Cuando la confianza se convierte en el vector de ataque

La última semana de mayo dejó una señal clara para los equipos de seguridad: las amenazas más relevantes ya no están enfocadas únicamente en explotar vulnerabilidades técnicas. Cada vez más atacantes buscan aprovechar relaciones de confianza previamente establecidas.

Durante años, las organizaciones construyeron sus estrategias de ciberseguridad alrededor de una premisa relativamente simple: proteger el perímetro, endurecer los sistemas críticos y capacitar a los usuarios para evitar errores humanos.

Sin embargo, el panorama actual está evolucionando rápidamente.

Los atacantes ya no buscan únicamente vulnerabilidades técnicas evidentes. Tampoco dependen exclusivamente de campañas masivas de malware o phishing tradicional.

Ahora están aprovechando algo mucho más poderoso:

La confianza.

La confianza que depositamos en nuestros controladores de dominio.
La confianza que otorgamos a una VPN corporativa.
La confianza en un marketplace oficial.
La confianza en una extensión de desarrollo.
La confianza en Microsoft 365.
La confianza en una herramienta utilizada por miles de desarrolladores.

La edición de esta semana del RADAR CTI muestra precisamente esta tendencia. Los incidentes, vulnerabilidades y campañas observadas tienen un denominador común: aprovechar componentes legítimos del ecosistema tecnológico para obtener acceso, persistencia o privilegios elevados.

El riesgo más importante de la semana: Active Directory en la mira

Uno de los hallazgos más relevantes fue la vulnerabilidad crítica CVE-2026-41089 en Windows Netlogon. A simple vista podría parecer una vulnerabilidad más dentro de las actualizaciones mensuales de Microsoft.

Pero no lo es. La diferencia está en dónde impacta.

Netlogon es un componente fundamental para la autenticación dentro de Active Directory. Cuando una vulnerabilidad afecta a un controlador de dominio, el riesgo deja de ser local y se convierte en organizacional.

Un controlador de dominio administra:

• autenticación de usuarios,
• políticas corporativas,
• permisos,
• acceso a recursos críticos,
• y la identidad digital de toda la organización.

En términos prácticos, comprometer un Domain Controller puede significar comprometer la empresa completa.

Por eso este tipo de vulnerabilidades deben recibir prioridad inmediata dentro de cualquier programa de Vulnerability Management.

Las VPN vuelven al centro de atención

Durante los últimos años, las VPN se han convertido en uno de los objetivos favoritos de los atacantes. Y esta semana no fue la excepción.

Palo Alto actualizó la vulnerabilidad CVE-2026-0257 en GlobalProtect y la marcó oficialmente con el estatus ATTACKED, indicando evidencia de explotación activa.

La relevancia de este caso va más allá de la vulnerabilidad específica.

Las VPN representan uno de los pocos puntos de acceso expuestos directamente a Internet que tienen conexión con los sistemas internos de una organización.

Por ello, cualquier falla en autenticación, autorización o gestión de sesiones debe considerarse una prioridad crítica.

La pregunta que los líderes de TI deberían hacerse esta semana es sencilla:

¿Tenemos visibilidad completa sobre quién está entrando a través de nuestra VPN y desde dónde lo está haciendo?

El phishing evoluciona: ahora roba tokens, no contraseñas

Quizá la noticia más interesante desde una perspectiva estratégica fue Kali365. A diferencia del phishing tradicional, este kit no busca convencer al usuario de escribir su contraseña en una página falsa.

Hace algo mucho más sofisticado. Guía a la víctima a través de un flujo legítimo de autenticación de Microsoft para obtener tokens OAuth válidos.

¿El problema?

El usuario puede tener MFA habilitado, puede utilizar autenticación fuerte, puede seguir todas las políticas corporativas.

Y aun así entregar acceso al atacante. Esto cambia completamente la conversación sobre identidad.

Durante años las organizaciones se enfocaron en proteger credenciales. Ahora también deben proteger:

• tokens OAuth,
• sesiones activas,
• aplicaciones autorizadas,
• flujos Device Code,
• y permisos delegados.

La identidad ya no termina cuando el usuario inicia sesión. La identidad continúa mientras exista un token válido.

Los desarrolladores se han convertido en infraestructura crítica

Si hubo un sector especialmente atacado esta semana, fue el ecosistema de desarrollo. Por un lado, CISA incorporó nuevos casos relacionados con software comprometido dentro de la cadena de suministro, incluyendo DAEMON Tools, TanStack y Nx Console.

Por otro, la operación contra la botnet Glassworm reveló nuevamente el interés de los atacantes por comprometer:

• extensiones de VSCode,
• paquetes npm,
• paquetes Python,
• repositorios GitHub,
• llaves SSH,
• y credenciales de publicación.

Hace algunos años, comprometer un desarrollador permitía acceder a una estación de trabajo.

Hoy puede significar acceso a:

• repositorios de producción,
• pipelines CI/CD,
• infraestructura cloud,
• secretos corporativos,
• contenedores,
• y procesos de despliegue automatizados.

En otras palabras: Los desarrolladores ya no son únicamente usuarios. Son una extensión directa de la infraestructura crítica.

WordPress, Drupal y la realidad de los sitios expuestos

Dos vulnerabilidades destacaron particularmente esta semana.

La primera afecta a Drupal mediante una SQL Injection explotada activamente en entornos PostgreSQL.

La segunda permite la creación de administradores sin autenticación en WP Maps Pro para WordPress.

Ambos casos recuerdan una realidad que muchas organizaciones siguen ignorando: Los sitios web institucionales siguen siendo activos de negocio críticos.

Portales de atención ciudadana, universidades, medios de comunicación, plataformas de comercio electrónico y servicios financieros dependen de CMS que, en ocasiones, permanecen meses o incluso años sin actualizaciones adecuadas.

La consecuencia no es únicamente una brecha técnica. Es una afectación reputacional, operativa y regulatoria.

La IA también empieza a generar nuevos riesgos

Otro tema que merece atención es la vulnerabilidad BadHost en Starlette.

Aunque técnicamente se trata de una validación incorrecta del encabezado Host, su impacto potencial alcanza ecosistemas completos de aplicaciones modernas y plataformas basadas en IA.  ¿Por qué importa?

Porque muchos servicios de IA actuales utilizan:

• FastAPI,
• LiteLLM,
• vLLM,
• servidores MCP,
• APIs OpenAI compatibles,
• dashboards de IA generativa.

Una vulnerabilidad aparentemente pequeña puede convertirse en un problema de control de acceso, exposición de servicios internos o manipulación de rutas críticas.

La adopción acelerada de IA está ampliando la superficie de ataque mucho más rápido de lo que muchas organizaciones pueden gobernar.

La conclusión para México y Latinoamérica

No hubo esta semana un gran ransomware contra infraestructura crítica mexicana. No hubo una brecha nacional comparable con eventos históricos.

Y precisamente ahí está el riesgo. Porque las amenazas más peligrosas ya no siempre generan titulares.

Muchas veces aparecen como:

• una actualización pendiente,
• una VPN mal configurada,
• una extensión comprometida,
• un token OAuth olvidado,
• un plugin vulnerable,
• o un desarrollador expuesto.

La realidad para las organizaciones mexicanas es que la mayoría de los incidentes importantes no comenzarán con una amenaza exótica.

Comenzarán con un activo conocido que alguien asumió que era seguro.

¿Qué debería priorizar una organización esta semana?

A partir de los hallazgos de este RADAR CTI, las acciones más importantes son:

• Priorizar el parcheo de controladores de dominio Windows.

• Revisar versiones y configuraciones de GlobalProtect.

• Auditar flujos Device Code y permisos OAuth en Microsoft 365.

• Rotar credenciales y secretos en entornos de desarrollo.

• Revisar extensiones, paquetes y dependencias utilizadas por desarrolladores.

• Actualizar Drupal, WordPress y plugins críticos.

• Evaluar APIs y plataformas de IA expuestas a Internet.

• Mantener monitoreo activo sobre eventos de identidad y accesos privilegiados.

La verdadera lección de esta semana

La transformación digital ha permitido a las organizaciones ser más rápidas, más conectadas y más eficientes. Pero también ha multiplicado las relaciones de confianza.  Y hoy, esas relaciones se han convertido en uno de los objetivos favoritos de los atacantes.

La pregunta ya no es únicamente: ¿Estamos protegidos contra amenazas externas?

La pregunta correcta es: ¿Qué sistemas, usuarios o proveedores consideramos confiables sin verificar continuamente esa confianza?

Porque las amenazas cambian cada semana.

Y la capacidad de anticiparlas sigue siendo la diferencia entre una alerta gestionada y una crisis operativa. 

¿Necesitas ayuda para identificar cuáles de estas amenazas podrían impactar directamente a tu organización?

En Grupo Smartekh ayudamos a los equipos de TI y ciberseguridad a transformar inteligencia de amenazas en decisiones accionables, mediante servicios de Threat Intelligence, Vulnerability Management, IAM, Next Gen SOC y Estrategia de Ciberseguridad alineada al negocio.

#CyberThreatIntelligence #ThreatIntelligence #CyberSecurity #SOC #VulnerabilityManagement #RiesgoBajoControl #CiberseguridadEstratégica#RadarCTI #CTIsmartekh