Microsoft bloqueó 13 millones de correos de phishing personalizados en 2025 explotando configuraciones incorrectas en Microsoft 365, no Zero-Days, donde la mayoría de brechas comienzan con políticas en "solo informes" desde hace años. Los atacantes de IA automatizan ataques a gran escala, identificando errores comunes en miles de inquilinos simultáneamente, reduciendo el tiempo de brecha de semanas a horas. El riesgo no son vulnerabilidades desconocidas, sino problemas conocidos sin solucionar que la IA explota hoy: autenticación heredada, permisos excesivos y políticas desactualizadas. Las herramientas existen, pero el trabajo atrasado crece; se recomienda habilitar políticas de riesgo, bloquear autenticación heredada y auditar permisos.

Una ola de ataques de *relleno de credenciales* ha revelado un preocupante cambio en la forma en que los actores de amenazas acceden a las redes corporativas: no explotando vulnerabilidades de software, sino simplemente iniciando sesión con contraseñas robadas. En el centro de esta campaña se encuentran familias de malware infostealer, que recopilan silenciosamente credenciales de dispositivos infectados de empleados.

Se ha descubierto una nueva campaña de troyanos botnet, denominada OCRFix, que combina trucos de ingeniería social con una infraestructura de comandos basada en blockchain para construir silenciosamente una red de máquinas comprometidas. La campaña fusiona la conocida técnica de phishing ClickFix con EtherHiding —un método que almacena instrucciones del atacante directamente en una blockchain pública, haciendo que los desmantelamientos sean casi imposibles—. 

Una nueva campaña de phishing llamada GTFire está abusando de dos de los servicios más confiables de Google —Firebase y Google Translate— para robar credenciales de inicio de sesión de víctimas en todo el mundo. Lo que hace peligrosa esta campaña es su capacidad para ocultar actividad maliciosa detrás de dominios legítimos propiedad de Google, permitiendo que los enlaces de phishing pasen a través de filtros de correo electrónico y web.

Los ciberdelincuentes están perfeccionando constantemente sus técnicas para explotar la confianza de los consumidores, y recientemente ha surgido una campaña de phishing altamente sofisticada que se hace pasar por la empresa de ciberseguridad Avast. Esta operación está diseñada para robar credenciales financieras sensibles engañando a los usuarios para que crean que están resolviendo un cargo erróneo.

Los actores de amenazas siempre buscan nuevas formas de abusar de plataformas confiables, y Microsoft Entra ID se está convirtiendo cada vez más en un objetivo mediante una técnica conocida como abuso de consentimiento OAuth. Un escenario de ataque recientemente documentado muestra cómo una aplicación de terceros maliciosa o con permisos excesivos —que se asemeja mucho a una herramienta confiable como ChatGPT— puede obtener acceso silenciosamente.

 

Ha surgido un ataque a la cadena de suministro dirigido a desarrolladores de ASP.NET, que involucra cuatro paquetes NuGet maliciosos diseñados para robar credenciales de inicio de sesión e instalar puertas traseras persistentes dentro de aplicaciones web. Los paquetes — NCryptYo, DOMOAuth2_, IRAOAuth2.0 y SimpleWriter_ — fueron publicados entre el 12 y el 21 de agosto de 2024 por un actor de amenazas que opera bajo el nombre de usuario “hamzazaheer”,

El Atomic macOS Stealer (AMOS), un conocido malware de robo de datos, ha cambiado radicalmente su método de propagación. En lugar de ocultarse dentro de descargas de software pirateado como solía hacer, los actores de amenazas ahora lo incrustan en habilidades maliciosas de OpenClaw —pequeños paquetes adicionales que amplían las capacidades de los agentes de IA en plataformas como OpenClaw—.

Un grupo de cibercrimen vinculado a Rusia, denominado Diesel Vortex, ha estado llevando a cabo una gran operación de phishing contra empresas de transporte y camiones en Estados Unidos y Europa. La campaña se desarrolló desde septiembre de 2025 hasta febrero de 2026 y resultó en el robo de más de 1.649 credenciales de inicio de sesión de usuarios de importantes plataformas logísticas, como DAT Truckstop, Penske Logistics, entre otras.

Actores de amenazas estatales norcoreanos han estado llevando a cabo una operación en dos partes: haciéndose pasar por reclutadores de empleo mientras infiltran trabajadores falsos en empresas reales. Desde al menos 2022, estos actores han engañado a desarrolladores de software para que ejecuten código malicioso durante entrevistas técnicas falsas, utilizando las familias de malware BeaverTail y OtterCookie para robar credenciales y tomar el control remoto

Un marco de phishing altamente sofisticado llamado Starkiller ha surgido recientemente, ofreciendo a los atacantes un método avanzado para robar credenciales y eludir la autenticación multifactor (MFA). Desarrollado por un grupo conocido como Jinkusu, este kit de herramientas malicioso se vende como un producto comercial de software como servicio (SaaS). A diferencia de los kits más antiguos que dependían de copias estáticas de sitios web legítimos, esta nueva plataforma carga páginas de inicio de sesión reales .

Francia reconoce una violación de datos que expuso 1,2 millones de cuentas bancarias tras el robo de credenciales de un funcionario, mientras en Argentina se registra una fuga en Taxes Software con 440 empresas afectadas, incluyendo entidades gubernamentales sensibles, sin reconocimiento oficial.

Una campaña de phishing en curso está atacando a usuarios de Microsoft 365 mediante el abuso de tokens OAuth para obtener acceso a largo plazo a datos corporativos. Esta campaña se centra en usuarios empresariales en Norteamérica y busca comprometer Outlook, Teams y OneDrive sin robar contraseñas directamente. 

Tras meses en los que los estafadores lograron engañar a clientes de Netgear mediante phishing, la compañía se vio obligada a adoptar una medida de ciberseguridad poco convencional: un becario de 16 años llamado Wyatt. Finalmente, él logró guiar al bufete de abogados hasta las cuentas bancarias de origen de estos estafadores en India.

Microsoft alerta sobre ClickFix, una técnica de ingeniería social que engaña a usuarios de Windows y Mac para ejecutar comandos maliciosos mediante DNS, descargando malware como ModeloRAT o Lumma Stealer. Se distribuye vía phishing, malvertising o CAPTCHAs falsos, con variantes como FileFix o CrashFix. Los atacantes usan dominios antiguos y herramientas como CastleLoader para evadir detecciones, afectando principalmente a India, EE.UU. y Europa. La amenaza explota la confianza del usuario y prioriza el robo de criptomonedas, incluso en Mac, donde los cibercriminales firman malware con certificados válidos de Apple.

Los ciberdelincuentes han lanzado una sofisticada campaña de spam aprovechando la infraestructura de confianza de Atlassian Cloud. Al abusar de funciones legítimas dentro de la plataforma, los atacantes logran eludir los controles tradicionales de seguridad en el correo electrónico para llegar a objetivos de alto valor. Esta campaña se centra en redirigir a los usuarios hacia esquemas de inversión fraudulentos, utilizando la confianza inherente asociada a proveedores conocidos de software como servicio para engañar a los destinatarios.

Detectan una nueva campaña de phishing que suplanta a Booking.com mediante correos electrónicos y WhatsApp, afectando a hoteles y clientes. Los atacantes usan ingeniería social y un kit de phishing para robar credenciales y contactar a huéspedes con datos reales de reservas. Investigadores de Bridewell alertan sobre el riesgo, especialmente para quienes hayan reservado recientemente. Se recomienda extrema precaución ante mensajes sospechosos.

Una extensión maliciosa de Chrome que afirma ayudar a los usuarios de Meta Business roba silenciosamente los códigos 2FA del Facebook Business Manager y datos analíticos, poniendo en riesgo de toma de control cuentas publicitarias de alto valor. La extensión, llamada “CL Suite by @CLMasters” (ID: jkphinfhmfkckkcnifhjiplhfoiefffl), aún está disponible en la Chrome Web Store y apunta específicamente a entornos de Meta Business Suite y Facebook Business Manager.

Eurail sufre una filtración de datos en la Dark Web tras un acceso ilegítimo a sus bases de datos, exponiendo información sensible como nombres, DNI, IBAN, correos y teléfonos de clientes que usaron sus pases de tren en Europa. La compañía confirmó el incidente en febrero y alertó que los datos robados circulan en Telegram, aumentando riesgos de phishing, fraudes financieros y suplantación de identidad. Ya notificaron a las autoridades bajo el RGPD.