El Health Service Executive de Irlanda ofrece 750 € en compensación a las víctimas del ciberataque de 2021

Cuatro años después del ataque de ransomware Conti que paralizó el sistema sanitario irlandés, el HSE ha comenzado a ofrecer 750 € de compensación a las personas afectadas, junto con 650 € para cubrir los costes legales. El bufete O’Dowd Solicitors, que representa a más de 100 afectados, confirmó las primeras ofertas, calificándolas como un paso significativo que reconoce la responsabilidad del HSE ante las víctimas.
El incidente de 2021 sigue siendo el mayor ciberataque sufrido por un sistema sanitario, exponiendo los datos de casi 100.000 pacientes y empleados. Más de 620 acciones legales siguen en marcha, y el HSE afirma haber invertido de forma significativa en nuevas capacidades de ciberseguridad.

Microsoft corrige 57 vulnerabilidades, incluidas tres zero-day, en el Patch Tuesday de diciembre de 2025

El último Patch Tuesday del año introduce correcciones para 57 fallos, entre ellos una vulnerabilidad activamente explotada y dos zero-day divulgadas públicamente. Tres vulnerabilidades se califican como críticas por permitir ejecución remota de código.
La corrección más urgente es CVE-2025-62221, un fallo de elevación de privilegios en el Windows Cloud Files Mini Filter Driver que podría otorgar acceso con privilegios SYSTEM. Microsoft también ha corregido dos zero-day adicionales: CVE-2025-64671, una vulnerabilidad de inyección de comandos en GitHub Copilot for JetBrains, y CVE-2025-54100, un fallo en PowerShell que permite la ejecución no deseada de scripts mediante Invoke-WebRequest.
También se publicaron actualizaciones de Adobe, Fortinet, Google, Ivanti, React y SAP.

La policía española detiene a un joven de 19 años acusado de robar 64 millones de registros personales

La Policía Nacional ha detenido en Barcelona a un joven de 19 años sospechoso de vulnerar nueve empresas y robar 64 millones de registros personales que posteriormente intentó vender en foros de hackers. El sospechoso fue localizado en Igualada, donde se incautaron ordenadores y monederos de criptomonedas.
Los datos robados incluían nombres, direcciones, correos electrónicos, números de teléfono, DNI e incluso códigos IBAN. En un caso aparte, la ciberpolicía ucraniana detuvo a un joven de 22 años que desarrolló malware para comprometer automáticamente cuentas en línea y operaba una botnet de 5.000 perfiles falsos.

Fortinet, Ivanti y SAP publican parches urgentes para vulnerabilidades críticas

Fortinet ha corregido CVE-2025-59718 y CVE-2025-59719, con puntuación 9.8, que permiten a un atacante no autenticado eludir el inicio de sesión SSO de FortiCloud mediante mensajes SAML manipulados.
Ivanti ha solucionado una vulnerabilidad crítica de XSS almacenado (CVE-2025-10573) en Endpoint Manager que permite la inyección de JavaScript malicioso en los paneles de administración.
SAP ha publicado correcciones para 14 vulnerabilidades, tres de ellas críticas, incluida una de inyección de código (puntuación 9.9) en SAP Solution Manager. Se insta a las organizaciones a aplicar los parches lo antes posible.

Aumentan los ataques de ransomware contra hipervisores mientras el grupo Akira intensifica sus tácticas

Investigadores de Huntress advierten de un notable incremento en los ataques ransomware dirigidos a hipervisores, pasando del 3 por ciento en la primera mitad del año al 25 por ciento en la segunda. Los atacantes buscan comprometer los hipervisores para obtener control sobre todas las máquinas virtuales gestionadas.
Huntress ha observado casos donde el ransomware se despliega directamente a través del hipervisor, evitando completamente las defensas de los endpoints. También se han detectado credenciales robadas usadas para modificar configuraciones de Hyper-V, desactivar protecciones y preparar despliegues masivos. Se recomienda priorizar MFA, parches regulares, binarios permitidos y un mejor monitoreo de logs del hipervisor.

Sospechan que actores norcoreanos están detrás de la explotación avanzada de React2Shell

Según Sysdig, algunos de los ataques más sofisticados que explotan React2Shell (CVE-2025-55182) podrían estar vinculados a actores norcoreanos. La vulnerabilidad permite ejecución remota no autenticada y afecta a React 19 y frameworks relacionados como Next.js y RedwoodSDK.
Investigadores han observado el uso de EtherRAT, un implante persistente que utiliza contratos inteligentes de Ethereum para el C2 y múltiples mecanismos de persistencia en Linux. Su cargador cifrado recuerda a malware utilizado en campañas norcoreanas como Contagious Interview. También destaca el uso de Node.js descargado desde su sitio oficial, lo que reduce el riesgo de detección.
Aunque la atribución no es definitiva, los indicios apuntan a la participación del grupo Lazarus u otro actor relacionado con Corea del Norte que estaría utilizando React2Shell como nuevo vector de acceso.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.