Skip to main content
¿Bajo Incidente?

Radar CTI | El acceso remoto y la infraestructura enterprise bajo fuego real 08-16Jun

Grupo Smartekh
by Grupo Smartekh
16/06/26 15:40

El acceso remoto y la infraestructura enterprise bajo fuego real

La semana del 8 al 16 de junio llegó con una agenda apretada: una VPN crítica explotada activamente y vinculada con ransomware, una vulnerabilidad de CVSS 9.8 en PeopleSoft con extorsión confirmada, un Patch Tuesday de junio con cerca de 200 vulnerabilidades, y en México, una superficie de riesgo que no aparece en los titulares pero que afecta al sistema financiero y al comercio alrededor del Mundial 2026.

Esta edición del RADAR CTI tiene un denominador común: los atacantes están apuntando a las capas más profundas del acceso corporativo. No buscan el endpoint vulnerable del usuario final. Buscan el gateway de acceso remoto, el sistema ERP conectado a finanzas y logística, el servidor de respaldos, el appliance de movilidad, la red de administración.

Comprometer uno de esos activos no termina en una máquina aislada que se reinstala y listo. Termina en movimiento lateral, exfiltración prolongada, interrupción del servicio o extorsión directa.

La pregunta que esta semana debería hacerse cualquier equipo de TI y ciberseguridad es directa:

¿Cuántos de estos activos críticos tenemos visibles, monitoreados y parcheados hoy?

Radar CTI | Ciberataques reales al acceso remoto y la infraestructura enterprise 08-16Jun

*Pica la imagen para descargar esta edición*

Check Point VPN: cuando la puerta de entrada se convierte en el vector

La semana abrió con una alerta sensible para el perímetro. CVE-2026-50751 afecta Check Point Remote Access VPN y Mobile Access. El problema se presenta en despliegues con IKEv1 heredado y, bajo ciertas condiciones, permite conexiones VPN no autorizadas. Check Point lo trató como explotación real y reportes públicos lo vinculan con incidentes donde apareció el ransomware Qilin.

Para una organización mexicana, esto no es solo una falla técnica de conectividad. Es una posible puerta de entrada a la red interna que habilita movimiento lateral y cifrado de información. Si el gateway estuvo expuesto antes del parche, la postura correcta no es asumir que no pasó nada: es asumir que puede haber habido actividad y hacer el hunting correspondiente.

Las acciones prioritarias son:

  • Aplicar el hotfix oficial de Check Point para CVE-2026-50751 en la rama instalada, validando Quantum Security Gateway, CloudGuard y Quantum Spark.
  • Deshabilitar IKEv1 heredado donde no sea estrictamente necesario y exigir MFA resistente a phishing en acceso remoto.
  • Hacer hunting de accesos VPN anómalos desde el 7 de mayo: nuevas sesiones, cambios de grupos y actividad lateral posterior al acceso inicial.

PeopleSoft: extorsión contra infraestructura enterprise con CVSS 9.8

Oracle publicó una alerta fuera de ciclo para CVE-2026-35273 en PeopleSoft PeopleTools. La falla es explotable sin autenticación y puede terminar en ejecución remota de código. Mandiant vinculó la campaña activa con el grupo UNC6240 / ShinyHunters, con extorsión confirmada y organizaciones de educación superior entre los blancos más visibles.

PeopleSoft aparece en universidades, corporativos y entidades grandes de México y Latinoamérica. Si está expuesto a internet, el riesgo no se queda en la aplicación: puede incluir datos personales, cuentas internas, integraciones con otros sistemas y servidores conectados. El daño potencial no es operativo solamente; es regulatorio y reputacional.

Ivanti Sentry: RCE como root en el appliance de movilidad corporativa

Ivanti publicó parches para fallas críticas en Sentry, incluyendo CVE-2026-10520 y CVE-2026-10523. La más delicada permite ejecución remota de comandos como root en versiones vulnerables. CISA llevó al menos una de ellas a su catálogo KEV de vulnerabilidades explotadas activamente, y después se observó actividad en honeypots. 

El detalle que eleva la prioridad: Sentry suele estar cerca de correo, móviles, autenticación y tráfico corporativo. Un appliance comprometido puede convertirse en un pivote silencioso dentro de la red, no solo en un equipo aislado que se reinstala. Conservar los logs antes de cualquier reinstalación y buscar actividad desde el 8 de junio en adelante es la primera acción. 

Patch Tuesday de junio: volumen alto, zero-days y Exchange en el radar

El Patch Tuesday de junio corrigió cerca de 200 vulnerabilidades, con varias críticas y fallas públicamente divulgadas. Además de los temas de Windows, Exchange sigue siendo prioridad: en versiones vulnerables, un correo especialmente preparado puede ejecutar JavaScript en el navegador de la víctima desde OWA.

El volumen importa porque muchos equipos aplican parches por lotes y dejan los servidores para después. En este corte, los activos de administración, Exchange, endpoints de usuarios sensibles y servidores Windows deberían ir primero. No después.

 

Chrome V8: explotación activa desde páginas maliciosas 

Google corrigió CVE-2026-11645 en V8 y confirmó explotación en la naturaleza. El escenario no requiere mucho ruido: basta con llevar al usuario a una página preparada para ejecutar código dentro del sandbox del navegador. El riesgo sube especialmente en áreas que abren enlaces todo el día: compras, cobranza, soporte, finanzas, ejecutivos y mesa de ayuda.

La versión corregida es Chrome 149.0.7827.102 o superior en Windows/Linux y 149.0.7827.103 en macOS. Usar EDR o MDM para confirmar la versión real instalada, no solo la política de actualización aplicada.

Veeam Backup & Replication: RCE en el servidor de respaldos

Veeam publicó corrección para CVE-2026-44963 en Backup & Replication. La falla permite ejecución remota de código en el servidor de backup por un usuario autenticado de dominio. Aunque requiere credenciales, el activo afectado es de los más sensibles en un escenario de ransomware: los respaldos son la última línea de recuperación.

Si el servidor Veeam cae antes o durante un ataque, el atacante puede tocar repositorios, borrar tareas, preparar cifrado o impedir una restauración limpia. La versión corregida es 12.3.2.4854 o superior (Veeam indica que 13.x no está afectado por esta arquitectura).

SAP Patch Day: NetWeaver y SAML al frente con CVSS 9.9

SAP publicó sus notas de seguridad de junio con correcciones relevantes en NetWeaver, Commerce y Data Hub. La más severa es CVE-2026-44748 con CVSS 9.9, relacionada con XML Signature Wrapping en autenticación SAML de NetWeaver AS ABAP.

SAP suele estar conectado a procesos financieros, ventas, inventario y flujos B2B. Una falla en autenticación SAML no solo afecta el login: puede comprometer identidad, integraciones y flujos críticos de negocio. La validación de SAML, IdP, certificados y trust relationships no es opcional en este ciclo.

 

Cisco, Arista y el plano de administración de red en KEV

CISA agregó a su catálogo KEV dos vulnerabilidades de infraestructura de red: CVE-2026-20245 en Cisco Catalyst SD-WAN Manager y CVE-2026-7473 en Arista EOS. Cuando el plano de administración de red cambia, el impacto se vuelve silencioso: rutas, túneles, políticas y segmentación pueden quedar alteradas sin que el usuario final note algo de inmediato.

La lección de esta semana

Esta semana no hubo un solo mega-incidente que concentrara la atención. Hubo diez frentes simultáneos: VPN, ERP, appliances, navegadores, respaldos, redes, stacks de IA, CMS, herramientas RMM y fraude financiero.

Y eso es exactamente el nuevo escenario de amenazas para las organizaciones mexicanas. El riesgo ya no viene de un único vector espectacular. Viene de la suma de activos conocidos, con parches pendientes, monitoreados de forma parcial, en un entorno donde los atacantes tienen más herramientas y más superficie que nunca.

La diferencia entre una alerta gestionada y una crisis operativa no está en el tamaño del equipo de seguridad. Está en la capacidad de saber, antes de que el atacante actúe, cuáles son los activos expuestos y cuáles son las acciones prioritarias.

Descarga la edición de esta semana. 

¿Necesitas ayuda para identificar cuáles de estas amenazas podrían impactar directamente a tu organización?

En Grupo Smartekh ayudamos a los equipos de TI y ciberseguridad a transformar inteligencia de amenazas en decisiones accionables, mediante servicios de Threat Intelligence, Vulnerability Management, IAM, Next Gen SOC y Estrategia de Ciberseguridad alineada al negocio.

#CyberThreatIntelligence #ThreatIntelligence #CyberSecurity #SOC #VulnerabilityManagement #RiesgoBajoControl #CiberseguridadEstratégica#RadarCTI #CTIsmartekh

Tags:

CTIsmartekh, #CloudThreatIntelligence
Grupo Smartekh
escrito porGrupo Smartekh
16/06/26 15:40
Ciberseguridad estratégica para líderes que quieren crecer sin miedo. En este espacio compartimos ideas, aprendizajes y alertas que importan. Desde hacks reales hasta errores evitables, todo explicado en lenguaje claro y con enfoque de negocio. Somos un equipo apasionado por hacer que la ciberseguridad no solo sea técnica, sino también útil, humana y accionable. Aquí no solo hablamos de firewalls y vulnerabilidades: hablamos de decisiones inteligentes, riesgos bajos y estrategias que permiten a las empresas mexicanas avanzar con confianza.
Follow me on my website Follow me on Facebook Follow me on LinkedIn Follow me on Twitter

Related Articles

Radar CTI | Cuando la confianza se convierte en el vector de ataque 26May-01Jun
CTIsmartekh
2/06/26 11:53
Radar CTI | Cuando la confianza se convierte en el vector de ataque 26May-01Jun

5 min read

Radar CTI | vulnerabilidades críticas, riesgos IA y ataques supply chain en aumento | 11-18 Mayo
CTIsmartekh
18/05/26 13:46
Radar CTI | vulnerabilidades críticas, riesgos IA y ataques supply chain en aumento | 11-18 Mayo

4 min read

Comentarios

This image is missing an alt tag
¿Qué tiene que ver con... ciberseguridad?

 ¿Qué tiene que ver la ciberseguridad con...? 
En un blog en donde se busca traducir riesgos de ciberseguridad en decisiones estratégicas para el board.

 
Categorías
Lo más nuevo