El NCSC advierte a los operadores de CNI que actúen ya ante las graves ciberamenazas

El Centro Nacional de Ciberseguridad ha lanzado una dura advertencia a los operadores de infraestructuras nacionales críticas del Reino Unido, instándoles a actuar de inmediato para defenderse de lo que califica de "graves" ciberamenazas. La alerta se produce tras los ciberataques coordinados de diciembre contra la infraestructura energética de Polonia mediante programas maliciosos, lo que pone de relieve el riesgo real que corren los servicios esenciales.

Jonathan Ellison, director de resiliencia nacional del NCSC, subrayó que la interrupción de los servicios cotidianos no es una posibilidad remota, sino una amenaza activa y creciente. Pidió a los operadores de los sectores de la energía, el agua, el transporte, la sanidad y las telecomunicaciones que reforzaran sin demora sus ciberdefensas y su capacidad de recuperación.

Las amenazas graves se definen como ataques deliberados, altamente perturbadores o destructivos diseñados para interrumpir las operaciones, dañar los sistemas de control industrial o borrar datos para impedir su recuperación. En respuesta, el NCSC aconseja a las organizaciones que mejoren la vigilancia de las amenazas, aumenten el conocimiento de la situación y refuercen las redes mediante buenas prácticas como la aplicación de parches, los controles de acceso y la autenticación multifactor.

Ellison también destacó el proyecto de ley sobre ciberseguridad y resistencia como un paso clave para reforzar la defensa colectiva del Reino Unido contra las ciberamenazas modernas.

Alemania avanza hacia la legalización de las operaciones cibernéticas ofensivas

Al parecer, Alemania está preparando una nueva legislación que autorizaría formalmente a sus agencias de inteligencia a llevar a cabo operaciones cibernéticas ofensivas contra actores hostiles. De aprobarse, Berlín se acercaría más al Reino Unido y Estados Unidos, que ya operan con marcos jurídicos más claros para las contramedidas cibernéticas.

Las medidas propuestas permitirían a los organismos alemanes desplegar capacidades cibernéticas avanzadas basadas en inteligencia artificial para responder a los ataques y disuadir a los adversarios en un panorama de amenazas cada vez más complejo. El ejército alemán también obtendría más autoridad para responder a las "amenazas híbridas", en las que las operaciones cibernéticas, la desinformación y la interrupción digital se combinan con la actividad militar convencional.

Los oficiales sostienen que los conflictos modernos ya no se limitan a los campos de batalla físicos y que las estrategias de defensa nacional deben evolucionar en consecuencia. Se espera una postura de tolerancia cero frente a los ciberataques contra infraestructuras críticas, incluidos los sistemas de energía, transporte y aviación.

Es probable que este asunto ocupe un lugar destacado en la próxima Conferencia de Seguridad de Múnich, ya que los líderes europeos siguen buscando un equilibrio entre la disuasión cibernética y la preocupación por la escalada y el comportamiento responsable de los Estados en el ciberespacio.

El martes de parches de Microsoft corrige seis días cero explotados

El parche de Microsoft del martes de febrero de 2026 ofrece actualizaciones de seguridad para 58 vulnerabilidades, entre ellas seis zero-days explotados activamente y tres que se hicieron públicos antes de que estuvieran disponibles las correcciones. Cinco de los fallos están clasificados como "críticos", y abarcan riesgos de elevación de privilegios y de revelación de información, siendo los problemas de elevación de privilegios los que constituyen la mayor categoría global este mes.

Especialmente preocupantes son las múltiples vulnerabilidades de elusión de funciones de seguridad que afectan a Windows Shell, MSHTML y Microsoft Word, junto con los fallos explotados en Desktop Window Manager y Remote Desktop Services que podrían permitir a los atacantes obtener acceso a nivel de sistema. Microsoft ha proporcionado pocos detalles técnicos, pero varios de los problemas se han relacionado con la explotación en el mundo real por parte de agentes de amenazas profesionales.

Además de las correcciones de vulnerabilidades, Microsoft ha iniciado un despliegue gradual de nuevos certificados Secure Boot, que sustituyen a los certificados de 2011 que expiran en junio de 2026. La actualización se basa en señales de estado del dispositivo para reducir el riesgo de despliegue.

Se recomienda encarecidamente a las organizaciones que den prioridad a la aplicación de parches, revisen los controles de acceso privilegiado y vigilen los indicios de explotación, en particular en los terminales Windows y los servicios de acceso remoto.

Un grupo de ransomware abusa de las herramientas de vigilancia de los empleados

Los investigadores han descubierto una intrusión de ransomware en la que un miembro de la banda de ransomware Crazy abusó de software legítimo de monitorización de empleados y soporte remoto para mantener el acceso dentro de las redes corporativas. Los atacantes desplegaron Net Monitor for Employees Professional junto con la herramienta de soporte remoto SimpleHelp, lo que les permitió camuflarse en la actividad administrativa normal mientras preparaban en silencio el despliegue del ransomware.

En los incidentes analizados, el autor de la amenaza instaló el software de supervisión directamente desde el sitio del proveedor utilizando utilidades estándar de Windows, con lo que obtuvo la capacidad de ver escritorios, transferir archivos y ejecutar comandos de forma remota. Para mayor persistencia, SimpleHelp se instalaba mediante PowerShell y se camuflaba con nombres de archivo que parecían aplicaciones de confianza, incluidos componentes de OneDrive. Esto garantizaba el acceso continuado incluso si se eliminaba una de las herramientas.

Los investigadores también observaron intentos de desactivar WindowsDefender y configurar alertas para la actividad de la cartera de criptomoneda, lo que indica la preparación tanto para el ransomware como para el robo. La actividad pone de relieve una tendencia creciente en las operaciones de ransomware que abusan de herramientas legítimas, lo que refuerza la necesidad de supervisar el software de acceso remoto y hacer cumplir la MFA en todos los servicios VPN.

Los hackers estatales utilizan la IA como arma en sus ciberataques

Los actores de amenazas patrocinados por el Estado utilizan cada vez más la IA generativa para apoyar las operaciones cibernéticas de principio a fin, según los nuevos hallazgos del Grupo de Inteligencia de Amenazas de Google. Se observó que grupos vinculados a China, Irán, Corea del Norte y Rusia utilizaban el modelo Gemini de Google para el reconocimiento, el perfilado de objetivos, la creación de señuelos de phishing, el desarrollo de malware y la actividad posterior al ataque.

Los investigadores descubrieron que algunos actores utilizaban la IA para analizar vulnerabilidades, probar exploits, traducir contenidos y solucionar problemas de código malicioso, mientras que otros la aprovechaban para acelerar las campañas de ingeniería social. En varios casos, las herramientas asistidas por IA estaban vinculadas a kits de phishing y marcos de malware diseñados para robar credenciales, desplegar cargas útiles de segunda etapa y eludir la detección.

Google también advirtió de los intentos de extraer y replicar modelos de IA a gran escala mediante el envío automático de mensajes y la destilación de conocimientos, lo que calificó de creciente riesgo para la propiedad intelectual y la seguridad. Aunque no se identificaron saltos técnicos espectaculares, Google espera que la IA se integre cada vez más en los flujos de trabajo de los atacantes, lo que refuerza la necesidad de una detección más sólida, la seguridad de la identidad y la concienciación de los usuarios a medida que maduran las amenazas impulsadas por la IA.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngaseen contactopara averiguar cómo puede proteger a su organización.

El resumen de información sobre amenazas ha sido elaborado por Integrity360 resumiendo las noticias sobre amenazas tal y como las observamos, actualizadas en la fecha de publicación. No debe considerarse asesoramiento jurídico, de consultoría ni de ningún otro tipo. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.