Un nuevo estudio muestra un aumento de la amenaza del ransomware en el sector de la construcción

Una nueva investigación ha puesto de relieve la creciente preocupación por la ciberseguridad en el sector de la construcción y el inmobiliario, con un 32% de los líderes de la industria preocupados por las amenazas cibernéticas. Una encuesta de Beazley revela que el sector tiene el nivel de confianza más bajo de todas las industrias encuestadas, ya que sólo el 74% cree que está preparado para hacer frente a los riesgos cibernéticos modernos.

Los resultados reflejan cómo la ciberdelincuencia se está convirtiendo cada vez más en un riesgo operativo y empresarial, en lugar de ser simplemente un problema informático. Los investigadores advirtieron de que las campañas de phishing impulsadas por la inteligencia artificial y el reconocimiento automatizado están permitiendo a los actores de amenazas lanzar ataques a mayor velocidad y escala, lo que hace que los incidentes sean más difíciles de detectar y contener.

Otra investigación de QBE identificó el ransomware como la amenaza cibernética más importante a la que se enfrentan las empresas de construcción, con incidentes que causan una media de 24 días de inactividad. El informe también destacó un aumento del 410% en la actividad de malware IoT dirigido al sector durante 2025.

Los expertos del sector instan ahora a las organizaciones a integrar la ciberseguridad en una planificación más amplia de los riesgos de los proyectos, advirtiendo de que los ataques pueden interrumpir las cadenas de suministro, retrasar los proyectos y aumentar significativamente los costes.

El NCSC advierte de una campaña rusa de secuestro de DNS dirigida a los routers

El Centro Nacional de Ciberseguridad (NCSC, por sus siglas en inglés) ha emitido un nuevo aviso en el que advierte de que los ciberdelincuentes rusos están comprometiendo los routers de Internet más utilizados para redirigir en secreto el tráfico de los usuarios a través de infraestructuras maliciosas.

Según el aviso, el grupo conocido como APT28 ha estado explotando routers vulnerables para llevar a cabo ataques de secuestro del Sistema de Nombres de Dominio (DNS). Estos ataques permiten a los autores de las amenazas interceptar el tráfico de Internet y robar credenciales, incluidas contraseñas y tokens de autenticación, de servicios web y de correo electrónico.

Se cree que la campaña es oportunista y que los atacantes se dirigen a un gran número de dispositivos antes de centrarse en organizaciones o individuos de interés para los servicios de inteligencia. APT28 ya ha sido vinculada a la unidad rusa GRU 26165 y también se la conoce por nombres como Fancy Bear y Sofacy.

El NCSC advirtió de que los dispositivos de red comprometidos pueden proporcionar a los agentes hostiles acceso y visibilidad a largo plazo de las comunicaciones sensibles. Se insta a las organizaciones a reforzar la seguridad de los routers, parchear rápidamente las vulnerabilidades, proteger las interfaces de gestión y habilitar la autenticación multifactor para reducir el riesgo de intrusión.

El aviso subraya la amenaza continua que suponen las operaciones cibernéticas respaldadas por el Estado que tienen como objetivo las infraestructuras críticas de Internet y los dispositivos de red cotidianos.

Palo Alto Networks advierte de ataques activos de día cero contra cortafuegos

Palo Alto Networks ha advertido a sus clientes de que una vulnerabilidad crítica no parcheada que afecta al portal de autenticación de ID de usuario PAN-OS está siendo explotada activamente.

Rastreado como CVE-2026-0300, el fallo es una vulnerabilidad de desbordamiento de búfer que podría permitir a atacantes no autenticados ejecutar código arbitrario con privilegios de root en cortafuegos PA-Series y VM-Series expuestos. El problema afecta al portal de autenticación de ID de usuario, también conocido como portal cautivo, que se utiliza para autenticar a usuarios cuyas identidades no pueden ser asignadas automáticamente por el cortafuegos.

Según Palo Alto Networks, la explotación ha sido limitada hasta el momento y afecta principalmente a organizaciones con el portal expuesto a la Internet pública o a direcciones IP no fiables. Los investigadores de seguridad de Shadowserver están rastreando actualmente más de 5.800 cortafuegos PAN-OS VM-Series expuestos en línea.

El proveedor aún no ha publicado un parche, pero afirma que se esperan correcciones de software a partir del 13 de mayo de 2026. Mientras tanto, se insta encarecidamente a las organizaciones a que restrinjan el acceso al portal a las redes internas de confianza o desactiven por completo la función siempre que sea posible.

La advertencia continúa la tendencia creciente de los actores de amenazas a atacar agresivamente la infraestructura de cortafuegos y los dispositivos de seguridad orientados a Internet.

Una brecha en Vimeo deja al descubierto los datos de más de 119.000 usuarios

El grupo de extorsión ShinyHunters ha reivindicado la autoría de un ciberataque contra la plataforma de vídeo Vimeo que ha expuesto la información personal de más de 119.000 usuarios.

Según el servicio de notificación de violaciones de datos Have I Been Pwned, los datos robados incluyen direcciones de correo electrónico y, en algunos casos, nombres de usuario. Vimeo hizo pública la filtración en abril, vinculando el incidente a un compromiso que afectaba a Anodot, un proveedor externo de detección de anomalías de datos integrado en sus sistemas.

Vimeo declaró que los atacantes accedieron principalmente a datos técnicos, títulos de vídeos y metadatos, y confirmó que las credenciales de acceso, la información de las tarjetas de pago y el contenido de los vídeos no se vieron comprometidos. Tras el incidente, la empresa desactivó las credenciales de Anodot, eliminó la integración y contrató a especialistas en seguridad externos para que investigaran.

Tras los intentos fallidos de extorsión, ShinyHunters filtró un archivo de 106 GB de datos robados en su sitio web oscuro. El grupo se ha centrado cada vez más en atacar entornos SaaS y sistemas corporativos de inicio de sesión único, utilizando credenciales comprometidas para acceder a plataformas en la nube conectadas y a datos empresariales confidenciales.

La brecha pone de relieve los crecientes riesgos asociados a las integraciones de terceros y el compromiso de la cadena de suministro en los entornos de nube modernos.

Una nueva red de bots basada en Mirai se dirige a dispositivos Android e IoT para ataques DDoS

Investigadores de ciberseguridad han descubierto una nueva red de bots derivada de Mirai conocida como xlabs_v1 que se dirige a dispositivos Android e IoT expuestos a Internet para crear una red de denegación de servicio distribuida (DDoS).

Los investigadores de Hunt.io afirman que el malware busca específicamente dispositivos con Android Debug Bridge (ADB) expuesto en el puerto TCP 5555. Esto incluye Android TV boxes, televisores inteligentes, decodificadores y otro hardware IoT que viene con ADB activado por defecto. El malware también es compatible con múltiples arquitecturas de hardware, lo que sugiere que puede dirigirse a routers residenciales y otros dispositivos conectados.

Según los investigadores, la botnet opera como un servicio DDoS de alquiler centrado en atacar servidores de juegos y hosts de Minecraft. Soporta más de 20 métodos de ataque a través de protocolos TCP y UDP e incluye funcionalidades diseñadas para eludir las protecciones DDoS de consumo.

El malware también contiene funciones para medir el ancho de banda de los dispositivos infectados, lo que permite a los operadores clasificar los sistemas comprometidos en niveles de precios para los clientes que compran ataques. Los investigadores observaron que el diseño de la botnet prioriza la escala y la variedad de los ataques sobre la sofisticación.

El descubrimiento pone de relieve los riesgos continuos que plantean los dispositivos IoT y de consumo mal protegidos expuestos directamente a Internet.

ShinyHunters denuncia el robo de 240 millones de expedientes educativos en la brecha de Instructure

La empresa de tecnología educativa Instructure ha confirmado que ha sufrido un ciberataque, en el que el grupo de extorsión ShinyHunters afirma haber robado más de 240 millones de registros vinculados a estudiantes, profesores y personal de todo el mundo.

La empresa, conocida sobre todo por su sistema de gestión del aprendizaje Canvas, utilizado por escuelas y universidades de todo el mundo, ha declarado que está trabajando con expertos en ciberseguridad externos y con las fuerzas de seguridad para investigar el incidente. También se ha pedido a los clientes que vuelvan a autorizar el acceso a la API como parte de la respuesta.

Según ShinyHunters, los datos robados afectan a casi 15.000 instituciones educativas de Norteamérica, Europa y Asia-Pacífico. El grupo afirma que la información incluye nombres, direcciones de correo electrónico, datos de matriculación en cursos y miles de millones de mensajes privados intercambiados entre alumnos y profesores.

Los autores de la amenaza también afirman haber obtenido acceso a entornos de Salesforce conectados durante el ataque. Aunque todavía no se ha verificado de forma independiente el alcance total de la filtración, la magnitud del robo de datos denunciado lo convertiría en uno de los mayores incidentes cibernéticos del sector educativo registrados este año.

El incidente pone de manifiesto el creciente interés de los ciberdelincuentes por las plataformas educativas en busca de grandes volúmenes de datos personales y confidenciales.

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente, póngaseen contactopara averiguar cómo puede proteger a su organización.

El resumen de información sobre amenazas ha sido elaborado por Integrity360 resumiendo las noticias sobre amenazas tal y como las observamos, actualizadas en la fecha de publicación. No debe considerarse asesoramiento jurídico, de consultoría ni de ningún otro tipo. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.