El NCSC advierte a las organizaciones británicas sobre las amenazas DOS de grupos hacktivistas

El Centro Nacional de Ciberseguridad (NCSC), que forma parte del GCHQ, ha emitido una nueva alerta en la que advierte de que las organizaciones británicas siguen siendo objetivo de grupos de hacktivistas rusos alineados con el Estado. La actividad se centra más en la perturbación que en el beneficio económico, con ataques de denegación de servicio dirigidos a saturar las redes y los servicios en línea.

Las autoridades locales y los operadores de infraestructuras nacionales críticas se encuentran entre los grupos de mayor riesgo. Aunque los ataques de denegación de servicio suelen ser técnicamente sencillos, el NCSC subraya que su impacto puede ser grave, causando interrupciones del servicio, trastornos operativos e importantes costes de recuperación.

La advertencia sigue a una advertencia internacional conjunta emitida en diciembre de 2025, en la que se destacaba la persistencia de los ataques contra Estados miembros de la OTAN y organizaciones europeas que se consideraba que apoyaban a Ucrania.

En relación con la alerta, Jonathon Ellison, Director de Resiliencia Nacional del NCSC, instó a las organizaciones a actuar ahora revisando las defensas y preparando planes de respuesta eficaces.

Se descubren fallos críticos en el marco de la IA

Investigadores de seguridad han detectado dos vulnerabilidades críticas en Chainlit, un marco de aplicaciones de IA de código abierto ampliamente utilizado, lo que expone graves riesgos para las organizaciones que aceleran la adopción de la IA. Los hallazgos coinciden con el lanzamiento del Proyecto DarkSide, una iniciativa centrada en descubrir puntos débiles en los bloques de desarrollo de IA.

Identificados como CVE-2026-22218 y CVE-2026-22219, los fallos permiten a atacantes no autentificados leer archivos arbitrarios y realizar falsificaciones de peticiones del lado del servidor. La explotación no requiere interacción del usuario y puede dar lugar a la filtración de credenciales de la nube, contenidos de bases de datos, variables de entorno y código fuente propietario. En entornos de nube, esto puede permitir el movimiento lateral y el compromiso de toda la infraestructura.

Con unas 700.000 descargas mensuales e implantaciones activas en empresas y centros académicos, la exposición es significativa. Chainlit ha lanzado la versión 2.9.4 para solucionar ambos problemas.

Hasta que se completen los parches, se han compartido directrices de detección, junto con advertencias de que las bases inseguras de la IA están ampliando rápidamente las superficies de ataque de las organizaciones.

Se abusa de los sistemas Zendesk para enviar spam

Una oleada mundial de spam a gran escala se ha vinculado al uso indebido de los sistemas de soporte no seguros de Zendesk, y los destinatarios informan de la llegada de cientos de mensajes de correo electrónico en cuestión de minutos. La campaña comenzó el 18 de enero y rápidamente llamó la atención en las redes sociales debido al gran volumen y a la naturaleza inusual de los mensajes.

Los correos electrónicos se generan cuando los atacantes envían tickets de soporte falsos utilizando direcciones de correo electrónico no verificadas. Las respuestas automáticas de confirmación de Zendesk convierten entonces las plataformas legítimas de atención al cliente en un involuntario motor de spam masivo. Aunque los mensajes no parecen contener enlaces maliciosos o señuelos directos de phishing, sus líneas de asunto caóticas y a veces alarmantes han causado confusión y preocupación.

Entre las organizaciones afectadas se encuentran Discord, Dropbox, NordVPN, Riot Games y varios organismos del sector público. Los asuntos van desde falsos avisos de las fuerzas de seguridad hasta ofertas de servicios gratuitos, a menudo escritos con texto Unicode decorativo.

El incidente pone de relieve cómo pueden aprovecharse a gran escala las deficiencias básicas de verificación en plataformas de uso generalizado, incluso sin desplegar técnicas tradicionales de malware o phishing.

Ataque contra la elusión de parches de Fortinet

Los clientes de Fortinet están informando de la explotación activa de una desviación del parche que afecta a una vulnerabilidad de autenticación de FortiGate previamente corregida, CVE-2025-59718. Los atacantes están abusando del fallo para comprometer cortafuegos que ejecutan versiones parcheadas de FortiOS, incluidas 7.4.9 y 7.4.10, lo que hace temer que la corrección original fuera incompleta.

Múltiples administradores han observado cuentas de administrador no autorizadas creadas a través de inicios de sesión maliciosos en FortiCloud SSO, actividad consistente con las técnicas de explotación previamente documentadas por Arctic Wolf en diciembre de 2025. Fortinet está preparando actualizaciones adicionales, incluyendo FortiOS 7.4.11, para abordar plenamente el problema.

La vulnerabilidad se ha añadido al catálogo de fallos activamente explotados de CISA, mientras que Shadowserver sigue rastreando miles de dispositivos expuestos.

Se recomienda a los administradores que desactiven FortiCloud SSO siempre que sea posible hasta que se disponga de una solución completa, ya que los atacantes también atacan otros productos de Fortinet sin parchear, incluido FortiSIEM.

Empresas de Fortune 500 expuestas por aplicaciones de prueba mal configuradas

Los actores de amenazas están explotando activamente aplicaciones de pruebas de seguridad mal configuradas para entrar en entornos de nube activos, según los nuevos hallazgos de Pentera. Se está abusando de herramientas intencionadamente vulnerables como DVWA, OWASP Juice Shop, Hackazon y bWAPP cuando se dejan expuestas en la Internet pública y se despliegan con privilegios excesivos en la nube.

Pentera identificó 1.926 instancias vulnerables en AWS, Azure y GCP, muchas de ellas vinculadas a roles IAM excesivamente permisivos y credenciales predeterminadas. Las aplicaciones expuestas pertenecían a varias organizaciones de la lista Fortune 500, entre ellas Cloudflare, F5 y Palo Alto Networks, que ya han solucionado los problemas.

Los investigadores encontraron pruebas claras de explotación activa, incluida la minería de criptomonedas Monero a través de XMRig, puertas traseras persistentes y webshells PHP que permiten el control total del sistema. Los hallazgos subrayan cómo los activos no productivos inseguros pueden convertirse en puntos de entrada de alto impacto en entornos empresariales en la nube.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngaseen contactopara averiguar cómo puede proteger a su organización.

El resumen de información sobre amenazas ha sido elaborado por Integrity360 resumiendo las noticias sobre amenazas tal y como las observamos, actualizadas en la fecha de publicación. No debe considerarse asesoramiento jurídico, de consultoría ni de ningún otro tipo. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.