Un ransomware afecta al puerto español de Vigo e interrumpe las operaciones digitales

Un ataque de ransomware ha perturbado los sistemas digitales del Puerto de Vigo, dejando fuera de servicio parte de su red y obligando a realizar algunas operaciones de forma manual. Detectado a primera hora del martes, el incidente afectó a los servidores responsables de la gestión de la carga y los servicios portuarios, y los informes confirmaron una petición de rescate y sistemas cifrados.

En respuesta, la autoridad portuaria aisló la infraestructura afectada para contener la amenaza, mientras continúan las operaciones físicas como el movimiento de buques y la manipulación de la carga. Sin embargo, la coordinación logística se ha visto muy afectada, y los operadores dependen de flujos de trabajo basados en papel.

El presidente del puerto, Carlos Botana, confirmó que los sistemas no se restablecerán hasta que los equipos de seguridad estén seguros de que la amenaza se ha erradicado por completo. Se están llevando a cabo investigaciones para determinar el punto de acceso inicial y evaluar cualquier posible riesgo para los datos.

El ataque pone de relieve el creciente interés de los grupos de ransomware por las infraestructuras marítimas, ya que la interrupción de los puertos puede tener repercusiones inmediatas y de gran alcance en las cadenas de suministro mundiales.

Un paquete malicioso LiteLLM provoca una importante brecha en la cadena de suministro

Un importante ataque a la cadena de suministro ha puesto en peligro el paquete Python LiteLLM, ampliamente utilizado, con versiones maliciosas que exponen a las organizaciones al robo de credenciales a gran escala y a un posible compromiso del sistema. En el ataque, atribuido al grupo TeamPCP, se desplegaron versiones manipuladas de LiteLLM a través de PyPI, lo que afectó a una biblioteca utilizada millones de veces al día.

Los paquetes maliciosos introducían cargas útiles ocultas diseñadas para ejecutarse en la importación, recopilando datos confidenciales como claves SSH, credenciales de la nube, secretos de Kubernetes y variables de entorno. Las variantes más avanzadas aseguraban la persistencia incrustando puertas traseras que se activaban cada vez que Python se ejecutaba, permitiendo el acceso continuo y el movimiento lateral a través de los entornos.

Los informes iniciales sugieren que hasta 500.000 dispositivos pueden haber sido afectados, aunque las cifras siguen sin verificarse. La campaña se suma a las actividades anteriores de TeamPCP dirigidas a herramientas como Trivy, lo que pone de relieve un patrón de explotación de software de confianza en el proceso de desarrollo.

El incidente refuerza el creciente riesgo de ataques a la cadena de suministro de software, donde una sola dependencia comprometida puede propagarse en cascada a miles de organizaciones, exponiendo sistemas, datos e infraestructuras críticos a gran escala.

Más información en nuestro Aviso sobre amenazas

Un ciberataque afecta a los sistemas del Ministerio de Hacienda holandés

El Ministerio de Finanzas holandés ha confirmado un ciberataque que afecta a los sistemas internos, con acceso no autorizado detectado tras una alerta de terceros el 19 de marzo. Se está llevando a cabo una investigación y los funcionarios han confirmado que algunos empleados se han visto afectados y que el acceso a los sistemas afectados se ha restringido como medida de precaución.

Se cree que la brecha afecta a los sistemas utilizados en los departamentos políticos, aunque los servicios nacionales críticos no se han visto afectados. Las autoridades confirmaron que la recaudación de impuestos, las operaciones aduaneras y los sistemas de prestaciones sociales siguen funcionando con normalidad, garantizando que no haya interrupciones para los ciudadanos o las empresas.

Por el momento, la magnitud del incidente sigue sin estar clara, y no se ha confirmado si se ha accedido a datos sensibles o se han filtrado. Ninguna amenaza se ha atribuido la responsabilidad.

El incidente se produce tras una serie de incidentes cibernéticos dirigidos a instituciones neerlandesas, lo que pone de relieve la continua presión sobre los sistemas gubernamentales. Las investigaciones se centrarán en identificar el vector del ataque, evaluar el impacto y reforzar los controles para evitar nuevos ataques.

Datos de AstraZeneca presuntamente robados y puestos a la venta en la dark web

Un grupo de piratas informáticos ha afirmado haber violado los sistemas informáticos de AstraZeneca, extrayendo aproximadamente 3 GB de datos confidenciales e intentando venderlos en la dark web. El grupo, identificado como LAPSUS$, ha publicado archivos de muestra para validar la violación, aunque la empresa aún no ha confirmado el incidente.

Los supuestos datos incluyen código fuente, detalles de infraestructura en la nube, registros vinculados a empleados y credenciales de acceso. Aunque no se cree que haya datos de clientes implicados, la exposición de sistemas internos e información relacionada con la identidad podría presentar riesgos de seguridad significativos. Incluso sin credenciales activas, estos datos pueden permitir el phishing selectivo, la escalada de privilegios y otros intentos de intrusión.

Los investigadores de seguridad advierten que, de verificarse, la brecha podría tener graves implicaciones para el sector sanitario, donde la propiedad intelectual y los datos operativos son objetivos de gran valor. En particular, los atacantes parecen estar monetizando los datos directamente en lugar de utilizar las tácticas tradicionales de ransomware.

El incidente refleja un cambio más amplio en la estrategia de los ciberdelincuentes, que hacen del robo y la reventa de datos una amenaza cada vez más importante para las organizaciones empresariales.

Foster City, EE.UU., declara la emergencia tras un ciberataque que interrumpe sus servicios

Foster City ha declarado el estado de emergencia tras un ciberataque que obligó a las autoridades a desconectar toda su red, interrumpiendo gravemente las operaciones municipales. Aunque los servicios de emergencia siguen operativos, las funciones básicas del Ayuntamiento, incluidos los sistemas de comunicaciones y permisos, se han paralizado.

Las autoridades no han revelado el alcance total de la brecha, incluidos los datos a los que se ha podido acceder o que se han visto comprometidos. Sin embargo, se ha aconsejado a residentes y empresas que cambien sus contraseñas como medida de precaución. La falta de detalles ha creado incertidumbre en torno a la magnitud y el impacto del incidente.

El personal de la ciudad no puede enviar ni recibir correos electrónicos ni realizar llamadas, lo que pone de relieve la interrupción operativa causada por el ataque. Las autoridades están trabajando con expertos externos en ciberseguridad para investigar el incidente y restablecer los sistemas, aunque no se ha facilitado un calendario.

La declaración de emergencia permite acceder a financiación y recursos adicionales, lo que subraya la gravedad de la perturbación y el creciente impacto que los incidentes cibernéticos pueden tener en las operaciones del sector público.

La brecha de Crunchyroll vinculada a sistemas de soporte de terceros afecta a 6,8 millones de usuarios

La plataforma de streaming de anime Crunchyroll está investigando una brecha denunciada después de que los autores de la amenaza afirmaran haber accedido a datos relacionados con hasta 6,8 millones de usuarios. La compañía ha declarado que el incidente parece limitarse a los datos de los tickets de atención al cliente tras un ataque en el que se ha visto implicado un proveedor externo.

Según los informes, los atacantes accedieron a través de la cuenta de un agente de soporte, supuestamente comprometida a través de malware, lo que permitió la entrada en múltiples sistemas internos, incluyendo Zendesk y herramientas de colaboración corporativas. Los actores de la amenaza afirman haber exfiltrado millones de registros de soporte que contienen detalles de usuarios como direcciones de correo electrónico, datos de IP y consultas de soporte.

Crunchyroll mantiene que no hay pruebas de que el acceso continúe y que se están llevando a cabo investigaciones con expertos externos en ciberseguridad. Aunque la exposición a los datos de pago parece limitada, el incidente pone de relieve los riesgos asociados a la información sensible almacenada en los sistemas de soporte.

La brecha subraya la creciente amenaza que suponen los ataques a proveedores terceros, en los que comprometer una sola cuenta puede proporcionar acceso a grandes volúmenes de datos de clientes y de la organización a través de plataformas interconectadas.

Una vulnerabilidad crítica de PLM provoca advertencias urgentes en toda Europa

PTC ha revelado una vulnerabilidad crítica que afecta a sus plataformas Windchill y FlexPLM, suscitando preocupación por la posible ejecución remota de código en sistemas de gestión del ciclo de vida del producto ampliamente implantados. El fallo, identificado como CVE-2026-4681, tiene su origen en la deserialización insegura de datos de confianza y afecta a varias versiones compatibles.

Aunque no se ha confirmado ninguna explotación activa, las autoridades alemanas han tomado la inusual medida de emitir advertencias directas y en persona a las organizaciones, destacando la percepción de la inmediatez de la amenaza. Los informes indican que las fuerzas de seguridad se pusieron en contacto con empresas de todo el país, instando a una rápida mitigación.

A falta de un parche oficial, la PTC ha aconsejado a las organizaciones que apliquen controles temporales, como restringir el acceso a los componentes vulnerables o desconectar de Internet los sistemas afectados cuando sea necesario. También se han publicado indicadores de peligro para facilitar la detección de amenazas.

Dado el papel fundamental que desempeñan los sistemas PLM en las cadenas de fabricación, ingeniería y suministro, la vulnerabilidad representa un riesgo importante. La respuesta subraya la creciente preocupación en torno a la explotación del software empresarial para permitir el espionaje industrial y la interrupción a gran escala.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngaseen contactopara averiguar cómo puede proteger a su organización.

El resumen de información sobre amenazas ha sido elaborado por Integrity360 resumiendo las noticias sobre amenazas tal y como las observamos, actualizadas en la fecha de publicación. No debe considerarse asesoramiento jurídico, de consultoría ni de ningún otro tipo. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.