Chat with us, powered by LiveChat
Partner Login

Monthly Threat Report de abril de 2026

Credenciales, clínicas y código comprometido

Escrito por Security Lab / 09.04.2026 /
Home » Blog » Monthly Threat Report de abril de 2026

Introducción

El Monthly Threat Report de Hornetsecurity te ofrece cada mes información sobre tendencias de seguridad en M365, amenazas basadas en correo electrónico y comentarios sobre la actualidad del ámbito de la ciberseguridad. Esta edición del Informe mensual de amenazas se centra en los acontecimientos del sector ocurridos durante marzo de 2026.

Resumen ejecutivo

  • Una sola credencial robada borró aproximadamente 80.000 dispositivos en Stryker, después de que el grupo Handala, vinculado a Irán, abusara de Microsoft Intune. El grupo afirmó que el ataque alcanzó oficinas en 79 países. Las plataformas de gestión de dispositivos ya son una superficie de ataque de primer nivel.
  • El ransomware Medusa obligó a cerrar 35 clínicas y dejó sin acceso al EHR durante nueve días al University of Mississippi Medical Center, el único centro de trauma de nivel I del estado, lo que refuerza que la sanidad sigue siendo un objetivo de alto valor con consecuencias reales para la seguridad del paciente.
  • Corea del Norte comprometió el paquete Axios de npm, una de las bibliotecas de JavaScript más utilizadas del mundo, con más de 70 millones de descargas semanales, en un ataque a la cadena de suministro con un alcance potencial enorme de no haberse detectado en menos de tres horas.
  • La campaña de la temporada de impuestos impulsó más de 100 campañas de phishing distintas, con atacantes desplegando herramientas RMM para mantener acceso persistente tras el compromiso, además del robo tradicional de credenciales, y apuntando a particulares e instituciones financieras en varios países al mismo tiempo.
  • Los entornos de desarrollo y los ecosistemas de código abierto están cada vez más en el punto de mira. La campaña sostenida de Corea del Norte en npm y el ataque a Axios señalan juntos una estrategia deliberada y cada vez más madura para comprometer a desarrolladores como vía de acceso a infraestructuras más amplias.
  • La proliferación de permisos en SharePoint representa un riesgo sistémico y en gran medida invisible en la mayoría de las organizaciones. Los grupos anidados, las etiquetas de permisos falsificadas, los enlaces de uso compartido anónimos persistentes y las bibliotecas de documentos ocultas crean una exposición que los procesos de auditoría estándar rara vez detectan y que los procesos de offboarding estándar a menudo pasan por alto.

Panorama de amenazas

Los peligros ocultos del exceso de compartición en SharePoint

Microsoft SharePoint está en el centro de cómo la mayoría de las organizaciones almacenan, comparten y colaboran con documentos internos. Esa centralidad lo convierte en un objetivo de alto valor, pero el riesgo más habitual y menos apreciado no es un atacante externo entrando desde fuera, sino una acumulación lenta de permisos excesivos y mal entendidos desde dentro a lo largo del tiempo.

La mayoría de los entornos de SharePoint crecen de forma orgánica a lo largo de años de actividad diaria. Se comparten archivos, se anidan carpetas, se crean grupos y luego se olvidan, y se generan enlaces para invitados para una colaboración puntual que nunca se revocan. El resultado es un mapa de permisos que ningún administrador puede ver por completo ni auditar con confianza usando las herramientas nativas. Según la propia investigación de Hornetsecurity, una empresa de aproximadamente 400 empleados puede acumular 2 millones de archivos en SharePoint con más de 100.000 derechos de acceso distintos. A esa escala, seguir manualmente quién tiene acceso a qué se vuelve prácticamente imposible.

Esta falta de visibilidad genera varios riesgos de seguridad concretos que merece la pena entender en detalle.

Los grupos anidados ocultan el acceso real

SharePoint no muestra la pertenencia a grupos cuando un administrador revisa una entrada de permisos. Además, los grupos existen en dos ubicaciones distintas: Microsoft Entra ID y los antiguos SharePoint Groups. Un administrador que revise permisos puede ver el nombre de un grupo sin una forma práctica de determinar quién forma realmente parte de ese grupo o si ese grupo contiene otros grupos que amplían todavía más el acceso. Los atacantes con cualquier nivel de acceso administrativo pueden explotar esto de forma deliberada, ocultando accesos dentro de estructuras de grupos anidados que sobreviven incluso a intentos activos de revocarlos.

Las etiquetas de permisos se pueden falsificar

SharePoint permite renombrar los niveles de permisos de forma independiente a los permisos reales que conceden. Por ejemplo, un nivel de permisos configurado para dar Full Control puede etiquetarse como “Read” en el nombre que se muestra. SharePoint muestra la etiqueta, no los permisos subyacentes, lo que significa que los administradores que revisan accesos no pueden confiar en lo que ven sin comprobar directamente la configuración.

Los enlaces de compartición anónimos son persistentes por defecto

La configuración predeterminada de Microsoft 365 genera enlaces de compartición anónimos para los archivos compartidos a través de Teams. Estos enlaces siguen activos incluso después de que una organización intente retirar el acceso a un usuario, creando una vía de exfiltración duradera y en gran medida invisible que los procesos de offboarding estándar suelen pasar por alto.

Las bibliotecas de documentos ocultas permiten una exfiltración silenciosa de datos

Los usuarios con acceso elevado a SharePoint pueden crear bibliotecas de documentos invisibles para otros miembros, copiar archivos sensibles en esas bibliotecas y conceder acceso externo a invitados, lo que permite una exfiltración de datos sostenida y encubierta sin un rastro de auditoría evidente.

Por qué importa

La consecuencia práctica de estos riesgos es que la mayoría de las organizaciones no tienen una imagen exacta de quién puede acceder a qué dentro de su entorno de SharePoint en un momento dado. Esto importa por varias razones más allá del cumplimiento normativo.

Desde la perspectiva de la amenaza interna, los empleados que se marchan o están descontentos pueden conservar acceso mediante pertenencia a grupos anidados o enlaces anónimos que sobreviven al offboarding estándar. El bloqueo del inicio de sesión en M365, que suele ser el primer paso del offboarding, es lento y no invalida de inmediato todas las vías de acceso. Un empleado que conozca bien el entorno puede aprovechar esa ventana.

Desde la perspectiva de un atacante externo, cualquier compromiso de cuenta en un entorno con permisos de SharePoint descontrolados genera un radio de impacto mucho mayor del que debería. Una sola cuenta comprometida con permisos que nadie auditó puede tener acceso a años de documentos internos sensibles en varios departamentos.

Recomendamos que las organizaciones traten la higiene de permisos de SharePoint como un control de seguridad permanente y no como una tarea puntual de limpieza. Auditar la pertenencia a grupos anidados, revisar y revocar enlaces de invitado obsoletos, validar la configuración de los niveles de permisos y establecer políticas que regulen cómo se aprueba la compartición externa y durante cuánto tiempo se mantiene son pasos concretos que reducen de forma significativa la exposición sin necesidad de que ocurra un incidente de seguridad para motivar la acción.

La temporada de impuestos dispara las campañas de phishing dirigidas a contribuyentes e instituciones financieras

Cada año, cuando llega la temporada de impuestos, los actores de amenazas aprovechan de forma sistemática la combinación de presión financiera, urgencia por los plazos y el volumen de comunicaciones sensibles que circulan entre particulares, empleadores y organismos públicos. Marzo de 2026 no fue una excepción. El equipo de investigación de amenazas de Proofpoint documentó más de 100 campañas de phishing temáticas sobre impuestos activas a comienzos de 2026, lo que supone una escalada relevante tanto en volumen como en variedad en comparación con temporadas anteriores.

Las campañas se dividían en dos grandes líneas. La primera categoría suplantaba a autoridades fiscales, sobre todo al IRS, con cebos relacionados con documentos tributarios caducados, reembolsos pendientes o verificaciones de cuenta obligatorias. Estas campañas buscaban robar credenciales o instalar herramientas de gestión y monitorización remota (RMM) como Datto, N-Able, RemotePC y ScreenConnect, lo que daba a los atacantes un punto de apoyo persistente en los equipos de las víctimas mucho más allá de la interacción inicial. La segunda categoría se dirigía directamente a instituciones financieras, usando kits de phishing de credenciales contra clientes de bancos y proveedores de servicios financieros en varios países, entre ellos Canadá, Australia, Singapur, Suiza y Japón como algunos de los más atacados.

La investigación de Proofpoint también identificó actores de amenazas que distribuían malware de robo de información mediante cebos relacionados con impuestos, lo que indica que algunos operadores están menos interesados en acceder a cuentas y más centrados en recopilar credenciales y tokens de sesión a gran escala para venderlos o utilizarlos más adelante.

Por qué importa

El phishing relacionado con la temporada de impuestos no es nuevo, pero la escala y la sofisticación documentadas este año merecen atención por varios motivos.

El uso de herramientas RMM como carga útil posterior al compromiso es un cambio notable frente al enfoque centrado solo en el robo de credenciales que históricamente ha dominado las campañas con cebos fiscales. Las herramientas RMM son software legítimo, lo que significa que las soluciones de detección en endpoints a menudo no las marcan, y una vez instaladas proporcionan a los atacantes acceso remoto persistente y bajo demanda que puede reutilizarse mucho después de que termine la campaña original. Una organización cuyo empleado instale una instancia de RMM controlada por un atacante a finales de marzo puede no descubrir el problema de acceso hasta meses después.

También conviene destacar el alcance geográfico del ataque contra instituciones financieras. Estas campañas no están centradas en un único mercado. Los atacantes están ejecutando operaciones paralelas en varias regiones al mismo tiempo, ajustando los cebos y los kits de phishing para encajar con las entidades locales y los periodos de declaración correspondientes. Las organizaciones que operan en varios países deberían asegurarse de que su formación en concienciación de seguridad cubre variaciones de cebos específicas de cada región, y no solo contenido con la marca del IRS.

A nivel de usuario, la recomendación es clara: las autoridades fiscales y las instituciones financieras no inician contacto mediante enlaces o adjuntos no solicitados en correos electrónicos. Cualquier comunicación que alegue urgencia en torno a una declaración de impuestos, un reembolso o una verificación de cuenta debe tratarse con escepticismo y verificarse directamente a través de canales oficiales.

Incidentes principales y acontecimientos del sector

El grupo Handala, vinculado a Irán, destruye aproximadamente 80.000 dispositivos en Stryker usando Microsoft Intune

A mediados de marzo, un ciberataque destructivo contra el gigante de tecnología médica Stryker demostró hasta qué punto ha cambiado el cálculo del riesgo en torno a las plataformas de gestión de dispositivos. El grupo hacktivista Handala, vinculado a Irán, atribuido al Ministry of Intelligence and Security (MOIS) de Irán y seguido por investigadores de seguridad como Void Manticore, comprometió una sola cuenta de administrador de Stryker y la utilizó para emitir un comando masivo de borrado remoto a través de Microsoft Intune, destruyendo instalaciones del sistema operativo en toda la empresa. Los investigadores de seguridad verificaron que se borraron aproximadamente 80.000 dispositivos Windows, mientras que Handala afirmó que el ataque afectó a más de 200.000 sistemas en 79 países, una cifra que no se ha confirmado de forma independiente. Stryker confirmó que el ataque estaba contenido y que los trabajos de restauración ya estaban en marcha. No hubo malware. Todo el vector de ataque fue una única credencial robada.

CISA respondió en cuestión de días y publicó recomendaciones para que las organizaciones revisaran y reforzaran sus entornos de Microsoft Intune, tratando el incidente como una llamada de atención sobre cómo la infraestructura de gestión de dispositivos basada en la nube puede volverse contra las organizaciones que dependen de ella. Krebs on Security también cubrió el ataque en profundidad, incluyendo detalles sobre la atribución del grupo y sus patrones de ataque más amplios.

Por qué importa

El ataque a Stryker es un ejemplo de manual de cómo una capacidad presente en prácticamente cualquier empresa moderna puede convertirse en un arma con una eficacia devastadora. Microsoft Intune se despliega ampliamente precisamente porque centraliza la gestión de dispositivos, agiliza la aplicación de políticas y simplifica la administración remota a escala. Esas mismas propiedades hacen que una sola cuenta privilegiada comprometida pueda traducirse directamente en un borrado a escala empresarial sin herramientas adicionales, sin movimiento lateral dentro de la red interna y sin malware que las herramientas de detección en endpoints puedan detectar.

Hay varios aspectos que hacen que este patrón de ataque sea especialmente preocupante:

  • El atacante no necesitó ser sofisticado. Ningún zero-day, ningún implante avanzado, ninguna permanencia de meses dentro del entorno. Por lo que se sabe, una sola credencial robada bastó para causar una disrupción operativa masiva en una organización global.
  • Las plataformas de gestión de dispositivos no suelen tratarse como una superficie de ataque de primer nivel. Muchas organizaciones invierten mucho en reforzar identidades, endpoints y controles perimetrales, mientras que los planos de gestión que se sitúan por encima de esos endpoints reciben comparativamente menos atención.
  • Los ataques destructivos están aumentando. Todo este caso encaja en un patrón operativo más amplio en el que actores vinculados a Irán priorizan la disrupción operativa y la destrucción por encima del acceso silencioso y persistente. Cuando el objetivo es causar daño y no recopilar inteligencia, la velocidad y el alcance destructivo importan más que el sigilo.

Para cualquier organización que use Microsoft Intune, Microsoft Endpoint Configuration Manager o plataformas comparables de mobile device management (MDM), este incidente debería impulsar una revisión inmediata de quién tiene acceso administrativo, si esas cuentas están protegidas con MFA resistente al phishing y si los comandos de borrado de dispositivos requieren una autorización adicional fuera de banda antes de ejecutarse. El radio de impacto de una cuenta de administrador de MDM comprometida ya no es teórico.

El ransomware Medusa paraliza al University of Mississippi Medical Center

A finales de febrero, la banda de ransomware Medusa comprometió al University of Mississippi Medical Center (UMMC), el único centro de trauma de nivel I del estado y su único hospital infantil, que da servicio a aproximadamente 10.000 empleados y a una población de pacientes de todo el estado. El ataque obligó a UMMC a cerrar 35 clínicas, suspender cirugías electivas y perder acceso a su sistema Epic de electronic health records (EHR) durante nueve días. El 12 de marzo, Medusa publicó a UMMC en su sitio de filtraciones de la dark web, afirmando haber exfiltrado una gran cantidad de datos, incluida información sanitaria de pacientes, y fijó un plazo de rescate de 800.000 dólares hasta el 20 de marzo.

El grupo también afirmó haber comprometido Passaic County, New Jersey, en el mismo periodo de publicación, lo que indica que sigue atacando en paralelo a los sectores sanitario y gubernamental.

Por qué importa

Este ataque es otro caso muy real que ilustra las implicaciones que tiene el ransomware para la seguridad del paciente en entornos sanitarios. La pérdida de acceso al EHR no solo genera inconvenientes administrativos; interrumpe los flujos de trabajo asistenciales, obliga al personal clínico a volver al papel y puede afectar directamente a las decisiones de tratamiento. En un centro de trauma de nivel I, esos retrasos tienen consecuencias graves.

Medusa ha sido una de las operaciones de ransomware más activas de los últimos meses, y su foco continuado en sanidad y sector público responde a una lógica calculada. Estas organizaciones suelen operar con presupuestos de seguridad IT limitados, sufren una enorme presión para restaurar operaciones con rapidez y manejan datos lo bastante sensibles como para generar una fuerte palanca de extorsión. Son, en el lenguaje económico del ransomware, objetivos de alta presión.

Conviene subrayar varias conclusiones:

  • Los grupos de ransomware no se frenan por la naturaleza humanitaria de sus objetivos. Las organizaciones sanitarias no deberían asumir que su misión les proporciona ninguna protección. La operación Medusa ha demostrado repetidamente que los hospitales, los centros de trauma y los servicios públicos se consideran objetivos rentables, no zonas fuera de límites.
  • La resiliencia de las plataformas EHR merece una atención específica. Epic y otros sistemas clínicos empresariales comparables representan puntos únicos de fallo para las operaciones clínicas. Los planes de respuesta a incidentes deberían contemplar de forma explícita escenarios de indisponibilidad del EHR, incluidos flujos de trabajo offline probados.
  • La exfiltración precede ahora al cifrado como práctica estándar. Para cuando se despliega el cifrado, los datos normalmente ya han salido del entorno. La amenaza de una exposición pública de datos significa que restaurar desde copias de seguridad, aunque sea crítico, ya no resuelve todo el alcance de un incidente de ransomware.

Las organizaciones de sanidad y servicios públicos deberían tratar la actividad continuada de Medusa como una amenaza permanente y no como un hecho aislado.

Corea del Norte envenena el paquete Axios de npm en un descarado ataque a la cadena de suministro

El 31 de marzo, actores de amenazas norcoreanos publicaron dos versiones maliciosas del paquete Axios de npm en el registro de npm. Axios es una de las bibliotecas cliente HTTP para JavaScript más usadas del mundo, con más de 70 millones de descargas semanales. Las versiones maliciosas (1.14.1 y 0.30.4) incluían una dependencia inyectada, “plain-crypto-js”, que descargaba cargas de remote access trojan (RAT) desde infraestructura de comando y control norcoreana. Los paquetes estuvieron disponibles durante aproximadamente tres horas antes de ser detectados y retirados.

Microsoft atribuyó el ataque a Sapphire Sleet, mientras que Google Threat Intelligence lo atribuyó de forma independiente a UNC1069. Ambos grupos se consideran actores de amenazas vinculados a Corea del Norte. El hecho de que dos grandes organizaciones de inteligencia de amenazas llegaran de manera independiente a conclusiones consistentes sobre la atribución aporta a esta evaluación un grado de confianza mayor del que suelen tener las atribuciones de una sola fuente.

Por qué importa

Los ataques a la cadena de suministro dirigidos al ecosistema npm no son nuevos, pero elegir Axios como objetivo supone una escalada relevante. La mayoría de las campañas con paquetes maliciosos se centran en paquetes poco conocidos o que imitan nombres legítimos con poco alcance y dependen de que los desarrolladores los descarguen por error. Apuntar a un paquete con la base de instalación de Axios es una propuesta completamente distinta. Si las versiones maliciosas hubieran permanecido activas más tiempo, o si la detección hubiera sido más lenta, el alcance potencial del compromiso en entornos cloud, corporativos y de desarrollo habría sido enorme.

Este ataque también se conecta con una campaña norcoreana más amplia y sostenida contra desarrolladores de software. Como señalamos en la edición anterior de este informe, actores norcoreanos llevan tiempo ejecutando la campaña “Contagious Interview”, publicando paquetes maliciosos de npm diseñados para atacar a desarrolladores de criptomonedas, Web3 y AI mediante falsas ofertas de empleo. El ataque a Axios sigue el mismo tradecraft general, pero con un radio de impacto potencial mucho mayor. En lugar de esperar que los desarrolladores instalen por error un paquete falso, estos actores encontraron una vía para entrar en un paquete que los desarrolladores ya usan y en el que confían por defecto.

Hay varias implicaciones que merecen atención directa:

  • La verificación de la integridad de paquetes ya no es opcional. Las organizaciones que consumen dependencias de código abierto a escala deberían usar herramientas de software composition analysis (SCA) y monitorizar cambios inesperados en las dependencias de los paquetes de los que dependen. La ventana de tres horas en la que estas versiones maliciosas de Axios estuvieron activas es demasiado corta para una detección manual.
  • Las operaciones norcoreanas contra la cadena de suministro están madurando. La campaña Contagious Interview demostró paciencia y escala. El ataque a Axios demuestra voluntad de apuntar a infraestructura central y no solo a objetivos periféricos. La combinación apunta a un actor de amenazas que es cada vez más capaz y más agresivo al atacar ecosistemas de desarrollo.
  • La estación de trabajo del desarrollador es un objetivo de alto valor. Los atacantes que comprometen el entorno de un desarrollador obtienen acceso a código fuente, credenciales, tokens de API cloud y, en muchos casos, acceso directo al despliegue. La exposición posterior que puede derivarse de un solo desarrollador comprometido va mucho más allá del individuo.

Recomendamos firmemente revisar las herramientas de integridad de paquetes npm, evaluar la higiene de lockfiles en los proyectos activos y asegurarse de que cualquier entorno que consuma el paquete Axios ha verificado que está ejecutando una versión limpia y no comprometida.

Predicciones para los próximos meses

  • Las plataformas MDM y de gestión de dispositivos atraerán una mayor atención por parte de los atacantes. El incidente de Stryker demostró el alcance devastador de una sola cuenta de administrador de Intune comprometida. Cabe esperar que los actores de amenazas, sobre todo los que tienen intención destructiva, analicen los entornos MDM de forma más deliberada a medida que este patrón de ataque se entienda mejor y se replique dentro de la comunidad de actores maliciosos.
  • Las operaciones destructivas vinculadas a Irán seguirán intensificándose. El ataque de Handala contra Stryker encaja en un patrón más amplio de actores alineados con Irán que priorizan la disrupción por encima del sigilo. Mientras las tensiones geopolíticas sigan elevadas, esperamos campañas destructivas continuadas contra organizaciones occidentales, con plataformas de gestión de dispositivos, infraestructura cloud y tecnología operativa entre las categorías de objetivos más probables.
  • La sanidad seguirá siendo un objetivo prioritario para el ransomware. El ataque de Medusa contra UMMC es coherente con un patrón sostenido en todo el sector. La combinación de presupuestos de seguridad limitados, presión para restaurar operaciones con rapidez y datos de pacientes extremadamente sensibles convierte a las organizaciones sanitarias en objetivos fiables. Los grupos de ransomware no están cambiando su cálculo aquí.
  • Las operaciones norcoreanas contra la cadena de suministro serán cada vez más ambiciosas. La evolución desde la campaña Contagious Interview hasta el ataque a Axios muestra a un actor de amenazas que aumenta de forma constante tanto la escala como la centralidad de sus objetivos en la cadena de suministro. Los próximos pasos lógicos son futuros ataques contra paquetes fundamentales de código abierto, herramientas de CI/CD o almacenes de credenciales de desarrolladores.
  • Las campañas con cebos fiscales irán bajando, pero la persistencia basada en RMM seguirá ahí. A medida que pasen los plazos de presentación, el volumen de phishing temático sobre impuestos disminuirá. Sin embargo, las organizaciones en las que los empleados interactuaron con campañas que distribuían herramientas RMM durante el pico de la temporada todavía pueden albergar accesos persistentes no detectados. Conviene hacer una revisión de herramientas de endpoint y software de acceso remoto después de la temporada de impuestos.
  • Los planos de gestión de SaaS y cloud seguirán siendo objetivos. En los incidentes de este mes hay un hilo conductor claro: los atacantes van a por las herramientas que gestionan y orquestan otros sistemas en lugar de atacar directamente endpoints individuales. Las plataformas MDM, los registros de npm y los almacenes de credenciales cloud encajan en este patrón. Cabe esperar que este foco se intensifique.

Recomendaciones mensuales

  • Audita de inmediato el acceso de administrador de MDM. Revisa quién tiene roles administrativos en Microsoft Intune, Microsoft Endpoint Configuration Manager o cualquier plataforma MDM comparable. Confirma que esas cuentas están protegidas con MFA resistente al phishing, aplica principios de mínimo privilegio para limitar quién puede emitir comandos masivos de borrado y valora exigir autorización fuera de banda para acciones destructivas. El ataque a Stryker no requirió malware ni movimiento lateral. La higiene de credenciales de los administradores de MDM es ahora un control crítico.
  • Trata la indisponibilidad del EHR como un escenario de incidente definido. Las organizaciones sanitarias deberían asegurarse de que sus planes de respuesta a incidentes contemplan de forma explícita escenarios en los que plataformas clínicas como Epic no estén accesibles. Los flujos de trabajo offline deberían estar documentados, probados y ser conocidos por el personal clínico antes de que hagan falta bajo presión.
  • Haz una revisión de RMM tras la temporada de impuestos. Si tu organización no bloqueó la instalación de herramientas RMM mediante controles de endpoint durante la temporada de impuestos, audita ahora los endpoints para detectar instancias no autorizadas de herramientas como ScreenConnect, RemotePC, N-Able o Datto RMM. El acceso RMM instalado por atacantes es silencioso, persistente y no caduca por sí solo.
  • Implementa herramientas de software composition analysis (SCA) en todos los pipelines de desarrollo. La ventana de tres horas del ataque a Axios es demasiado corta para una detección manual. La medida adecuada es una herramienta SCA automatizada que monitorice incorporaciones inesperadas de dependencias o anomalías en las versiones de paquetes. Complétalo con buenas prácticas de lockfiles y verificación de integridad para los paquetes críticos.
  • Amplía la formación en concienciación de seguridad para cubrir los patrones de phishing de la temporada de impuestos. Asegúrate de que los usuarios finales entienden que las autoridades fiscales y las instituciones financieras no inician contacto mediante correos no solicitados con enlaces o adjuntos. La formación debería cubrir tanto los cebos con la marca del IRS como el phishing específico de entidades que apunta a las cuentas financieras personales de los empleados, ya que ambos han estado activos esta temporada.
  • Refuerza las identidades cloud privilegiadas en todas las plataformas de gestión. El ataque a Stryker, el continuo ataque norcoreano contra desarrolladores y el patrón más amplio de ataques al plano de gestión tienen un punto de entrada común: el compromiso de credenciales. Aplica MFA resistente al phishing a todos los roles administrativos cloud, audita las concesiones de OAuth y los permisos de cuentas de servicio, y monitoriza acciones administrativas anómalas como un control permanente, no reactivo.

Acerca de Hornetsecurity

Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 125.000 clientes. Para más información, visite hornetsecurity.com 

También le puede interesar