarios sobre dos fallos críticos en el Catalyst SD-WAN Manager, mientras que el grupo de ransomware Qilin reivindicó la autoría de un ataque contra la cooperativa eléctrica estadounidense TVEC. Por su parte, la Fundación Wikimedia se enfrentó a un incidente de malware autopropagable, el gigante holandés de pinturas AkzoNobel confirmó una filtración de gran envergadura y LexisNexis informó de un incidente de ciberseguridad en su división Legal & Professional.

Norteamérica

Cisco

Sector: Tecnología Vulnerabilidad: Vulnerabilidad de día cero

Cisco ha advertido a los usuarios de la existencia de dos vulnerabilidades en Catalyst SD-WAN Manager (antes conocido como SD-WAN vManage) que actualmente están siendo explotadas de forma activa en la red.

Las vulnerabilidades reveladas son:

  • CVE-2026-20122 (puntuación CVSS: 7,1) – Una vulnerabilidad de sobrescritura arbitraria de archivos que podría permitir a un atacante remoto autenticado sobrescribir archivos arbitrarios en el sistema de archivos local. Para que la explotación tenga éxito, se requieren credenciales válidas de solo lectura con acceso a la API en el sistema afectado.
  • CVE-2026-20128 (puntuación CVSS: 5,5) – Una vulnerabilidad de divulgación de información que podría permitir a un atacante local autenticado obtener privilegios de usuario del Agente de Recopilación de Datos (DCA) en el sistema afectado. Para que la explotación tenga éxito, se requieren credenciales válidas de vManage.

La empresa no ha facilitado detalles sobre la magnitud de los ataques ni sobre los autores de las amenazas implicados. La revelación se produce una semana después de que Cisco informara de que una vulnerabilidad crítica en Cisco Catalyst SD-WAN Controller y Catalyst SD-WAN Manager, identificada como CVE-2026-20127 con una puntuación CVSS de 10,0, fue explotada por un actor malicioso sofisticado conocido como UAT-8616 para establecer un acceso persistente a organizaciones de alto valor.

Fuente

Cómo puede afectar a su empresa

Dado que estas vulnerabilidades ya están siendo explotadas activamente, los usuarios deben actualizar a una versión del software que las corrija lo antes posible. Las organizaciones también deben restringir el acceso desde redes no seguras, colocar los dispositivos detrás de un cortafuegos, desactivar el acceso HTTP al portal de administración de Catalyst SD-WAN Manager y desactivar servicios como HTTP y FTP cuando no sean necesarios. Cambiar las contraseñas de administrador predeterminadas y supervisar de cerca los registros del sistema en busca de tráfico entrante o saliente inesperado también puede ayudar a detectar actividades sospechosas de forma temprana.

Estados Unidos

Cooperativa Eléctrica del Valle de Tennessee (TVEC)

Sector: Energía y recursos naturales Vulnerabilidad: ransomware y malware

Los ciberdelincuentes siguen atacando infraestructuras críticas, y el grupo de ransomware Qilin ha afirmado haber violado la seguridad de la Tennessee Valley Electric Cooperative (TVEC), una cooperativa eléctrica estadounidense.

Con sede en Savannah, Tennessee, TVEC presta servicio eléctrico a clientes de los condados de Wayne y Hardin, en el oeste de Tennessee. La cooperativa no se ha pronunciado públicamente sobre las afirmaciones de la banda de ransomware. Sin embargo, a juzgar por los ataques anteriores del grupo, los datos sustraídos podrían incluir información de los empleados, registros de clientes o documentos internos de la organización.

El grupo ya había atacado anteriormente a otras cooperativas eléctricas estadounidenses, entre ellas la Cooperativa Eléctrica de Karnes y la Cooperativa Eléctrica de San Bernard, el año pasado.

Fuente

Cómo puede afectar a su empresa

Las organizaciones que gestionan infraestructuras críticas son cada vez más el blanco de ciberdelincuentes y actores estatales que pretenden interrumpir servicios esenciales o sustraer datos operativos confidenciales. Para reforzar sus defensas, las organizaciones deben segmentar las redes críticas, implementar una vigilancia continua de actividades sospechosas y poner a prueba periódicamente sus planes de copia de seguridad y recuperación ante desastres, con el fin de mantener la resiliencia operativa.

Norteamérica

Fundación Wikimedia

Sector: Sin ánimo de lucro e impacto social Explotación: Ransomware y malware

La Fundación Wikimedia, la organización sin ánimo de lucro que aloja Wikipedia, sufrió el 5 de marzo un grave incidente de seguridad relacionado con un gusano de JavaScript que se propagaba por sí mismo.

El problema salió a la luz después de que los usuarios detectaran un aumento repentino de ediciones automáticas que insertaban scripts ocultos y vandalizaban páginas aleatorias. El gusano modificó los scripts de los usuarios y desfiguró páginas de Meta-Wiki. Según el sistema de seguimiento de incidencias Phabricator de Wikimedia, el ataque parece haber comenzado cuando se ejecutó un script malicioso alojado en la Wikipedia en ruso, lo que alteró un script global de JavaScript en Wikipedia con código malicioso.

Según se informa, el script malicioso, subido por primera vez en marzo de 2024, está relacionado con scripts utilizados en ataques anteriores dirigidos a proyectos wiki.

Fuente

Cómo puede afectar a su empresa

Los gusanos de JavaScript que se propagan por sí mismos son especialmente peligrosos, ya que se aprovechan de la confianza depositada en el código de código abierto y pueden propagarse automáticamente por los entornos de desarrollo. Las organizaciones deben controlar estrictamente las dependencias de terceros, aplicar comprobaciones de integridad de los paquetes y supervisar los repositorios en busca de cambios inusuales para impedir que el código malicioso se propague a lo largo de la cadena de suministro de software.

Estados Unidos

AkzoNobel

Industria: Fabricación Explotación: Ransomware y malware

El gigante holandés de la fabricación de pinturas AkzoNobel confirmó que unos piratas informáticos habían penetrado en la red de una de sus sedes estadounidenses tras una filtración de datos provocada por la banda de ransomware Anubis.

AkzoNobel es una importante empresa de pinturas y recubrimientos que cuenta con marcas tan conocidas como Dulux, Sikkens, International e Interpon bajo su paraguas corporativo. El grupo de ransomware Anubis afirma haber sustraído 170 GB de datos de la empresa. Según se informa, las muestras publicadas en su sitio web de filtraciones incluyen acuerdos confidenciales con clientes de alto perfil, direcciones de correo electrónico, números de teléfono, correspondencia privada por correo electrónico, escaneos de pasaportes, documentos de ensayos de materiales y hojas de especificaciones técnicas internas.

Por su parte, la empresa ha declarado que el impacto parece ser limitado y que está tomando las medidas oportunas para informar y prestar apoyo a las partes que puedan verse afectadas.

Fuente

Cómo puede afectar a su empresa

Los grupos de ransomware como Anubis operan bajo un modelo de «ransomware como servicio» (RaaS), lo que reduce las barreras de entrada a la ciberdelincuencia y facilita que incluso los delincuentes con menos conocimientos técnicos puedan lanzar ataques sofisticados. Para hacer frente a este panorama cada vez más amenazante del ransomware, las organizaciones deben implementar una supervisión proactiva de las amenazas, mantener copias de seguridad cifradas y sometidas a pruebas periódicas, y garantizar que los sistemas puedan restaurarse rápidamente sin tener que recurrir al pago de rescates.

¿Te gusta lo que lees?

Suscríbete ahora para recibir cada semana noticias e información sobre seguridad en tu bandeja de entrada

Próximos webinars y eventos

Participa en nuestros próximos eventos y seminarios web para conocer las opiniones de los expertos, estrategias prácticas y las últimas tendencias en ciberseguridad.

Network Detective Tech Jam: Detectar los riesgos antes que el atacante

25 de marzo de 2026, 11:00 a. m. EDT

Mantener una visibilidad en tiempo real de los riesgos de la red puede resultar complicado, ya que los entornos de TI son cada vez más complejos y las ciberamenazas, cada vez más sofisticadas. En esta sesión, descubre cómo Network Detective optimiza y automatiza las evaluaciones de TI para detectar errores de configuración, sistemas heredados y puntos vulnerables que los atacantes suelen aprovechar.

Regístrese ahora

Los 10 hallazgos más comunes en pruebas de penetración que los atacantes adoran aprovechar

12 de marzo de 2026, 14:00 h (hora del este)

Descubre los 10 hallazgos más comunes en las pruebas de penetración en los que más se basan los atacantes, según los datos de las últimas 50 000 pruebas de penetración de redes realizadas por Vonahi. No se trata de exploits de día cero poco comunes, sino de vulnerabilidades recurrentes que están presentes de forma activa en entornos informáticos reales y que, en muchos casos, las herramientas de análisis tradicionales siguen pasando por alto.

Regístrese ahora