Norteamérica
Usuarios de Microsoft Teams
El equipo de detección y respuesta de Microsoft ha revelado una campaña de suplantación de identidad por voz (vishing) en Microsoft Teams dirigida a los usuarios de Microsoft.
En esta campaña, los autores de las amenazas se hacen pasar por el servicio de asistencia técnica y engañan a los usuarios para que les concedan acceso remoto a través de Quick Assist de Microsoft, lo que les permite comprometer inicialmente el dispositivo. Una vez establecido el acceso, los atacantes pasan de la ingeniería social a la manipulación directa del teclado. A continuación, dirigen a los usuarios a sitios web maliciosos que les piden que introduzcan sus credenciales corporativas en formularios falsificados, lo que desencadena la descarga de múltiples cargas maliciosas.
Este incidente pone de relieve un tipo de ataques cada vez más frecuente que se aprovecha de la confianza de los usuarios, las plataformas de colaboración y las herramientas integradas legítimas para obtener acceso y desplazarse lateralmente dentro de los entornos.
FuenteCómo puede afectar a su empresa
Los atacantes aprovechan cada vez más las herramientas de confianza y las plataformas de colaboración para obtener acceso no autorizado. En estos incidentes, los autores de las amenazas crean una sensación de urgencia y confianza que puede hacer que los usuarios bajen la guardia. Las organizaciones deben restringir las comunicaciones entrantes procedentes de cuentas de Teams no gestionadas, adoptar un enfoque basado en listas de permitidos para los dominios externos de confianza y revisar el uso de herramientas de acceso remoto para reducir el riesgo de que se produzcan este tipo de incidentes. También es fundamental sensibilizar a los usuarios para que los empleados puedan reconocer las solicitudes sospechosas antes de que causen daños.
Estados Unidos
Foster City
Foster City, California, declaró el estado de emergencia después de que un ataque de ransomware interrumpiera los servicios municipales durante más de una semana.
El 20 de marzo, las autoridades municipales confirmaron que la mayoría de los sistemas informáticos se habían desconectado tras detectar actividades sospechosas en la red el día anterior. La interrupción afectó considerablemente al funcionamiento de la ciudad, ya que la mayoría de los servicios públicos, salvo los de emergencia, quedaron temporalmente fuera de servicio. Las autoridades también expresaron su preocupación por la posibilidad de que se hubiera accedido a información pública, aunque esto no se ha confirmado.
Las autoridades municipales han informado de que han activado los protocolos de respuesta y están colaborando con expertos independientes en ciberseguridad para investigar el incidente y restablecer los sistemas. Aunque los detalles siguen siendo escasos, se ha recomendado a los residentes y a quienes realizan trámites con el ayuntamiento que cambien sus contraseñas como medida de precaución.
FuenteCómo puede afectar a su empresa
Los ataques contra los servicios públicos siguen aumentando, lo que perturba operaciones esenciales y afecta a los ciudadanos que dependen de ellos a diario. Las organizaciones gubernamentales y del sector público deben reforzar sus defensas mediante una vigilancia proactiva de las amenazas, estrategias de copia de seguridad y recuperación ante desastres bien probadas, y planes de respuesta claros para mantener la continuidad durante incidentes como este.
Norteamérica
Vulnerabilidad del cortafuegos de Cisco
Según el equipo de inteligencia sobre amenazas de Amazon, una vulnerabilidad que Cisco corrigió a principios de este mes en sus cortafuegos ha sido objeto de ataques de tipo «día cero» desde, al menos, finales de enero.
La vulnerabilidad, identificada con el código CVE-2026-20131, es una falla de deserialización explotable de forma remota en el software Cisco Secure Firewall Management Center (FMC) y tiene una puntuación CVSS máxima de 10. Aunque Cisco publicó un parche el 4 de marzo, un informe indica que el grupo de ciberdelincuentes Interlock la había estado explotando como una vulnerabilidad de día cero desde al menos el 26 de enero, lo que pone de manifiesto una grave demora en la aplicación de parches.
Cisco actualizó su aviso el 18 de marzo para informar a los clientes sobre este ataque que ya se está produciendo en la red.
FuenteCómo puede afectar a su empresa
Si bien este incidente pone de manifiesto la demora por parte de los proveedores, también refuerza la necesidad de que las organizaciones cuenten con un sistema automatizado de gestión de parches. Las actualizaciones oportunas y automatizadas ayudan a garantizar que las vulnerabilidades se solucionen rápidamente, al tiempo que permiten a los equipos de TI centrarse en iniciativas de seguridad más estratégicas.
Estados Unidos
Trinity Health
Trinity Health, un sistema sanitario católico sin ánimo de lucro con sede en Míchigan que gestiona más de 92 hospitales en 22 estados de EE. UU., ha informado de una filtración de datos que afecta a información sanitaria protegida (PHI).
Trinity Health participa en intercambios electrónicos automatizados de datos con plataformas de intercambio de información sanitaria (HIE) para facilitar el acceso fluido a los datos de los pacientes entre los distintos proveedores. El 13 de enero, la organización fue informada por su socio HIE, Health Gorilla, de un posible acceso no autorizado a la información de los pacientes. Los datos expuestos pueden incluir detalles de la atención clínica, información demográfica, registros de seguros y, en algunos casos, números de permiso de conducir.
FuenteCómo puede afectar a su empresa
Las violaciones de seguridad por parte de terceros son cada vez más habituales en sectores regulados como el sanitario, donde los sistemas interconectados y los intercambios de datos amplían la superficie de ataque. Para reducir el riesgo, los proveedores de servicios sanitarios deben exigir evaluaciones de seguridad rigurosas a los terceros, limitar el intercambio de datos a lo estrictamente necesario y supervisar continuamente las integraciones para detectar a tiempo cualquier acceso no autorizado.
