Las VPN FortiGate, objetivo de ciberataques altamente automatizados impulsados por IA

A principios de febrero de 2026 surgió una importante ciberamenaza después de que los investigadores descubrieran una campaña de intrusión que integraba profundamente grandes modelos lingüísticos en el ciclo de vida del ataque. Un servidor mal configurado puso al descubierto una cadena automatizada en la que los autores de la amenaza integraron DeepSeek y Claude directamente en sus flujos de trabajo, yendo más allá del phishing básico asistido por IA para llegar a la automatización completa de la cadena letal.

La infraestructura se centró en los dispositivos FortiGate SSL VPN, utilizando credenciales y datos de configuración robados para obtener acceso, cartografiar redes internas e identificar activos de gran valor. Las herramientas personalizadas permitieron a los operadores procesar miles de objetivos simultáneamente, con pruebas que sugieren que se analizaron en paralelo más de 2.500 dispositivos en 106 países.

Los analistas observaron un enfoque de doble modelo, en el que DeepSeek se utilizaba para la planificación estratégica y Claude para la ejecución de código y la evaluación de vulnerabilidades. Una vez conseguido el acceso, el sistema ejecutaba de forma autónoma herramientas como Impacket y Metasploit.

Los resultados subrayan la urgencia de parchear los dispositivos periféricos, auditar el acceso a las VPN y vigilar de cerca la actividad de la red, ya que los ataques impulsados por la IA siguen creciendo rápidamente.

Los ciberataques basados en IA aumentan a medida que las amenazas amplían sus campañas

El número de ciberataques basados en IA casi se ha duplicado en el último año, según el Informe Global de Amenazas 2026 de CrowdStrike. El informe advierte de un aumento del 89% en la actividad de los llamados "adversarios habilitados por IA" en 2025, a medida que los actores de amenazas adoptan cada vez más el aprendizaje automático y los grandes modelos de lenguaje para optimizar las técnicas de ataque existentes.

En lugar de crear vectores de ataque completamente nuevos, los atacantes están utilizando la IA para hacer que los métodos conocidos sean más eficaces y escalables. Esto incluye la generación de correos electrónicos de phishing más convincentes en varios idiomas, la aceleración del reconocimiento y el apoyo a campañas de desinformación. CrowdStrike destacó las campañas vinculadas a los servicios de inteligencia chinos y a grupos de ciberdelincuentes rusos que utilizaron la IA para aumentar la credibilidad y el alcance de las operaciones de ingeniería social.

El informe también señala los primeros experimentos con el desarrollo de malware asistido por IA, incluida la incrustación de mensajes LLM en herramientas de espionaje. Aunque su impacto es todavía limitado, CrowdStrike espera que esta tendencia aumente, advirtiendo a las organizaciones que refuercen los controles de identidad, la formación en concienciación de seguridad y las capacidades de inteligencia de amenazas a medida que se intensifica la carrera armamentística de la IA.

El día cero de Cisco SD-WAN explotado para añadir pares de red no autorizados

Cisco ha emitido una advertencia urgente tras confirmar la explotación activa de una vulnerabilidad crítica de omisión de autenticación en Cisco Catalyst SD-WAN. Rastreado como CVE-2026-20127 y clasificado con la gravedad máxima de 10.0, el fallo permite a los atacantes remotos comprometer los controladores SD-WAN y añadir pares maliciosos a las redes afectadas.

La vulnerabilidad afecta a las implementaciones de Cisco Catalyst SD-WAN Controller y Manager, tanto en entornos locales como en la nube. Su explotación permite a los atacantes autenticarse como usuario interno con privilegios elevados, manipular las configuraciones de red y, potencialmente, adentrarse en entornos empresariales a través de conexiones cifradas. Cisco Talos ha vinculado la actividad a un agente de amenazas muy sofisticado, con pruebas que sugieren que la explotación puede remontarse a varios años atrás.

En respuesta, las autoridades de EE.UU. y el Reino Unido han emitido avisos coordinados, con la CISA ordenando una investigación inmediata y la aplicación de parches en todas las redes federales. Se recomienda encarecidamente a las organizaciones que auditen los registros, busquen actividades de interconexión no autorizadas y apliquen las actualizaciones de Cisco sin demora, ya que no existen soluciones eficaces para esta vulnerabilidad.

El sector del transporte y la logística de EE.UU. y Europa, objetivo de una campaña de phishing organizada

Organizaciones de transporte y logística de EE.UU. y Europa se han visto afectadas por una operación de phishing de credenciales a gran escala vinculada a un grupo de amenazas con motivaciones financieras conocido como Diesel Vortex. Activa desde septiembre de 2025, la campaña ha dado lugar al robo de al menos 1.649 credenciales únicas, utilizando más de 50 dominios maliciosos para hacerse pasar por plataformas en las que confía a diario el sector logístico.

Los investigadores descubrieron la actividad tras descubrir un repositorio de phishing expuesto que contenía bases de datos, detalles de infraestructura y comunicaciones de Telegram. Los análisis apuntan a una operación muy organizada con funciones, niveles operativos y modelos de monetización definidos, dirigida deliberadamente a un sector que a menudo queda fuera del foco de los controles de seguridad empresariales tradicionales.

Los atacantes combinaron phishing de correo electrónico, phishing de voz e ingeniería social basada en Telegram con réplicas perfectas de plataformas legítimas de transporte y logística. Las credenciales robadas y los datos de autenticación se utilizaron para facilitar el fraude posterior, incluida la suplantación de identidad y el desvío de la carga.

Aunque la infraestructura ya ha sido desbaratada, la campaña pone de relieve el creciente riesgo cibernético al que se enfrentan las cadenas de suministro mundiales y la necesidad de reforzar la protección de la identidad y la concienciación de los usuarios en todo el sector.

El abuso de un chatbot de inteligencia artificial, vinculado a la violación de las redes del gobierno mexicano

Un ciberdelincuente ha utilizado el chatbot Claude de Anthropic para comprometer varias agencias gubernamentales mexicanas, robando grandes volúmenes de datos sensibles sobre impuestos y votantes. Según Bloomberg, investigadores de la empresa de seguridad israelí Gambit Security descubrieron pruebas que demuestran que el atacante utilizó a Claude para identificar vulnerabilidades de la red, generar scripts de explotación y automatizar la exfiltración de datos en mensajes en español.

Se cree que la actividad se prolongó durante aproximadamente un mes a partir de diciembre, afectando a la Administración Tributaria Federal de México, al Instituto Nacional Electoral y a organismos gubernamentales regionales. Se estima que se robaron 150 GB de datos, incluidos registros fiscales, información sobre votantes, credenciales gubernamentales y archivos de registro de población. Gambit no cree que la actividad esté vinculada a un Estado extranjero.

Anthropic ha confirmado que está investigando y ha bloqueado las cuentas asociadas, mientras que OpenAI dijo que ChatGPT resistió intentos similares de uso indebido. El incidente pone de relieve la creciente tendencia de los atacantes a abusar de herramientas avanzadas de codificación de IA, lo que plantea cuestiones urgentes en torno a las salvaguardias, la supervisión y la detección de usos indebidos de la IA a medida que estas tecnologías se vuelven más capaces.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngaseen contactopara averiguar cómo puede proteger a su organización.

El resumen de información sobre amenazas ha sido elaborado por Integrity360 resumiendo las noticias sobre amenazas tal y como las observamos, actualizadas en la fecha de publicación. No debe considerarse asesoramiento jurídico, de consultoría ni de ningún otro tipo. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.