Chat with us, powered by LiveChat
Partner Login

Monthly Threat Report de junio de 2026

Códigos de dispositivo, fallos descubiertos y tomas de control de dominios

Escrito por Security Lab / 18.06.2026 /

Introducción

El Monthly Threat Report de Hornetsecurity by Proofpoint ofrece cada mes información sobre tendencias de seguridad en M365, amenazas basadas en el correo electrónico y análisis de la actualidad en ciberseguridad. Esta edición del Monthly Threat Report se centra en los eventos del sector durante mayo de 2026. Al tratarse de una edición de noticias y análisis, el informe de este mes prioriza la profundidad sobre amenazas emergentes e investigaciones del sector frente a las secciones de datos estadísticos.

Resumen ejecutivo

  • Nuestro Threat Intelligence Lab documentó una campaña activa que utilizaba el kit Kali365 de Phishing-as-a-Service (PhaaS) para secuestrar sesiones de Microsoft 365 mediante phishing de código de dispositivo. La campaña abusaba del flujo legítimo de autorización de dispositivos OAuth 2.0 de Microsoft para capturar tokens de acceso y actualización. El FBI emitió un Public Service Announcement sobre el mismo kit el 21 de mayo.
  • Anthropic publicó los primeros resultados de Project Glasswing. En este programa, su modelo restringido Claude Mythos y unas 50 organizaciones asociadas identificaron más de 10.000 vulnerabilidades de gravedad alta o crítica en software crítico, incluidas más de 23.000 posibles vulnerabilidades en 1.000 proyectos open source, con una tasa de verdaderos positivos del 90,6 % en hallazgos muestreados de forma independiente.
  • CVE-2026-41089, una vulnerabilidad crítica de ejecución remota de código en Windows Netlogon con una puntuación CVSS de 9,8, ya se está explotando activamente en entornos reales. Microsoft corrigió el fallo en el Patch Tuesday del 12 de mayo. La vulnerabilidad no requiere autenticación y permite comprometer por completo un controlador de dominio.
  • NYC Health + Hospitals confirmó que una brecha divulgada a principios de este año afectó al menos a 1,8 millones de pacientes, miembros de la plantilla y personas candidatas, con datos robados que incluyen historiales médicos, números de la Seguridad Social estadounidense, credenciales financieras, geolocalización y datos biométricos de huellas dactilares y palmares. La intrusión se atribuyó al compromiso de un proveedor externo.
  • Foxconn confirmó un ciberataque contra sus operaciones en Norteamérica el 12 de mayo. El grupo de ransomware Nitrogen afirmó haber robado aproximadamente 8 terabytes de datos, que sumaban más de 11 millones de archivos. AppleInsider confirmó más tarde que en el conjunto de datos robado aparecían esquemas de servidores de Apple.
  • El abuso de códigos de dispositivo, el descubrimiento de vulnerabilidades acelerado por IA y la exposición a proveedores externos representan tres tendencias convergentes para las que las organizaciones deberían prepararse durante la segunda mitad de 2026. Cada una cambia el cálculo sobre dónde invertir en detección, velocidad de parcheo y controles de identidad.

Panorama de amenazas

Kali365: el phishing de código de dispositivo alcanza escala de producción mediante PhaaS

Nuestro Threat Intelligence Lab documentó una campaña activa a principios de junio que aprovechaba el kit Kali365 de Phishing-as-a-Service, dentro de una oleada de actividad que se intensificó durante mayo. El análisis técnico completo está disponible en el blog de Hornetsecurity. El 21 de mayo, el Internet Crime Complaint Center (IC3) del FBI emitió un Public Service Announcement sobre Kali365, donde lo describía como una plataforma PhaaS emergente que permite incluso a operadores con poca experiencia acceder a capacidades avanzadas de phishing. Bleeping Computer e Infosecurity Magazine cubrieron de forma independiente el aviso del FBI.

Kali365 vende acceso a través de canales de Telegram por unos 250 dólares al mes o 2.000 dólares al año. El kit incluye cebos de phishing generados por IA, plantillas de campaña, paneles de seguimiento de víctimas en tiempo real y la capacidad central que lo diferencia del phishing orientado al robo de credenciales: la captura de tokens OAuth mediante abuso del flujo de código de dispositivo.

Cómo funciona el phishing de código de dispositivo

La autenticación mediante código de dispositivo es un flujo legítimo de Microsoft OAuth 2.0, diseñado originalmente para dispositivos con entrada limitada, como televisores inteligentes, equipos de salas de reuniones y sistemas IoT. En el flujo legítimo, un dispositivo que no puede aceptar credenciales con facilidad muestra un código de verificación corto, y la persona usuaria accede al portal de inicio de sesión de Microsoft desde otro dispositivo para introducir ese código y completar la autenticación. A continuación, Microsoft emite tokens de acceso y actualización al dispositivo solicitante.

El phishing de código de dispositivo invierte el modelo de confianza. El atacante inicia el flujo de código de dispositivo desde una infraestructura bajo su control y después convence a la víctima para que introduzca el código del atacante en la página de inicio de sesión real de Microsoft. La víctima se autentica contra infraestructura legítima de Microsoft, supera cualquier desafío MFA y, sin saberlo, autoriza a Microsoft a emitir tokens para la sesión del atacante. No se interceptan credenciales. No se muestra ninguna página de inicio de sesión falsa. El engaño se produce antes de la autenticación, no durante ella.

La campaña observada

La campaña analizada por nuestro Threat Intelligence Lab comienza con un cebo temático de pago. La muestra observada llevaba el asunto “EFT Payment in Progress” y utilizaba lenguaje de remesas diseñado para encajar de forma natural con personal de finanzas y contabilidad. El correo evitaba tácticas de urgencia evidentes y presentaba, en su lugar, un flujo de trabajo empresarial rutinario centrado en una llamada a la acción: “VER DETALLES DE LA REMESA”.

A partir de ese engaño inicial, la cadena avanza por varias fases diseñadas para superar tanto el análisis automatizado como la sospecha humana:

Fase 1: El enlace del correo apunta a una plataforma SaaS legítima de terceros (mixpanel[.]com en la muestra observada), donde una página alojada presenta lo que parece ser una interfaz de documento escaneado con una marca de aspecto profesional.

Fase 2: Una página de verificación intermedia al estilo de Cloudflare introduce fricción, filtra algunos rastreadores de seguridad automatizados y refuerza la impresión de alojamiento legítimo.

Fase 3: La víctima llega a la propia página de Kali365, una interfaz de documento seguro con temática de Microsoft que muestra una imagen de marca similar a Outlook, lenguaje de cifrado de mensajes y un código de dispositivo corto. La página indica a la víctima que abra el portal de inicio de sesión de Microsoft, introduzca el código mostrado, se autentique y vuelva.

Fase 4: La víctima visita microsoft.com/devicelogin, introduce el código, completa la autenticación, incluidos posibles avisos MFA, y ve una confirmación que hace referencia a “Microsoft Authentication Broker on another device”. En ese momento, se emiten tokens OAuth válidos para la sesión del atacante, no para el navegador de la víctima.

Una segunda variante observada el 2 de junio cambió el tema del cebo, de pago EFT a “revisión urgente de propuesta”, pero mantuvo una cadena técnica idéntica. Esto indica una adaptación operativa activa.

Indicadores de compromiso (IOC)

Hosts de cebo de primera fase:hxxps://mixpanel[.]com/public/5TwfnfSBNLp72xaBMcuEwT - hxxps://biovelt[.]com/@trianzprop

Páginas de phishing de segunda fase:hxxps://6civt6gowo[.]clearprocesses[.]de/l/375eYPgUe-4 - hxxps://l2k9vlvw7p[.]brinautomotivekow[.]sbs/l/fjOZveI_IVw

IP asociada: - 104.21.28[.]254

Por qué es importante

El phishing de código de dispositivo replantea una suposición básica de la formación en concienciación de seguridad. Durante años se ha formado a los usuarios para revisar las URL y buscar páginas de inicio de sesión falsas. En un ataque de código de dispositivo no existe ninguna página de inicio de sesión falsa. La víctima se autentica contra infraestructura real de Microsoft, en un dominio real de Microsoft, y completa un MFA real. Los indicadores convencionales de compromiso que se han enseñado a reconocer no están presentes.

Esto desplaza el momento sospechoso a una fase anterior de la cadena. La señal de alerta no es la propia página de inicio de sesión, sino la instrucción de introducir un código corto obtenido desde un correo o un flujo de documentos. Tanto Microsoft como el FBI señalan que el flujo de código de dispositivo se utiliza raramente en flujos de trabajo empresariales normales, pero cada vez aparece más en operaciones de phishing. Esa asimetría convierte el bloqueo unilateral de la autenticación mediante código de dispositivo, aplicado con políticas de Acceso condicional tras auditar los casos de uso legítimos, en uno de los controles más eficaces disponibles.

El modelo de distribución PhaaS también importa. Kali365 no es una amenaza a medida que requiera técnicas propias de un actor estatal. Por 250 dólares al mes, el kit está al alcance de una base amplia de operadores, y su automatización reduce la barrera técnica para lanzar campañas a escala. Cabe esperar que el abuso de códigos de dispositivo siga creciendo durante el resto de 2026.

Recomendamos tratar el flujo de código de dispositivo como una ruta de autenticación controlada y auditada, no como una opción activada por defecto. Las políticas de Acceso condicional que restringen la autenticación mediante código de dispositivo a categorías de dispositivos conocidas, combinadas con formación que cubra específicamente el engaño basado en la introducción de códigos, reducen de forma material la exposición a esta técnica.

Incidentes importantes y eventos del sector

Project Glasswing de Anthropic saca a la luz más de 10.000 vulnerabilidades críticas y un cuello de botella en el parcheo

El 22 de mayo, Anthropic publicó una primera actualización sobre Project Glasswing, su programa restringido de investigación en ciberseguridad, que da acceso controlado a Claude Mythos Preview a unas 50 organizaciones asociadas previamente verificadas. Claude Mythos Preview es un modelo de IA diseñado específicamente para el descubrimiento de vulnerabilidades y la construcción de exploits. Entre los socios figuran AWS, Apple, Cisco, Cloudflare, CrowdStrike, Google, JPMorgan Chase, Microsoft, Mozilla y NVIDIA, entre otros. Bleeping Computer y The Hacker News también cubrieron la publicación.

Las cifras principales son llamativas. En el primer mes de despliegue entre socios, Mythos identificó más de 10.000 vulnerabilidades de gravedad alta o crítica en parte del software más importante que se utiliza hoy. En un esfuerzo complementario de escaneo open source sobre más de 1.000 proyectos, Mythos marcó 23.019 posibles vulnerabilidades, de las cuales unas 6.202 se estimaron de gravedad alta o crítica. Seis firmas independientes de investigación de seguridad revisaron una muestra de 1.752 hallazgos para evaluar su validez. La tasa de verdaderos positivos fue del 90,6 %, y el 62,4 % de los hallazgos válidos confirmados se situó en la categoría de gravedad alta o crítica. Anthropic proyecta unas 3.900 vulnerabilidades de gravedad alta o crítica en el conjunto open source analizado.

Destacan varios hallazgos concretos. Mythos identificó CVE-2026-5194, un fallo crítico en WolfSSL con una puntuación CVSS de 9,1 que permite falsificar certificados y, con ello, suplantar servicios legítimos. Mythos también descubrió una vulnerabilidad de 16 años en FFmpeg, un fallo de ejecución remota de código en FreeBSD NFS asignado como CVE-2026-4747 y múltiples cadenas de escalada de privilegios en el kernel de Linux.

Los resultados de los partners son el dato más revelador de la divulgación. Mozilla utilizó Mythos para identificar y parchear 271 vulnerabilidades de Firefox en una sola versión (Firefox 150), según se informó, más de diez veces lo que su equipo había podido detectar con generaciones anteriores de modelos. Cloudflare identificó unas 2.000 vulnerabilidades en su infraestructura, 400 de ellas clasificadas como de gravedad alta o crítica, y notificó tasas de falsos positivos mejores que las de testers humanos. Palo Alto Networks publicó aproximadamente cinco veces su volumen habitual de parches durante el mismo periodo.

El hallazgo menos alentador es el cuello de botella en el parcheo. Anthropic comunicó 530 bugs de gravedad alta o crítica a mantenedores open source; 75 se han parcheado y 65 han recibido avisos públicos. En el conjunto analizado más amplio, menos del 1 % de las vulnerabilidades identificadas por Mythos se ha parcheado. El cuello de botella se ha desplazado del descubrimiento a la remediación.

Por qué es importante

Project Glasswing es la prueba pública más concreta hasta la fecha de que el descubrimiento de vulnerabilidades impulsado por IA ha alcanzado un nivel operativo productivo. La tasa de verdaderos positivos del 90,6 % frente a la revisión de expertos independientes es relevante: una tasa de hallazgos con ese nivel de calidad, combinada con el volumen que produce Mythos, supera lo que la mayoría de equipos de seguridad puede revisar y remediar con cadencias convencionales. El hecho de que Mozilla parcheara 271 vulnerabilidades en una sola versión de Firefox porque Mythos las presentó de forma tratable muestra cómo puede ser, en la práctica, una herramienta de IA productiva para la defensa.

La misma tecnología es la variable más importante en el lado ofensivo de la ecuación. Si capacidades de clase Mythos llegan a una base más amplia de operadores, ya sea por disponibilidad pública, exfiltración de modelos o replicación independiente, la tasa de descubrimiento de vulnerabilidades disponible para atacantes aumentará con fuerza. Las organizaciones no deberían asumir que la latencia actual entre la divulgación de una vulnerabilidad y su weaponization se mantendrá. La velocidad de parcheo, en especial para componentes open source en software de terceros, será probablemente la variable que más determine la exposición durante los próximos doce meses.

El cuello de botella en el parcheo es una preocupación por sí mismo. Un pipeline que produce diez veces más hallazgos que las herramientas anteriores, pero que sigue limitado por ciclos de revisión, pruebas y despliegue de parches mediados por personas, generará listas públicas cada vez mayores de fallos sin corregir. Esperamos que esta brecha impulse de nuevo el foco organizativo en la higiene de Software Bill of Materials (SBOM), la gestión automatizada de dependencias y los flujos de parcheo priorizado durante la segunda mitad del año.

CVE-2026-41089: RCE en Windows Netlogon bajo explotación activa

Microsoft parcheó CVE-2026-41089 en el Patch Tuesday del 12 de mayo como una de las 118 vulnerabilidades corregidas ese mes, 17 de ellas calificadas como críticas. El fallo es un desbordamiento de búfer basado en pila en la interfaz RPC de Windows Netlogon que permite a un atacante remoto no autenticado enviar una solicitud de red especialmente diseñada a un servidor Windows que actúe como controlador de dominio y ejecutar código con privilegios de nivel SYSTEM. Microsoft le asignó una puntuación CVSS de 9,8. No requiere interacción del usuario ni autenticación previa.

El 1 de junio, el Centre for Cybersecurity Belgium (CCB) de Bélgica confirmó la explotación activa basándose en información de partners de confianza. Bleeping Computer informó de forma independiente sobre la explotación activa ese mismo día, y SecurityWeek publicó una confirmación separada. Microsoft actualizó su aviso en consecuencia e instó a parchear de inmediato los sistemas sin actualizar. Todas las versiones de Windows Server actualmente compatibles están afectadas, incluido Windows Server 2025.

No se ha publicado ninguna atribución a un actor de amenaza concreto en el momento de redactar este informe.

Por qué es importante

Los controladores de dominio son los objetivos de mayor valor en un entorno Windows. La ejecución de código con nivel SYSTEM en un controlador de dominio equivale, en la práctica, a una toma de control completa del directorio. A partir de ahí, el atacante controla la autenticación de todo el dominio. Una RCE no autenticada y sin interacción del usuario que consigue esto de forma directa es el tipo de vulnerabilidad que marca calendarios de respuesta a incidentes durante meses.

Las organizaciones deberían tratar CVE-2026-41089 como una prioridad máxima de parcheo y verificar que se ha completado en toda la flota de controladores de dominio, no solo en una muestra. En entornos donde no sea posible parchear de inmediato, la segmentación de red que restrinja el tráfico RPC de Netlogon a rutas administrativas conocidas reduce la exposición, pero no la elimina.

NYC Health + Hospitals confirma una brecha con 1,8 millones de personas afectadas, incluidos datos biométricos

El 18 de mayo, NYC Health + Hospitals confirmó que un ciberataque divulgado previamente expuso datos personales, médicos, financieros y biométricos pertenecientes al menos a 1,8 millones de pacientes, miembros de la plantilla y personas candidatas. TechCrunch informó primero del alcance actualizado, y HIPAA Journal confirmó de forma independiente la población afectada. El propio aviso de brecha de datos de NYC Health + Hospitals se publicó en su sitio web y empezó a llegar a los buzones de las personas afectadas a finales de marzo.

La cronología es importante. NYC Health + Hospitals detectó actividad sospechosa el 2 de febrero de 2026. La investigación posterior determinó que un actor no autorizado accedió a determinados sistemas entre aproximadamente el 25 de noviembre de 2025 y el 11 de febrero de 2026, con presencia en el entorno durante unos dos meses y medio antes de la detección. La organización indicó que el actor no autorizado “puede haber obtenido acceso a los sistemas de NYC Health + Hospitals debido a una brecha de seguridad en un proveedor externo”. El proveedor no se ha identificado públicamente.

Las categorías de datos comprometidos son inusualmente amplias. Según la propia divulgación de NYC Health + Hospitals, la información expuesta incluye datos del seguro médico, historiales médicos (diagnósticos, medicamentos, resultados de pruebas, imágenes, planes de tratamiento), números de la Seguridad Social estadounidense, permisos de conducir, identificadores gubernamentales, identificadores fiscales, información y credenciales de cuentas financieras, credenciales de cuentas online, datos de geolocalización precisa y datos biométricos, incluidas huellas dactilares y palmares. NYC Health + Hospitals ofrece 24 meses de servicios de prevención de robo de identidad y monitorización de crédito a través de Kroll Information Assurance a miembros de la plantilla y pacientes desde 2020. Ya se ha presentado una demanda colectiva.

Por qué es importante

Las brechas en el sector sanitario no son nuevas, pero dos características de este incidente merecen especial atención.

La primera es la inclusión de datos biométricos. Los registros de huellas dactilares y palmares no son reemplazables. Las contraseñas robadas pueden cambiarse y las tarjetas de crédito robadas pueden reemitirse, pero un dato biométrico robado queda comprometido de forma permanente. A medida que la autenticación biométrica se vuelve más común en servicios financieros, sanidad y sistemas de acceso físico, el valor a largo plazo de un registro biométrico filtrado seguirá aumentando. Las organizaciones que recopilan datos biométricos para autenticación, control de asistencia o verificación de identidad deberían tratarlos como un nivel de sensibilidad superior al de los datos personales habituales e implementar controles acordes con esa clasificación.

La segunda es el vector del proveedor externo. La mayor brecha sanitaria del año hasta ahora no se produjo por un compromiso directo de los propios sistemas de NYC Health + Hospitals. Se originó en un proveedor cuyo acceso al entorno no estaba suficientemente monitorizado o no estaba restringido de forma adecuada. La edición de abril de este informe cubrió el ataque destructivo a Stryker, que comenzó con una única credencial de administrador comprometida y terminó con unos 80.000 dispositivos borrados. El patrón en ambos incidentes es el mismo: la identidad es el perímetro, y cualquier identidad fuera del control directo de la organización (cuentas de proveedores, acceso a la cadena de suministro, relaciones de confianza federadas) forma parte de la superficie de ataque y debe gobernarse en consecuencia.

Las organizaciones deberían tratar el acceso de terceros a entornos sensibles como un problema de gobernanza de primer nivel. Las auditorías de identidad, la delimitación granular del acceso, las credenciales con límite temporal y la monitorización del comportamiento en sesiones de proveedores son controles concretos que reducen de forma material el radio de impacto de una cuenta de proveedor comprometida.

Foxconn confirma un ciberataque, y el grupo de ransomware Nitrogen afirma haber robado 8 TB, incluidos esquemas de servidores de Apple

El 12 de mayo, Foxconn confirmó un ciberataque contra sus operaciones en Norteamérica, con instalaciones afectadas en Mount Pleasant, Wisconsin, y Houston, Texas. El grupo de ransomware Nitrogen reivindicó la autoría en su sitio de filtraciones y afirmó haber exfiltrado aproximadamente 8 terabytes de datos, con más de 11 millones de archivos. Cybernews y TechRepublic cubrieron la reivindicación de forma independiente.

Foxconn confirmó públicamente el incidente, pero no validó el volumen ni el contenido específico de los datos robados. Un portavoz de Foxconn declaró: “El equipo de ciberseguridad activó de inmediato el mecanismo de respuesta e implementó múltiples medidas operativas para garantizar la continuidad de la producción y la entrega”. Según se informó, algunas operaciones volvieron a procesos manuales durante la recuperación.

Los datos que Nitrogen afirmó haber robado incluyen instrucciones confidenciales, documentación interna de proyectos, diseños de placas de circuito y planos técnicos presuntamente vinculados a proyectos de Apple, Nvidia, Intel, Google, Dell y AMD. La afirmación se trató inicialmente con cautela por la falta de verificación independiente. El 20 de mayo, AppleInsider informó de que había revisado muestras del conjunto de datos y confirmado la presencia de esquemas de servidores de Apple entre los archivos robados. Las demás afirmaciones sobre OEM siguen sin verificarse en el momento de redactar este informe.

Nitrogen está activo desde 2023 y opera como grupo de doble extorsión: cifra los archivos de las víctimas y amenaza con publicar los datos robados si no se paga un rescate. Se cree que el grupo se basa en código derivado del constructor de ransomware Conti 2 filtrado y se sospecha que tiene vínculos con el ecosistema ALPHV/BlackCat.

Por qué es importante

El incidente de Foxconn destaca menos por el evento de cifrado en sí, que parece haberse contenido, y más por lo que representan los datos exfiltrados. Los fabricantes por contrato y los socios OEM concentran propiedad intelectual técnica de múltiples clientes finales. Un compromiso con éxito en ese nivel expone no solo al fabricante afectado, sino también a todos los clientes cuyos diseños, esquemas y hojas de ruta residen en ese entorno. Los esquemas confirmados de servidores de Apple son la parte públicamente visible de una exposición potencial mucho mayor en el conjunto de la cartera OEM.

Esta categoría de riesgo de cadena de suministro es cualitativamente distinta de los compromisos de paquetes open source (npm, GitHub Actions) que hemos cubierto durante 2026. Es bastante evidente que los partners de la cadena de suministro física también son partners de la cadena de suministro de software, en el sentido de que conservan el mismo tipo de material técnico confidencial que la empresa de origen y pueden tener una postura de seguridad distinta a la de los clientes cuyos datos almacenan. Las organizaciones deberían incluir la propiedad intelectual técnica alojada en fabricantes por contrato, partners de diseño y proveedores OEM dentro de sus propios modelos de amenaza, con requisitos contractuales de seguridad, derechos de auditoría y compromisos de coordinación de respuesta a incidentes acordes.

Predicciones para los próximos meses

  • El abuso de códigos de dispositivo seguirá escalando a medida que la distribución PhaaS reduzca la barrera de entrada para los operadores. El precio de Kali365, 250 dólares al mes, hace que la técnica esté al alcance de una base amplia de operadores, y Microsoft 365 sigue siendo un objetivo de alto valor. Cabe esperar que las campañas de phishing de código de dispositivo diversifiquen sus cebos (actualmente dominados por pagos y compras) y empiecen a incorporar suplantaciones más agresivas de notificaciones rutinarias del sistema M365.
  • Las capacidades de IA de clase Mythos llegarán a una disponibilidad pública más amplia, y el equilibrio entre ataque y defensa se pondrá a prueba en entornos reales. A pesar de los retrasos actuales para volver a poner Mythos / Fable en el mercado, estos modelos acabarán alcanzando disponibilidad general. La primera generación de vulnerabilidades descubiertas por IA que aparezcan en explotación activa, en lugar de divulgación coordinada, será la señal de que el lado ofensivo se ha puesto al día.
  • CVE-2026-41089 aparecerá en informes de incidentes de toma de control de dominio. Una RCE pública, no autenticada y sin interacción del usuario en controladores de dominio es demasiado útil para seguir siendo una curiosidad de divulgación coordinada durante mucho tiempo. Cabe esperar que este CVE se cite en informes posteriores a incidentes durante el tercer trimestre de 2026, sobre todo en entornos donde el parcheo coordinado de toda la flota de controladores de dominio quedó incompleto.
  • El compromiso de proveedores externos dominará el análisis de causa raíz en brechas sanitarias. El incidente de NYC Health + Hospitals es la mayor brecha sanitaria del año hasta la fecha y se originó fuera del propio perímetro de la organización afectada. A medida que el sector sanitario consolide sus relaciones con proveedores en torno a menos plataformas especializadas, el radio de impacto de un único compromiso de proveedor seguirá ampliándose.
  • Los datos biométricos se convertirán en una categoría de brecha más visible. A medida que organizaciones de sanidad, servicios financieros y acceso físico sigan desplegando autenticación biométrica, aumentará el valor a largo plazo de los registros biométricos robados para atacantes. Esperamos que más divulgaciones de brechas durante la segunda mitad de 2026 mencionen de forma específica la exposición de datos biométricos, y que los reguladores empiecen a tratar las brechas biométricas como una categoría diferenciada a efectos de notificación y remediación.
  • Los retrasos de parcheo en open source se convertirán en una categoría de riesgo estratégico. Con Mythos y herramientas similares produciendo hallazgos más rápido de lo que la comunidad open source puede triarlos y remediarlos, las organizaciones tendrán que monitorizar sus cadenas de suministro de software en busca de avisos sin parchear de forma más activa que en el pasado.

Recomendaciones mensuales

  • Bloquea o restringe de forma estricta la autenticación mediante código de dispositivo en Microsoft 365 a través de Acceso condicional. Audita primero los casos de uso legítimos (normalmente un conjunto pequeño de dispositivos con entrada limitada) y después aplica políticas que bloqueen el flujo de código de dispositivo para el resto de usuarios y categorías de dispositivos. Combínalo con formación en concienciación de seguridad que cubra específicamente el engaño basado en la introducción de códigos, para que se entienda que una página de inicio de sesión real de Microsoft también puede ser la vía del atacante.
  • Parchea CVE-2026-41089 en toda la flota de controladores de dominio durante una ventana de mantenimiento coordinada. El parcheo parcial crea una situación indefendible, porque basta un solo controlador de dominio sin parchear para que se produzca un compromiso. Verifica la finalización en todos los controladores, no en una muestra, y confirma que el tráfico RPC de Netlogon esté restringido de forma adecuada en la capa de red cuando sea viable.
  • Audita la identidad y el acceso de proveedores externos en tu entorno. La brecha de NYC Health + Hospitals se originó con el compromiso de un proveedor. Realiza el inventario de todo el acceso permanente de proveedores, valida que esté delimitado de forma adecuada y limitado en el tiempo, y aplica monitorización del comportamiento a las sesiones de proveedores. Trata las relaciones de identidad federada y las cuentas de servicio creadas para terceros como parte del alcance de los mismos controles que la identidad del personal interno.
  • Para Managed Service Providers (MSPs), revisa el Hornetsecurity MSP Playbook 2026. El playbook cubre onboarding, monitorización, personalización, gestión de la ciberseguridad, gestión de proveedores y GenAI como áreas operativas donde la estandarización y la automatización impulsan tanto la rentabilidad como los resultados de seguridad. El phishing de código de dispositivo y el riesgo de proveedores externos encajan de lleno en los flujos de trabajo de ciberseguridad y gestión de proveedores que aborda el playbook.
  • Refuerza los flujos de monitorización y parcheo de dependencias open source. Con el descubrimiento de vulnerabilidades impulsado por IA generando hallazgos a un ritmo que supera las cadencias tradicionales de parcheo, las organizaciones deberían asegurarse de contar con un Software Bill of Materials (SBOM) preciso, escaneo automatizado de dependencias vinculado a feeds de avisos actualizados y un proceso de priorización que distinga los hallazgos de alta gravedad del ruido de fondo.

Acerca de Hornetsecurity

Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com 

También le puede interesar