Hackers vinculados a la brecha de M&S reivindican el ciberataque a Jaguar Land Rover

Jaguar Land Rover (JLR), el mayor fabricante de automóviles del Reino Unido, ha confirmado un grave ciberataque que obligó esta semana a detener la producción en sitios clave. La interrupción, que afectó tanto a los sistemas de fabricación como a los de venta minorista, fue reivindicada por un canal de Telegram vinculado a los grupos de hackers angloparlantes Scattered Spider, Lapsus$ y ShinyHunters. El canal publicó capturas de pantalla que supuestamente mostraban los sistemas internos de TI de JLR junto con cobertura mediática del incidente.

JLR declaró que no hay pruebas de que los datos de los clientes se hayan visto comprometidos, pero explicó que apagó los sistemas de forma proactiva para contener el impacto. Los proveedores habrían sufrido graves interrupciones, con pérdidas estimadas en decenas de millones de libras debido a la paralización de las líneas de producción. El ataque es el último de una serie de incidentes de alto perfil vinculados a Scattered Spider, que ya ha atacado a M&S, Co-op y Harrods. Las autoridades británicas están investigando, y la National Crime Agency confirmó que supervisa la situación de cerca.

Workiva sufre una brecha de datos vinculada a Salesforce

El proveedor de SaaS en la nube Workiva ha confirmado que atacantes accedieron a un sistema CRM (customer relationship management) de un tercero y robaron datos limitados de clientes. La brecha expuso información de contacto empresarial, incluidos nombres, direcciones de correo electrónico, números de teléfono y contenido de tickets de soporte.

Workiva, cuya plataforma respalda informes financieros, cumplimiento y auditorías, cuenta entre sus 6.305 clientes con el 85% de las empresas Fortune 500, incluyendo Google, Delta, T-Mobile y Santander. La compañía subrayó que su propia plataforma y los datos contenidos en ella no fueron comprometidos. A los clientes afectados se les advirtió que permanezcan atentos ante posibles intentos de spear-phishing.

El incidente está relacionado con una ola más amplia de brechas de Salesforce atribuidas al grupo de extorsión ShinyHunters. Utilizando tácticas como el vishing y tokens OAuth robados, el grupo ha infiltrado instancias de Salesforce en grandes empresas como Cloudflare, Google, Cisco, Adidas y Zscaler. Workiva recordó a los clientes que todas las comunicaciones oficiales se realizan únicamente a través de sus canales de soporte.

Hackers aprovechan HexStrike-AI para explotar fallos en Citrix

Check Point Research ha advertido que los hackers están adoptando cada vez más HexStrike-AI, un framework de seguridad ofensiva de código abierto basado en inteligencia artificial, para explotar vulnerabilidades recién descubiertas en Citrix. La herramienta, diseñada originalmente para red teaming, integra agentes de IA capaces de ejecutar de forma autónoma más de 150 herramientas de ciberseguridad para pruebas de penetración y descubrimiento de vulnerabilidades.

Desde su publicación en GitHub el mes pasado, donde ya ha obtenido 1.800 estrellas y más de 400 forks, HexStrike-AI ha ganado gran tracción en foros de la dark web. Según los investigadores, los actores de amenazas lo habrían utilizado para explotar fallos en Citrix NetScaler ADC y Gateway (CVE-2025-7775, CVE-2025-7776, CVE-2025-8424) pocas horas después de su divulgación, permitiendo ejecución remota de código e instalación de webshells. Algunos dispositivos comprometidos ya se anuncian para la venta.

Según ShadowServer, casi 8.000 endpoints siguen expuestos a CVE-2025-7775. Check Point advierte que la automatización impulsada por IA podría reducir los tiempos de explotación de días a minutos, dejando a los administradores aún menos margen para aplicar parches.

Cloudflare bloquea ataque DDoS récord de 11,5 Tbps

Cloudflare ha confirmado que mitigó el mayor ataque DDoS registrado hasta la fecha, que alcanzó un pico de 11,5 terabits por segundo (Tbps) y duró unos 35 segundos. El ataque, atribuido inicialmente a Google Cloud y luego vinculado a una combinación de dispositivos IoT y varios proveedores de nube, fue una inundación UDP capaz de derribar la mayoría de los servicios en línea.

En la misma comunicación, Cloudflare precisó que sus sistemas bloquearon automáticamente cientos de ataques “hiper-volumétricos” en las últimas semanas, incluido uno que alcanzó 5,1 mil millones de paquetes por segundo (Bpps). Como referencia, el récord anterior, en junio de 2025, llegó a 7,3 Tbps, mientras que en octubre de 2024 fue de 3,8 Tbps, lo que demuestra la rápida aceleración de la magnitud de estos ataques.

Cloudflare planea publicar un informe detallado, pero advirtió que ataques de esta escala, impulsados por botnets que aprovechan infraestructuras en la nube, se están volviendo cada vez más frecuentes.

Hackers intentan robar 130 millones de dólares a través del sistema Pix en Brasil

Evertec ha revelado que hackers intentaron robar 130 millones de dólares de su filial brasileña, Sinqia S.A., tras comprometer su entorno en el sistema de pagos instantáneos Pix. El incidente ocurrió el 29 de agosto de 2025 y fue comunicado a la SEC de EE.UU.

Al detectar actividad sospechosa, Sinqia detuvo el procesamiento de transacciones y recurrió a expertos externos en ciberforense. Los atacantes, usando credenciales robadas de un proveedor de TI, intentaron realizar transferencias no autorizadas entre dos instituciones financieras. Según medios locales, una de ellas sería HSBC, que aclaró que los fondos y datos de los clientes no se vieron afectados.

Evertec confirmó que parte de los fondos ya ha sido recuperada, aunque las investigaciones siguen en curso. Mientras no se han detectado filtraciones de datos personales, el Banco Central de Brasil revocó temporalmente el acceso de Sinqia a Pix hasta recibir las garantías necesarias. Evertec advirtió que el impacto financiero y reputacional “podría ser significativo.”

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.