La semana del 16 al 23 de junio dejó algo distinto a las anteriores: por primera vez en varias ediciones, México y Latinoamérica no aparecen como una nota al margen del boletín internacional. Aparecen como objetivo directo.
CloudSEK describió Operation Escaneo, una campaña activa contra agencias federales mexicanas, instituciones financieras del país y objetivos de infraestructura en toda la región. Y, en paralelo, FortiBleed dejó expuestas decenas de miles de URLs con credenciales de FortiGate en claro, un appliance ampliamente usado en VPN corporativas, sucursales y proveedores mexicanos.
El resto del panorama global tampoco dio tregua: vulnerabilidades críticas en Splunk, Joomla, FortiSandbox y Cisco ISE entraron al catálogo KEV de CISA, un troyano bancario para Android amplió su alcance, y el ecosistema de agentes de IA fue blanco directo de una campaña de cadena de suministro contra paquetes npm.
La pregunta que esta edición del RADAR CTI plantea a los equipos de TI y ciberseguridad en México es directa:
Si nuestra organización usa Fortinet o Ivanti en el perímetro, ¿sabemos hoy si formamos parte de la superficie que estas campañas ya están escaneando?
*Pica la imagen para descargar esta edición*
CloudSEK describió Operation Escaneo como una campaña contra agencias federales mexicanas, instituciones financieras del país y objetivos de infraestructura en LATAM. La actividad se apoya en appliances expuestos, especialmente Fortinet FortiOS SSL-VPN e Ivanti Connect Secure.
No hay confirmación pública gubernamental sobre incidentes concretos, pero el valor operativo del hallazgo es claro: los patrones de comportamiento observados encajan con intrusiones de perímetro, reconocimiento automatizado, persistencia y exfiltración. Para cualquier organización mexicana con exposición Fortinet o Ivanti, esto justifica un ejercicio de hunting inmediato, no una nota informativa para archivar.
Las acciones prioritarias son:
FortiBleed tomó más peso durante este corte porque no se trata solo de una lista filtrada más: los reportes describen 73,932 URLs de Fortinet/FortiGate con usuarios, correos y contraseñas en texto claro. Fortinet sostiene que se trataría de reutilización de datos previos combinada con fuerza bruta, no una vulnerabilidad nueva en su software.
Pero operativamente, eso no cambia el riesgo: si esas credenciales siguen vigentes, el atacante no necesita explotar nada técnico. Puede simplemente iniciar sesión. Para México, el riesgo es directo por el uso extendido de FortiGate en VPN, sucursales, terceros y proveedores. Un atacante con credenciales válidas puede tocar Active Directory, RADIUS, abrir sesiones RDP o aprovechar accesos de MSP ya considerados confiables.
Frente a esto, lo urgente es:
Splunk actualizó su aviso el 18 de junio tras observar explotación limitada de CVE-2026-20253. El punto delicado está en el endpoint del PostgreSQL Sidecar: un atacante no autenticado puede crear o truncar archivos, y la investigación técnica mostró que el abuso puede escalar hasta ejecución de código.
En muchas empresas, Splunk concentra telemetría sensible, credenciales de integración y la visibilidad completa del SOC. Si el servidor está expuesto o mal segmentado, el impacto no se queda en el log: puede abrir una ruta para manipular archivos, ejecutar código y borrar evidencia, justo en la herramienta que debería detectar el ataque.
CISA agregó CVE-2026-48907 a su catálogo KEV. La falla afecta Joomla Content Editor y permite que un atacante no autenticado cree perfiles de editor que habilitan carga y ejecución de PHP. Ya se reportó abuso automatizado para dejar webshells en sitios expuestos.
Es una falla de bajo ruido y alto impacto: el atacante no necesita una cuenta válida y puede convertir un sitio Joomla en punto de persistencia, phishing, distribución de malware o pivote hacia otros servicios del mismo hosting. La versión corregida es Joomla Content Editor 2.9.99.5 o superior.
Investigadores reportaron explotación de tres CVE en FortiSandbox que combinan path traversal y command injection mediante solicitudes HTTP. FortiSandbox suele recibir archivos sospechosos y conectar con otros controles Fortinet, así que si el appliance cae, el atacante puede usarlo como punto de ejecución, robo de artefactos o salida hacia internet bajo apariencia legítima.
Cisco, por su parte, confirmó explotación activa de CVE-2026-20262 en Catalyst SD-WAN Manager. Requiere credenciales con permisos de escritura, pero puede escalar hasta root y propagar cambios maliciosos hacia routers edge. Y en Cisco ISE / ISE-PIC, dos fallas corregidas permiten ejecución de código con escalamiento a root, o divulgación de información sin autenticación. ISE no es un servidor cualquiera: toma decisiones de acceso, segmentación y postura para toda la red.
Se publicó PoC para CVE-2026-50656 (RoguePlanet), una condición de carrera en Microsoft Defender que permite escalar privilegios a SYSTEM en endpoints donde el atacante ya logró ejecutar código. No es la puerta de entrada inicial, pero sí el paso que convierte una intrusión menor en control total del equipo.
F5 publicó parches fuera de ciclo para dos fallas críticas en NGINX que pueden provocar reinicio remoto no autenticado y, bajo condiciones específicas, ejecución de código. NGINX vive al borde de la red en reverse proxies, WAF, ingress controllers y gateways Kubernetes, así que una falla ahí afecta directamente la disponibilidad.
Y en FFmpeg, CVE-2026-8461 (PixelSmash) permite que un archivo multimedia malicioso detone ejecución de código en aplicaciones que generan thumbnails o transcodifican contenido subido por usuarios. El riesgo no está solo en reproductores: toca Nextcloud, Immich, PhotoPrism, Jellyfin y cualquier pipeline que procese videos o imágenes del lado servidor.
Squidbleed (CVE-2026-47729) permite fuga de datos HTTP en claro en escenarios de proxy compartido, y Gravity SMTP (CVE-2026-4020) fue explotado masivamente para exponer configuración, API keys, tokens y detalles del servidor en sitios WordPress.
Aunque Gravity SMTP tiene severidad media en el papel, el abuso masivo lo vuelve prioritario en la práctica. En ambos casos el peligro está en los secretos que quedan visibles: tokens, configuraciones internas o llaves usadas para correo y automatización, que un atacante puede reutilizar sin necesidad de explotar nada adicional.
A partir de los hallazgos de este RADAR CTI, las acciones más importantes son:
Esta semana, México dejó de ser un párrafo secundario al final del boletín. Operation Escaneo y FortiBleed muestran que las campañas que antes leíamos como noticias internacionales ahora tienen nombre, blanco y geografía local: agencias federales, instituciones financieras y la infraestructura que las soporta.
Eso no significa que el resto del panorama global pierda relevancia. Significa que la prioridad ya no se puede decidir solo por la severidad técnica de cada CVE. Se decide por la combinación de severidad, exposición real y blanco geográfico. Un appliance Fortinet con CVSS moderado pero dentro de una campaña activa contra México pesa más que una vulnerabilidad crítica en un sistema que la organización ni siquiera usa.
La capacidad de hacer esa priorización contextual, y no solo seguir un ranking de CVSS, es la diferencia entre una alerta gestionada y una crisis operativa.
Descarga la edición de esta semana.
¿Necesitas ayuda para identificar cuáles de estas amenazas podrían impactar directamente a tu organización?
En Grupo Smartekh ayudamos a los equipos de TI y ciberseguridad a transformar inteligencia de amenazas en decisiones accionables, mediante servicios de Threat Intelligence, Vulnerability Management, IAM, Next Gen SOC y Estrategia de Ciberseguridad alineada al negocio.
#CyberThreatIntelligence #ThreatIntelligence #CyberSecurity #SOC #VulnerabilityManagement #RiesgoBajoControl #CiberseguridadEstratégica#RadarCTI #CTIsmartekh