Las amenazas cambian cada semana. 

La pregunta ya no es si una organización será objetivo de un ataque, sino qué tan rápido podrá detectarlo, contenerlo y responder antes de que el impacto afecte la operación.

Durante la semana del 4 al 12 de mayo de 2026, el panorama de ciberseguridad dejó algo claro: los atacantes están acelerando el abuso de cadenas de suministro, plataformas Cloud, herramientas de desarrollo y tecnologías impulsadas por IA.

En esta edición de Radar CTI, analizamos los acontecimientos más relevantes para ayudar a líderes de TI, ciberseguridad y negocio a tomar decisiones con contexto y prioridad.

Lo más relevante de la semana

Supply Chain: el nuevo campo de batalla silencioso

Los ataques a la cadena de suministro siguen creciendo porque permiten comprometer múltiples organizaciones desde un solo punto.

Esta semana vimos casos relevantes como:

• DAEMON Tools distribuyendo malware firmado
• TanStack publicando paquetes npm comprometidos
• Checkmarx y artefactos CI/CD afectados
• Trellix reportando acceso no autorizado a repositorios

El mensaje es contundente: ya no basta con confiar en que una herramienta es “oficial”.

Hoy, cualquier pipeline de desarrollo, dependencia npm, plugin o integrador puede convertirse en la puerta de entrada.

Qué deberían revisar las organizaciones

• Secretos expuestos en CI/CD

• Tokens OIDC y permisos en GitHub Actions

• Dependencias transitivas

• Integridad de artefactos y repositorios

• Rotación de credenciales cloud y DevOps

El phishing evolucionó: ahora roba sesiones, no solo contraseñas

Microsoft reportó campañas activas que impactaron a más de 35,000 usuarios en 26 países.

La diferencia ya no está solo en el correo malicioso. Ahora los atacantes utilizan:

• PDFs falsos
• CAPTCHA
• edirecciones dinámicas
• robo de tokens de sesión
• evasión de MFA tradicional

Además, campañas como Operation HookedWing muestran operaciones de phishing altamente persistentes que llevaban años activas sin ser detectadas públicamente.

¿Qué significa esto para las empresas?

El robo de tokens permite que un atacante:

• acceda directamente a Microsoft 365
• ingrese a SharePoint y Teams
• evada controles básicos MFA
• mantenga persistencia sin levantar alertas inmediatas

La conversación ya no es únicamente “activar MFA”.
La conversación correcta es implementar MFA resistente a phishing y monitoreo contextual de identidad.

IA, agentes autónomos y nuevos riesgos reales

Uno de los temas más delicados de la semana fue la aparición de vulnerabilidades críticas relacionadas con herramientas de IA y agentes autónomos.

Entre ellas:

• Open WebUI: RCE mediante upload de imagen
• Cline AI Agent: ejecución remota vía WebSocket local

El problema no es únicamente técnico.

Muchas organizaciones están integrando herramientas de IA en desarrollo, soporte y automatización sin procesos maduros de evaluación de riesgo.

Eso genera nuevos escenarios donde:

• un navegador puede comprometer un agente local
• un token puede exponer conversaciones internas
• una integración puede abrir ejecución remota sobre endpoints de desarrollo

La adopción de IA sin controles adecuados puede acelerar operaciones… o acelerar incidentes.

LATAM sigue bajo presión Ransomware

Los datos de ESET volvieron a colocar a México y Brasil entre los países con mayor exposición regional a ransomware.

Los sectores más afectados:

🏭 Manufactura
🏥 Salud
💻 Tecnología

Y el patrón se repite:

• credenciales comprometidas
• RDP expuesto
• accesos privilegiados mal segmentados
• respaldos sin validación real

Muchas organizaciones creen estar preparadas porque “sí tienen backups”.

El problema aparece cuando necesitan restaurarlos bajo presión real.

Vulnerabilidades críticas que no pueden esperar

Esta semana también dejó múltiples alertas críticas que requieren atención inmediata:

Palo Alto PAN-OS

RCE pre-auth con explotación activa confirmada.

SAP S/4HANA y Commerce Cloud

Riesgo directo sobre ERP y plataformas comerciales.

MOVEit Automation

Bypass de autenticación y elevación de privilegios.

Linux Dirty Frag

Nuevo LPE con PoC público.

Android

Falla crítica de ejecución remota en System.

Lo importante no es leer la noticia. Es actuar antes del impacto.

La inteligencia de amenazas no debería convertirse en ruido.

Su verdadero valor está en ayudar a responder preguntas como:

• ¿Qué me afecta realmente?
• ¿Qué debo priorizar esta semana?
• ¿Qué riesgo tiene impacto operativo?
• ¿Qué debo corregir primero?
• ¿Mi organización podría detectar esto a tiempo?

En Grupo Smartekh ayudamos a organizaciones a transformar información en acciones concretas mediante:

• Threat Intelligence

  Vulnerability Management

  Next Gen SOC Estrategia de Ciberseguridad

• Protección de identidades y entornos cloud

Porque hoy, la velocidad de respuesta ya forma parte de la estrategia del negocio.

📥 Descarga la edición completa de Radar CTI aquí:
https://info.smartekh.com/hubfs/BOLETIN%20CIBERSEGURIDAD%20CTI/RADAR%20CTI%20%20BOLETIN%20SEMANAL%20DE%20CIBERSEGURIDAD%20%20%20%2004-12%20MAYO.pdf

#CyberThreatIntelligence #ThreatIntelligence #CyberSecurity #SOC #VulnerabilityManagement #RiesgoBajoControl #CiberseguridadEstratégica