Nintendo niega las acusaciones de hackeo por parte de un grupo de hackers 

Nintendo ha negado las afirmaciones de un grupo de hackers conocido como Crimson Collective, que aseguraba haber violado los servidores de la empresa y accedido a sus datos internos. En una declaración al Sankei Shimbun el 15 de octubre, el gigante del videojuego confirmó que no existen pruebas de filtración de datos ni de accesos no autorizados a sus sistemas internos. Aunque algunos servidores externos vinculados a su sitio web fueron modificados temporalmente, Nintendo afirmó que no ha habido impacto en los clientes y que sus redes internas siguen siendo seguras. 

Crimson Collective, que anteriormente se atribuyó un ataque a Red Hat, compartió en línea capturas de pantalla que supuestamente mostraban directorios internos de Nintendo. Sin embargo, los expertos advierten que este tipo de materiales pueden falsificarse fácilmente. Por ahora, la rápida respuesta de Nintendo ha tranquilizado al público, confirmando que no se ha producido ninguna violación verificada. 

CISA añade una vulnerabilidad crítica de adobe a la lista de vulnerabilidades explotadas 

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos ha añadido una vulnerabilidad crítica en Adobe Experience Manager (AEM) a su catálogo de Known Exploited Vulnerabilities (KEV) tras confirmar pruebas de explotación activa. 

Identificada como CVE-2025-54253, con una puntuación CVSS de 10.0, la vulnerabilidad se origina en una configuración incorrecta en AEM Forms en JEE versión 6.5.23.0 y anteriores. El fallo permite a los atacantes ejecutar comandos arbitrarios del sistema a través del servlet expuesto /adminui/debug, que interpreta la entrada del usuario como código Java sin autenticación. Adobe solucionó el problema en la versión 6.5.0-0108, publicada en agosto de 2025, junto con CVE-2025-54254. 

CISA ha instado a las agencias federales a aplicar las actualizaciones antes del 5 de noviembre de 2025. La alerta sigue a la adición de otro fallo crítico en SKYSEA Client View, divulgado originalmente en 2016, lo que pone de relieve los riesgos continuos tanto en software nuevo como en sistemas heredados. 

Microsoft corrige 172 vulnerabilidades, incluidas seis de tipo zero-day 

El Patch Tuesday de octubre de 2025 de Microsoft incluye correcciones para 172 vulnerabilidades, entre ellas seis de tipo zero-day, dos de las cuales fueron divulgadas públicamente y tres ya estaban siendo explotadas activamente. Ocho de las fallas están clasificadas como críticas, cinco permiten la ejecución remota de código y tres la elevación de privilegios. 

El desglose incluye: 80 elevaciones de privilegios, 31 ejecuciones remotas de código, 28 filtraciones de información, 11 ataques de denegación de servicio, 11 omisiones de funciones de seguridad y 10 vulnerabilidades de suplantación. 

Esta actualización marca el último Patch Tuesday para Windows 10, ya que el sistema operativo llega al final de su soporte. Los usuarios podrán seguir recibiendo protección a través del programa de Actualizaciones de Seguridad Extendidas (ESU). 

Las vulnerabilidades zero-day incluyen fallos en Windows SMB Server, Microsoft SQL Server y un controlador Agere Modem utilizado para obtener privilegios de administrador. Se recomienda a las organizaciones instalar las actualizaciones de inmediato. 

La ICO multa a capita con 14 millones de libras por la violación de datos de 2023 

La Oficina del Comisionado de Información (ICO) del Reino Unido ha multado a Capita con 14 millones de libras tras una violación de datos en 2023 que expuso la información personal de 6,6 millones de personas. El incidente afectó a cientos de clientes, incluidos 325 proveedores de planes de pensiones, después de que los hackers accedieran a aproximadamente el 4% de la infraestructura interna de TI de la empresa. 

Los atacantes obtuvieron acceso cuando un empleado descargó un archivo malicioso, lo que permitió al grupo de ransomware Black Basta infiltrarse en la red durante 58 horas antes de que se aislara el dispositivo comprometido. La ICO señaló controles de acceso deficientes, demoras en la respuesta a las alertas y pruebas de penetración inadecuadas como fallos clave. 

La multa, inicialmente fijada en 45 millones de libras, fue reducida después de que Capita aceptara la responsabilidad e implementara mejoras significativas en su seguridad. 

Mango revela una violación de datos a través de un proveedor externo de marketing 

El minorista de moda español MANGO ha informado a sus clientes de una violación de datos después de que uno de sus proveedores externos de servicios de marketing sufriera un acceso no autorizado que expuso información personal. La brecha, revelada el 14 de octubre de 2025, afectó a datos utilizados para campañas de marketing, incluidos nombres, países, códigos postales, direcciones de correo electrónico y números de teléfono. 

MANGO confirmó que no se comprometieron datos financieros, documentos de identidad ni credenciales de acceso, y que su infraestructura corporativa no se vio afectada, lo que permitió mantener las operaciones con normalidad. La empresa notificó el incidente a la Agencia Española de Protección de Datos (AEPD) y habilitó canales de soporte dedicados para los clientes afectados. 

Aunque el riesgo directo es limitado, los expertos en ciberseguridad advierten que los datos filtrados podrían ser utilizados en campañas de phishing dirigidas. Hasta el momento, ningún grupo de ransomware ha reivindicado el ataque.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.