La UE sanciona a ciberdelincuentes tras los ataques a organizaciones francesas y suecas

La Unión Europea ha impuesto sanciones a tres empresas y dos particulares vinculados a ciberataques continuados contra Estados miembros y socios, en un momento en que las tensiones geopolíticas siguen impulsando la actividad de los Estados alineados. Las medidas incluyen la congelación de activos, la prohibición de viajar y restricciones a la provisión de fondos o recursos a las personas incluidas en la lista.

Dos empresas con sede en China han sido sancionadas por permitir ataques a gran escala. Funcionarios de la UE afirman que sus herramientas facilitaron la violación de más de 65.000 dispositivos en seis Estados miembros, con vínculos al grupo de amenazas Flax Typhoon. También se acusa a Anxun de atacar más de 80 sistemas gubernamentales y del sector privado en todo el mundo.

La empresa iraní Emennet Pasargad fue sancionada por atacar organizaciones en Francia y Suecia, incluido el robo de una base de datos de abonados francesa y la interrupción de un servicio de SMS sueco, lo que afectó a un gran número de ciudadanos.

La medida refuerza el creciente riesgo que corren las infraestructuras críticas a medida que la creciente digitalización sigue ampliando la superficie de ataque de las operaciones cibernéticas respaldadas por el Estado.

El Registro Mercantil corrige un fallo que dejaba al descubierto datos de empresas británicas

El Registro Mercantil ha restablecido su servicio WebFiling tras desconectarlo para subsanar un fallo de seguridad que podía dejar al descubierto datos confidenciales relacionados con millones de empresas registradas en el Reino Unido. El problema, introducido durante una actualización del sistema en octubre de 2025, estuvo presente durante varios meses antes de que los investigadores de seguridad informaran de él.

La vulnerabilidad permitía a los usuarios autenticados acceder al cuadro de mandos de otra empresa manipulando el flujo de trabajo de archivo. Esto podría haber expuesto datos no públicos, como fechas de nacimiento, direcciones residenciales y cuentas de correo electrónico de la empresa. También existía el riesgo de que se produjeran registros no autorizados, como cambios en los datos de los administradores o la presentación de cuentas, aunque esto se habría limitado a un registro de empresa cada vez.

El Registro Mercantil ha confirmado que no se han visto comprometidas contraseñas ni datos de verificación de identidad, y que no se han podido alterar los documentos presentados.

El incidente se ha comunicado a la Oficina del Comisario de Información y al Centro Nacional de Ciberseguridad. Aunque no se ha confirmado ningún abuso, las investigaciones siguen en curso, lo que pone de relieve los riesgos que siguen existiendo en los servicios digitales esenciales del sector público.

Una brecha en Aura deja al descubierto datos de clientes tras un ataque de vishing

La empresa de protección de la identidad Aura ha confirmado una violación de datos que afecta a casi 900.000 registros después de que un ataque de phishing de voz comprometiera la cuenta de un empleado. El incidente pone de manifiesto la eficacia de la ingeniería social para eludir los controles de seguridad tradicionales.

Los datos expuestos incluyen nombres, direcciones de correo electrónico, números de teléfono y domicilios particulares. Aura afirma que los números de la Seguridad Social, las contraseñas y los datos financieros no se vieron comprometidos. El conjunto de datos afectado procedía en gran medida de una plataforma de marketing heredada de una adquisición en 2021, con aproximadamente 35.000 registros vinculados a clientes actuales y antiguos.

El grupo de amenazas ShinyHunters ha reivindicado la responsabilidad, alegando el robo de 12 GB de datos y su posterior filtración tras intentos fallidos de extorsión. Análisis independientes indican una exposición adicional de notas de servicio al cliente y datos de direcciones IP, con muchos registros que ya circulaban de violaciones anteriores.

Aura está trabajando con especialistas externos en ciberseguridad y ha avisado a las fuerzas de seguridad. El incidente refuerza el riesgo persistente que plantean los ataques dirigidos contra personas, sobre todo porque las amenazas siguen utilizando a los empleados como punto de entrada en las organizaciones.

El ransomware Interlock aprovecha un día cero de Cisco en ataques a cortafuegos

El grupo de ransomware Interlock ha estado explotando una vulnerabilidad crítica de ejecución remota de código en el software Cisco Secure Firewall Management Center (FMC) como un día cero, lo que pone de relieve el riesgo continuo que plantea la infraestructura de borde sin parches.

El fallo, rastreado como CVE-2026-20131, permite a atacantes no autentificados ejecutar código arbitrario con privilegios de root. La información sobre amenazas indica que la vulnerabilidad se explotó activamente a partir del 26 de enero, dando a los atacantes más de un mes de acceso antes de que Cisco publicara un parche el 4 de marzo.

Interlock, observado por primera vez en 2024, ha estado vinculado a múltiples ataques de gran repercusión y anteriormente tuvo como objetivo universidades del Reino Unido utilizando el malware NodeSnake. Más recientemente, los investigadores identificaron al grupo desplegando una nueva cepa, Slopoly, que se cree ha sido desarrollada utilizando IA generativa.

La campaña se centró en los cortafuegos de las empresas, un punto de control crítico dentro de las redes corporativas. Esta actividad subraya la importancia de la aplicación rápida de parches, la supervisión continua y las capacidades de detección de amenazas, especialmente a medida que los actores de las amenazas utilizan cada vez más las vulnerabilidades de día cero para obtener acceso inicial y establecer persistencia.

La brecha digital de Telus pone de manifiesto el riesgo para la cadena de suministro

Telus Digital ha confirmado un incidente de ciberseguridad tras las afirmaciones del grupo de amenazas ShinyHunters de que se había robado hasta un petabyte de datos en una violación prolongada. La empresa está investigando el alcance de la intrusión y ha contratado a expertos forenses externos, al tiempo que confirma que las operaciones principales no se han visto afectadas.

Como proveedor global de externalización de procesos empresariales, Telus Digital gestiona servicios de atención al cliente, facturación y operaciones para múltiples organizaciones, lo que la convierte en un objetivo de alto valor para los atacantes que buscan acceso agregado a datos sensibles. Los autores de la amenaza afirman que la brecha se originó a partir de credenciales expuestas de Google Cloud Platform descubiertas en datos de terceros previamente comprometidos, lo que permitió el movimiento lateral a través de los sistemas.

Los datos supuestamente robados abarcan registros de atención al cliente, datos de centros de llamadas, grabaciones de voz y sistemas internos, con exposición potencial en múltiples entornos de clientes. Al parecer, ShinyHunters ha intentado extorsionar exigiendo 65 millones de dólares.

El incidente subraya el creciente riesgo en los ecosistemas de terceros y SaaS, en los que un solo ataque puede tener repercusiones en cascada en múltiples organizaciones y cadenas de suministro.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngaseen contactopara averiguar cómo puede proteger a su organización.

El resumen de información sobre amenazas ha sido elaborado por Integrity360 resumiendo las noticias sobre amenazas tal y como las observamos, actualizadas en la fecha de publicación. No debe considerarse asesoramiento jurídico, de consultoría ni de ningún otro tipo. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.