Partner Login

Monthly Threat Report marzo de 2026

Evasión, fuzzing y explotación

Escrito por Security Lab / 16.03.2026 /
Home » Blog » Monthly Threat Report marzo de 2026

Introducción

El Monthly Threat Report de Hornetsecurity te ofrece cada mes información sobre tendencias de seguridad en M365, amenazas basadas en el correo electrónico y análisis de la actualidad en ciberseguridad. Esta edición del informe se centra en los acontecimientos más relevantes del sector durante febrero de 2026.

Resumen ejecutivo

  • Fuzzing en campañas de correo electrónico: los actores maliciosos usan cada vez más la aleatorización dinámica de texto para eludir los sistemas de detección basados en firmas y en la agrupación de campañas. Esto fragmenta las señales de las campañas en miles de variantes de bajo volumen que se mantienen por debajo de los umbrales de detección.
  • Desmantelamiento de Tycoon 2FA: importante operación coordinada en la que participaron Proofpoint, Microsoft, Europol y fuerzas de seguridad internacionales. Se incautaron 330 dominios asociados a paneles de control de una de las plataformas de phishing-as-a-service basadas en AiTM más activas.
  • BeyondTrust Zero-Day (CVE-2026-1731): una vulnerabilidad RCE previa a la autenticación en BeyondTrust Remote Support fue explotada en campañas activas de ransomware. CISA emitió una orden para aplicar el parche con un plazo de tres días para las agencias federales, lo que demuestra la urgencia de la situación.
  • VMware Aria Operations RCE (CVE-2026-22719): otra vulnerabilidad en una plataforma de gestión, detectada ese mismo mes, se ha añadido a la lista KEV de CISA. Esto demuestra que los atacantes están centrando sus esfuerzos en la infraestructura en la que más confían los equipos de seguridad.
  • Mirando al futuro: las técnicas para eludir el MFA, la resiliencia de las plataformas PhaaS y los ataques contra herramientas de gestión seguirán siendo clave en el panorama de amenazas en los próximos meses. Implementar defensas en varias capas y aplicar parches con rapidez ya no es opcional.

Resumen de amenazas

Fuzzing en campañas de ataques por correo: el arte de camuflarse

De vez en cuando, en este informe mensual nos gusta destacar técnicas utilizadas por los actores maliciosos. En el informe de este mes hablamos del uso del «fuzzing» en ataques por correo electrónico.

El fuzzing, o la aleatorización dinámica de elementos de texto dentro de los mensajes de correo, se ha convertido en una técnica habitual de evasión para los actores maliciosos que lanzan campañas masivas de spam y phishing. En vez de enviar copias idénticas del mismo mensaje, los atacantes introducen marcadores variables (por ejemplo, {RAND_1} o {RAND_ALPHA}) directamente en las plantillas de envío.

Después usan scripts o módulos de spambots para generar valores únicos en el momento del envío. El resultado es una avalancha de mensajes con la misma intención maliciosa, pero que parecen ligeramente diferentes entre sí, lo suficiente como para evitar que los sistemas los agrupen. Los campos que aleatorizan incluyen el alias del remitente, el nombre visible del remitente y la línea de asunto, que son los atributos en los que muchos sistemas de detección y agrupación se apoyan con más frecuencia.

Lo que hace que esta técnica sea eficaz es su precisión. La aleatorización no es totalmente caótica. Sigue patrones limitados, como cadenas de texto de longitud fija, conjuntos de caracteres restringidos o frases predefinidas en las que solo cambian uno o dos elementos. Los atacantes ajustan estos parámetros en función de las tasas de entrega y de la respuesta de los sistemas de detección, aumentando o reduciendo la variabilidad para mantenerse justo por debajo del punto en el que los sistemas de filtrado empiezan a identificar el patrón. Las campañas también se distribuyen deliberadamente en muchas variantes de bajo volumen, lo que hace que cada grupo de correos maliciosos sea demasiado pequeño para activar los sistemas de detección de picos de actividad o los mecanismos de reputación, mientras que el volumen total sigue creciendo con la esperanza de alcanzar un gran número de bandejas de entrada.

¿Por qué es importante?

El impacto en la infraestructura de filtrado es significativo y afecta a varios niveles. Los sistemas de detección basados en clustering (agrupación), que identifican campañas coordinadas agrupando mensajes con atributos similares, pierden precisión cuando cada mensaje es ligeramente diferente. Los sistemas de retroalimentación basados en quejas (FBL) también se fragmentan en docenas de variantes de bajo volumen, lo que dificulta que los sistemas de reputación más antiguos detecten una señal clara. Indicadores que normalmente serían fiables, como los alias de remitente, los asuntos o el contenido del mensaje, se vuelven inconsistentes o quedan contaminados, eliminando los patrones que los equipos de seguridad utilizan para reaccionar con rapidez. Depender únicamente del filtrado basado en firmas o en reputación ya no es suficiente. Para detectar lo que los métodos tradicionales no ven, es fundamental que utilices protección de correo de nueva generación que incluya análisis de comportamiento, inspección profunda del contenido y heurísticas avanzadas.

Tycoon 2FA desmantelado: gran victoria contra el phishing-as-a-service basado en AiTM

En una importante operación coordinada anunciada el 4 de marzo de 2026, la plataforma Tycoon 2FA, un conocido servicio de phishing-as-a-service basado en adversary-in-the-middle (AiTM), fue desmantelada por un grupo de entidades públicas y privadas. Entre ellas se encontraban Proofpoint, Microsoft, Europol, Cloudflare y diferentes fuerzas de seguridad de varios países. La operación permitió incautar 330 dominios utilizados por los paneles de control de Tycoon 2FA.

Tycoon 2FA se vendía a través de Telegram desde 2023 y funcionaba principalmente robando cookies de sesión de Microsoft 365 y Gmail mediante un proxy transparente. Así, los atacantes podían eludir el MFA y tomar el control total de las cuentas. Solo en febrero de 2026, Proofpoint detectó más de tres millones de mensajes relacionados con campañas de Tycoon 2FA dirigidas a empresas de prácticamente todos los sectores.

Según Microsoft, la plataforma permitió a los ciberdelincuentes acceder a casi 100.000 organizaciones, entre ellas escuelas, hospitales e instituciones gubernamentales. Los datos de Proofpoint también muestran que el 59% de las cuentas comprometidas tenían MFA activado en el momento del ataque. Las campañas de Tycoon 2FA eran amplias y oportunistas, y se distribuían mediante enlaces en correos electrónicos, códigos QR y archivos adjuntos. Los atacantes incluso utilizaban cuentas ya comprometidas para dar más credibilidad al engaño. Esta técnica, conocida como «ATO Jumping», consiste en usar un buzón secuestrado para enviar más phishing, lo que hacía mucho más difícil detectar el ataque para los destinatarios.

¿Por qué es importante?

Este desmantelamiento supone una interrupción importante para uno de los ecosistemas de evasión de MFA más activos del panorama de amenazas. Sin embargo, no significa que el problema esté resuelto. Las plataformas PhaaS suelen ser resilientes: sus operadores tienden a reconstruir la infraestructura, cambiar de nombre y reaparecer. La lección más importante es que el MFA por sí solo ya no es una defensa suficiente frente a ataques AiTM avanzados. Si tu empresa utiliza el MFA como principal defensa de identidad, deberías reforzarlo con otras medidas, como la protección de tokens de sesión, métodos de autenticación resistentes al phishing (como FIDO2 o passkeys) y filtrado avanzado del correo electrónico capaz de detectar los métodos de entrega que utilizaba Tycoon 2FA, como códigos QR, archivos adjuntos maliciosos o cuentas de remitentes comprometidas.

Incidentes importantes y eventos del sector

Vulnerabilidad crítica RCE Zero-Day en BeyondTrust Remote Support explotada en campañas de ransomware

A principios de febrero, BeyondTrust reveló una vulnerabilidad de ejecución remota de código previa a la autenticación en su producto Remote Support, registrada como CVE-2026-1731. El fallo, causado por una debilidad de inyección de comandos del sistema operativo, permite que un atacante no autenticado ejecute comandos arbitrarios mediante solicitudes de cliente especialmente diseñadas, sin usar credenciales. Las pruebas de concepto públicas aparecieron casi justo después de la divulgación, el 6 de febrero, y para el 13 de febrero CISA confirmó que la vulnerabilidad ya se estaba explotando en internet. Por ello, la añadió a su catálogo de Known Exploited Vulnerabilities y dio a las agencias federales tres días para aplicar el parche o retirar completamente el producto.

¿Por qué es importante?

Las herramientas de soporte remoto están en el centro de muchas operaciones de IT, especialmente en los MSP. Este tipo de herramientas suele tener privilegios elevados y un amplio acceso a la red, lo que las convierte en objetivos valiosos para los atacantes. Una vulnerabilidad RCE previa a la autenticación en una herramienta de este tipo puede actuar como una llave maestra para los atacantes, sin necesidad de phishing, robo de credenciales ni ingeniería social, según la arquitectura de la aplicación. La velocidad con la que CVE-2026-1731 pasó de su divulgación a usarse en campañas activas de ransomware, en menos de dos semanas, demuestra una vez más que las ventanas para aplicar parches son cada vez más cortas. Si tu empresa usa implementaciones autoalojadas de BeyondTrust y no actuó tras el aviso de seguridad, considera la posibilidad de un compromiso del sistema e inicia una investigación.

Vulnerabilidad RCE en VMware Aria Operations (CVE-2026-22719): CISA la añade a la lista de vulnerabilidades explotadas activamente

Poco después del caso de BeyondTrust, otra plataforma de gestión empresarial llamó la atención de la Cybersecurity and Infrastructure Security Agency (CISA) en febrero. En VMware Aria Operations se identificó una vulnerabilidad de inyección de comandos, registrada como CVE-2026-22719, con una puntuación CVSS de 8,1. La vulnerabilidad fue revelada inicialmente por Broadcom el 24 de febrero como parte del aviso de seguridad VMSA-2026-0001.

El fallo permite que un atacante no autenticado ejecute comandos arbitrarios en sistemas vulnerables durante el proceso de migración asistida por soporte del producto. Aunque el parche ya estaba disponible en el momento de su divulgación, CISA actuó rápidamente y añadió la vulnerabilidad a su catálogo de vulnerabilidades conocidas explotadas activamente (KEV), citando informes de explotación real en internet. Además, fijó como fecha límite de corrección para los organismos federales el 24 de marzo de 2026. Broadcom reconoció que tenía conocimiento de informes de explotación, aunque señaló que no podía confirmar de forma independiente todos los casos. También proporcionó un script de mitigación en shell para las organizaciones que no puedan aplicar el parche de inmediato.

¿Por qué es importante?

VMware Aria Operations es una plataforma empresarial de monitorización que se utiliza para supervisar el estado y el rendimiento de servidores, redes e infraestructuras cloud en organizaciones de gran tamaño. Este tipo de plataforma ofrece una gran visibilidad y control sobre la infraestructura, lo que la convierte en un objetivo especialmente atractivo para los atacantes. Como ya se mencionaba en el caso de BeyondTrust, las plataformas de gestión y monitorización están cada vez más en el punto de mira de los ciberdelincuentes, precisamente porque comprometerlas puede dar acceso a una gran parte del entorno de una empresa. Que dos vulnerabilidades en plataformas de gestión, señaladas por CISA y explotadas activamente, aparezcan en el mismo mes no es una coincidencia. Es parte de un patrón que muestra un cambio claro en el enfoque de los atacantes hacia las herramientas en las que más confían los equipos de seguridad. Aplica el parche lo antes posible. Si no puedes hacerlo ya, utiliza el script de mitigación proporcionado por Broadcom y restringe el acceso a la interfaz de Aria Operations a nivel de red únicamente a rangos de IP de administradores de confianza.

Predicciones para los próximos meses

  • Las plataformas PhaaS se reorganizarán y reaparecerán: la interrupción de Tycoon 2FA es una victoria, pero no será la última plataforma AiTM a la que los equipos de seguridad deberán enfrentarse. Los operadores de estos servicios han demostrado su capacidad para reconstruir infraestructuras, cambiar de marca y volver a operar. Es probable que aparezcan plataformas sucesoras o versiones reactivadas de Tycoon 2FA en cuestión de semanas o meses, seguramente con mejores prácticas de OPSEC integradas desde el principio.
  • La evasión del MFA seguirá aumentando: Tycoon 2FA está robando cookies de sesión de cuentas protegidas con MFA a gran escala, por lo que otros actores maliciosos ya tienen un modelo claro que seguir. Las técnicas de phishing AiTM seguirán expandiéndose dentro del ecosistema PhaaS, y las empresas que aún consideren el MFA como una defensa suficiente se encontrarán en desventaja.
  • Las plataformas de gestión y monitorización son el nuevo perímetro: que dos vulnerabilidades RCE explotadas y señaladas por CISA aparezcan en herramientas empresariales de gestión en un mes indica un cambio estratégico claro. Es de esperar que sigan los ataques a herramientas RMM, plataformas de observabilidad y software de gestión de IT, ya que los atacantes buscan accesos que multipliquen su alcance en lugar de comprometer sistemas uno a uno.
  • Los grupos de ransomware aprovechan ventanas de vulnerabilidad cortas: el caso de BeyondTrust, donde la explotación por ransomware se produjo casi inmediatamente después de la divulgación de la vulnerabilidad, confirma que los atacantes están operacionalizando exploits PoC mucho más rápido de lo que la mayoría de las empresas puede aplicar parches. Esta brecha seguirá explotándose de forma agresiva, especialmente en herramientas empresariales autoalojadas, con bases instaladas amplias y ciclos de actualización lentos.
  • El fuzzing en correos será cada vez más sofisticado: a medida que los sistemas de detección mejoran sus capacidades conductuales y heurísticas, los actores maliciosos responderán haciendo que sus técnicas de fuzzing sean cada vez más adaptativas y complejas.
  • La cadena de suministro y el acceso de terceros seguirán siendo un vector principal de entrada: el patrón de atacantes que comprometen cuentas para lanzar campañas de phishing, como en la técnica ATO Jumping de Tycoon 2FA, seguirá creciendo. Es de esperar que aparezcan más campañas con infraestructuras legítimas de envío para eludir los controles de reputación y filtrado.

Recomendaciones mensuales

  • Refuerza el filtrado del correo más allá de firmas y reputación: Las técnicas de evasión basadas en fuzzing hacen que los métodos tradicionales, como la detección por patrones estáticos o los filtros basados en reputación, sean mucho menos eficaces. Invierte en protección avanzada del correo electrónico que incluya análisis de comportamiento y una inspección profunda del contenido.
  • Ve más allá del MFA; adopta autenticación resistente al phishing: El desmantelamiento de Tycoon 2FA confirmó lo que muchos sospechaban, el MFA estándar no es una defensa fiable frente a ataques AiTM. Evalúa e implementa métodos de autenticación resistentes al phishing, como passkeys basadas en FIDO2 o claves de seguridad físicas. Esto es importante para cuentas con privilegios elevados, ejecutivos y cualquier rol con acceso a entornos cloud sensibles. Además, las políticas de acceso condicional que evalúan el riesgo de la sesión de forma continua pueden ser un complemento muy eficaz.
  • Audita y revoca tokens OAuth y de sesión innecesarios: El phishing AiTM funciona robando cookies de sesión. Esto significa que incluso sesiones autenticadas recientemente pueden secuestrarse. Haz una revisión de permisos OAuth activos y de la duración de los tokens de sesión en M365. Implementa también token binding cuando sea posible. Configura la evaluación continua de acceso para invalidar sesiones cuando se detecte un comportamiento anómalo.
  • Aplica el parche de BeyondTrust Remote Support inmediatamente e investiga si aún no lo has hecho. Si tu empresa utiliza instancias autoalojadas de BeyondTrust Remote Support y no aplicó el parche para CVE-2026-1731 pocos días después de su divulgación, el 6 de febrero, debes tratar tu entorno como potencialmente comprometido e iniciar una revisión forense.
  • Actualiza VMware Aria Operations y restringe el acceso a la interfaz de gestión: Aplica inmediatamente el parche de Broadcom para CVE-2026-22719. Si no puedes aplicar el parche de inmediato, implementa el script de shell de mitigación proporcionado por Broadcom. Restringe el acceso de red a la interfaz de gestión de Aria Operations únicamente a rangos de IP de administradores de confianza. La fecha límite federal del 24 de marzo establecida por CISA debe considerarse un límite máximo, no un objetivo.

Acerca de Hornetsecurity

Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com 

También le puede interesar