Stryker, el gigante mundial de la tecnología médica, sufre un ataque de malware limpiador

La empresa de tecnología médica Stryker Corporation ha sufrido un grave ciberataque después de que un destructivo programa malicioso wiper interrumpiera los sistemas de toda su red mundial. El ataque ha sido reivindicado por el grupo hacktivista propalestino Handala Hack Team, del que se cree que está vinculado al Ministerio de Inteligencia y Seguridad de Irán.

Según el grupo, los atacantes robaron unos 50 terabytes de datos antes de borrar más de 200.000 sistemas, servidores y dispositivos móviles. El personal de varias regiones, entre ellas Estados Unidos, Irlanda, Costa Rica y Australia, informó de que los ordenadores portátiles y los dispositivos móviles inscritos en los sistemas de gestión de la empresa habían sido reiniciados a distancia durante la noche.

La interrupción ha obligado a las oficinas de docenas de países a suspender sus operaciones normales, y algunos lugares han vuelto a los procesos manuales después de perder el acceso a las aplicaciones y servicios internos.

Stryker ha confirmado el incidente en un documento regulatorio, afirmando que el ataque ha causado una interrupción global en su entorno Microsoft. La empresa ha activado su plan de respuesta a incidentes cibernéticos y está trabajando con especialistas externos en ciberseguridad para investigar y restaurar los sistemas afectados.

Microsoft Patch Tuesday corrige 79 fallos de seguridad

Microsoft ha publicado sus actualizaciones del martes de parches de marzo de 2026, que corrigen 79 vulnerabilidades de seguridad en todo su ecosistema de software, incluidos dos fallos de día cero divulgados públicamente. Aunque no se tiene constancia de que ninguno de los dos fallos de día cero haya sido explotado en ataques activos, se insta a las organizaciones a dar prioridad a la aplicación de parches debido a la gravedad potencial de varios problemas.

Entre las vulnerabilidades corregidas figuran 46 de elevación de privilegios, 18 de ejecución remota de código y varias de divulgación de información y denegación de servicio. Dos de las correcciones más notables son un problema de elevación de privilegios de SQL Server (CVE-2026-21262) que podría permitir a los atacantes obtener derechos de SQLAdmin, y una vulnerabilidad de denegación de servicio de .NET.

Microsoft también ha parcheado dos fallos de ejecución remota de código de Microsoft Office que pueden activarse a través del panel de vista previa, por lo que las actualizaciones de Office son especialmente importantes en este ciclo. Además, una vulnerabilidad de Excel podría permitir la filtración de datos a través de Microsoft Copilot si se explota.

Además de las actualizaciones de Microsoft, otros proveedores han publicado avisos de seguridad este mes, entre ellos Adobe, Cisco, Fortinet, Google, Hewlett Packard Enterprise y SAP. Se aconseja a las organizaciones que revisen los parches con prontitud para reducir la exposición.

La técnica "Zombie Zip" elude la detección de los antivirus

Investigadores de seguridad han revelado una nueva técnica denominada "Zombie ZIP" que permite ocultar cargas maliciosas en archivos ZIP especialmente diseñados para eludir muchas herramientas antivirus y de detección de puntos finales. El método desarrollado por los investigadores sortea 50 de los 51 motores de seguridad analizados en VirusTotal.

La técnica consiste en manipular las cabeceras de los archivos ZIP para que los escáneres de seguridad crean que el archivo contiene datos sin comprimir. En realidad, la carga útil permanece comprimida mediante el algoritmo estándar Deflate. Dado que muchas herramientas antivirus confían en la información de la cabecera, analizan lo que parecen ser datos sin comprimir inofensivos, lo que permite que el contenido malicioso pase desapercibido.

Las herramientas de extracción estándar, como WinRAR y 7-Zip, suelen fallar a la hora de extraer estos archivos, mostrando a menudo errores o resultados corruptos. Sin embargo, un cargador especialmente diseñado puede ignorar la cabecera engañosa y descomprimir correctamente la carga oculta.

La vulnerabilidad, rastreada como CVE-2026-0866, ha provocado una advertencia del Centro de Coordinación CERT, que aconseja a los proveedores de seguridad que refuercen la inspección de archivos comprimidos y validen los métodos de compresión con más cuidado. También se insta a los usuarios a tratar con precaución los archivos ZIP inesperados.

Los hackers atacan sitios de salesforce experience cloud mal configurados

Salesforce ha advertido a sus clientes de que los atacantes están atacando sitios web de Experience Cloud mal configurados que permiten a los usuarios invitados acceder a más datos de los previstos. La actividad se centra en el punto final de la API /s/sfsites/aura, donde los permisos de usuario invitado mal configurados pueden permitir a los visitantes no autenticados consultar datos sensibles de Salesforce CRM.

Según el aviso, los atacantes están abusando de una versión modificada de AuraInspector, una herramienta de auditoría de código abierto desarrollada originalmente por Mandiant para identificar problemas de configuración en el marco de Salesforce Aura. Los actores de amenazas han adaptado la herramienta para realizar escaneos a gran escala de sitios Experience Cloud expuestos públicamente en busca de excesivos permisos de invitados.

El grupo de ciberdelincuentes ShinyHunters se atribuye la responsabilidad de la campaña y afirma que ha comprometido a cientos de organizaciones aprovechando estos errores de configuración.

Salesforce mantiene que el problema no es una vulnerabilidad de la plataforma, sino el resultado de configuraciones incorrectas de los clientes. La empresa insta a las organizaciones a auditar los permisos de los usuarios invitados, desactivar los accesos innecesarios a las API y aplicar el principio del mínimo privilegio para reducir el riesgo de exposición de los datos.

Campaña de malware BlackSanta dirigida a equipos de rrhh

Investigadores de seguridad han descubierto una campaña cibernética de larga duración dirigida a los departamentos de recursos humanos con una sofisticada cepa de malware conocida como BlackSanta. Según un informe de Aryaka, el actor de habla rusa que está detrás de la operación lleva activo más de un año, combinando ingeniería social con técnicas avanzadas de evasión para infiltrarse en los sistemas corporativos.

Se cree que la cadena de ataque comienza con correos electrónicos de spear-phishing que dirigen a las víctimas a descargar archivos ISO disfrazados de solicitudes de empleo alojadas en plataformas en la nube como Dropbox. Una vez abiertos, los archivos maliciosos activan scripts PowerShell que extraen código oculto mediante esteganografía y lo ejecutan directamente en la memoria del sistema.

Un componente clave de la campaña es el asesino BlackSanta EDR, diseñado para desactivar las herramientas de seguridad de los puntos finales antes de desplegar cargas útiles adicionales. El malware modifica la configuración de Microsoft Defender, suprime las alertas del sistema y termina los procesos de seguridad a nivel del kernel utilizando controladores vulnerables.

Los investigadores afirman que la operación demuestra una gran seguridad operativa, ya que utiliza cadenas de infección sigilosas y comprobaciones del entorno para evitar la detección, al tiempo que mantiene una persistencia a largo plazo dentro de las redes objetivo.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngaseen contactopara averiguar cómo puede proteger a su organización.

El resumen de información sobre amenazas ha sido elaborado por Integrity360 resumiendo las noticias sobre amenazas tal y como las observamos, actualizadas en la fecha de publicación. No debe considerarse asesoramiento jurídico, de consultoría ni de ningún otro tipo. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.