Hackers explotan fallos de Citrix NetScaler para vulnerar infraestructuras críticas neerlandesas

Piratas informáticos han vulnerado varias organizaciones de infraestructuras críticas en los Países Bajos explotando un fallo de desbordamiento de memoria en Citrix NetScaler ADC y Gateway (CVE-2025-6543), clasificado como crítico. El Centro Nacional de Ciberseguridad neerlandés indicó que los atacantes se infiltraron en las redes a principios de mayo, semanas antes de que Citrix divulgara la vulnerabilidad el 25 de junio. Utilizando métodos sofisticados, los intrusos borraron evidencias para ocultar sus actividades. En junio también se reveló un fallo crítico similar (CVE-2025-5777).
Según los investigadores, más de 4.100 instancias de NetScaler expuestas en Internet siguen siendo vulnerables a la CVE-2025-6543 y más de 3.300 a la CVE-2025-5777 en todo el mundo, detectándose intentos de explotación en ambos casos.
La CISA ha añadido ambas fallas a su catálogo de Vulnerabilidades Conocidas Explotadas y urge a aplicar parches de inmediato, advirtiendo de riesgos similares a la oleada de ataques “CitrixBleed” de 2023. Citrix ha enfrentado múltiples divulgaciones de zero-day en los últimos años, lo que genera preocupación por la posible magnitud de estas intrusiones.

Fortinet advierte sobre fallo crítico en FortiSIEM con exploit activo

Fortinet insta a aplicar parches inmediatamente para resolver una vulnerabilidad crítica de inyección de comandos remotos no autenticados en FortiSIEM, identificada como CVE-2025-25256 (CVSS 9.8). El fallo afecta a las versiones de la 5.4 a la 7.3 y podría permitir a un atacante ejecutar código arbitrario mediante solicitudes CLI manipuladas. Aunque Fortinet no ha confirmado explotación zero-day, advierte que ya circula código de exploit funcional.
FortiSIEM es ampliamente utilizado por gobiernos, grandes empresas, instituciones financieras, proveedores sanitarios y MSSP, lo que hace que el fallo sea especialmente de alto riesgo. Detectar una intrusión es difícil, ya que la explotación no deja indicadores claros de compromiso.
Las actualizaciones están disponibles en FortiSIEM 7.3.2, 7.2.6, 7.1.8, 7.0.4 y 6.7.10, mientras que las versiones de la 5.4 a la 6.6 no recibirán correcciones por estar fuera de soporte.
La divulgación sigue a recientes picos de actividad maliciosa reportados por investigadores, lo que incrementa la preocupación por un posible aprovechamiento del fallo.

Microsoft corrige 107 fallos, incluido un zero-day en Windows Kerberos, en las actualizaciones de agosto de 2025

El Patch Tuesday de agosto de 2025 de Microsoft trae correcciones para 107 fallos de seguridad, incluido un zero-day divulgado públicamente en Windows Kerberos (CVE-2025-53779). La vulnerabilidad, de gravedad moderada, podría permitir que un atacante autenticado obtenga privilegios de administrador de dominio mediante recorrido de ruta relativo. Descubierta por Yuval Gordon de Akamai, fue publicada en mayo.
La actualización de este mes aborda 44 fallos de elevación de privilegios, 35 de ejecución remota de código, 18 de divulgación de información, cuatro de denegación de servicio y nueve de suplantación. Trece están clasificadas como críticas, de las cuales nueve permiten ejecución remota de código.
Otras correcciones destacadas incluyen parches críticos para Windows NTLM, GDI+, DirectX, Microsoft Office y Windows Message Queuing. Microsoft insta a actualizar cuanto antes, especialmente en entornos empresariales y controladores de dominio, para reducir la exposición a posibles ataques.
La actualización llega tras un mes de intensa actividad de seguridad entre varios proveedores, incluyendo parches urgentes de Adobe, Cisco, Fortinet, Google y Trend Micro para vulnerabilidades activamente explotadas.

ShinyHunters filtra 2,8 millones de registros de Allianz Life en una brecha de Salesforce

Piratas informáticos han filtrado 2,8 millones de registros de clientes y socios robados a la aseguradora estadounidense Allianz Life en una brecha de datos de Salesforce ocurrida en julio. El ataque, parte de una campaña más amplia contra sistemas de Salesforce, fue reivindicado por ShinyHunters, que ahora aseguran operar junto a Scattered Spider y exmiembros de Lapsus$.
Las tablas de base de datos “Accounts” y “Contacts” robadas contienen información personal y profesional sensible como nombres, direcciones, números de teléfono, fechas de nacimiento, números de identificación fiscal, afiliaciones empresariales e información de licencias.
La brecha se produjo mediante ingeniería social, engañando a empleados para que conectaran una aplicación OAuth maliciosa a las instancias de Salesforce de la empresa. Una vez conectados, los atacantes exfiltraron los datos y realizaron demandas de extorsión.
ShinyHunters, previamente vinculados a grandes brechas en AT&T y Snowflake, utilizan ahora un nuevo canal de Telegram para provocar a investigadores de ciberseguridad y fuerzas de seguridad, mientras se atribuyen múltiples ataques de alto perfil. La investigación de Allianz Life sigue en curso.

Nigeria registra el mayor crecimiento de ciberataques del mundo mientras África lidera la lista global de objetivos

Nigeria ha registrado el crecimiento más rápido de ciberataques a nivel mundial, según nuevos datos que muestran a África como la región más atacada del planeta. El Global Threat Intelligence Report de Check Point de julio de 2025 revela que las organizaciones nigerianas sufrieron una media de 6.101 ataques semanales, un aumento del 67% interanual, lo que la convierte en el país más atacado de África y uno de los más vulnerables del mundo.
En todo el continente, las organizaciones enfrentaron una media de 3.374 ataques semanales, con Angola (3.731), Kenia (3.468) y Sudáfrica (2.113) también muy afectados. Telecomunicaciones, Administración Pública y Servicios Financieros fueron los sectores más atacados, seguidos por Energía y Utilities.
A nivel global, las organizaciones sufrieron una media de 1.947 ataques semanales en julio, un 5% más que el año anterior. La educación fue el sector más golpeado, con 4.210 ataques semanales, mientras que la agricultura experimentó un aumento del 115%.
Los casos de ransomware aumentaron un 41%, hasta 487 incidentes, impulsados principalmente por Qilin, Akira y Play.

Noruega: hackers rusos tomaron temporalmente el control de una presa

Noruega ha atribuido oficialmente a hackers rusos un ciberataque contra la presa hidroeléctrica de Bremanger ocurrido en abril, marcando la primera vez que el país acusa directamente a Moscú de un incidente de este tipo. El 7 de abril, los atacantes tomaron el control de la instalación, abriendo una compuerta que liberó 500 litros de agua por segundo durante cuatro horas, antes de que la intrusión fuera detectada y detenida. No se reportaron heridos.
Beate Gangaas, jefa de la agencia de seguridad policial PST noruega, afirmó que el ataque formaba parte de un “cambio de actividad” por parte de actores cibernéticos pro-rusos, destinado a generar miedo y caos. Advirtió que el “vecino ruso” de Noruega “se ha vuelto más peligroso”.
El incidente pone de relieve los crecientes riesgos para la infraestructura energética noruega, altamente dependiente de la hidroelectricidad. Se produce tras advertencias más amplias sobre campañas de sabotaje rusas en Europa. Gangaas declaró que hizo público el caso para preparar a la población y disuadir nuevos ataques. La embajada rusa en Oslo no ha comentado.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización.

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.