La brecha entre los ataques dirigidos por humanos y las intrusiones impulsadas por máquinas se está cerrando más rápido de lo que la mayoría de las organizaciones esperaban. Cloudforce One, el equipo de inteligencia de amenazas dedicado de Cloudflare, publicó el primer Informe de Amenazas Cloudflare 2026 el 3 de marzo de 2026, emitiendo una clara advertencia: la inteligencia artificial se ha convertido en un motor central detrás de los ciberataques modernos. 

Se ha publicado un exploit de prueba de concepto (PoC) público para la CVE-2026-20127, una vulnerabilidad de gravedad máxima de día cero en el Cisco Catalyst SD-WAN Controller y el SD-WAN Manager que ha sido explotada activamente en la naturaleza desde al menos 2023. Cisco Talos está rastreando la actividad de la amenaza bajo el clúster UAT-8616, describiéndola como un "actor de amenazas cibernéticas altamente sofisticado" que apunta a infraestructuras críticas.

Se ha descubierto una vulnerabilidad de alta gravedad, CVE-2026-25611 (CVSS 7.5), en MongoDB que permite a atacantes no autenticados bloquear servidores expuestos utilizando un ancho de banda mínimo. Según Cato CTRL, afecta a todas las versiones de MongoDB donde la compresión está habilitada (v3.4+, activada por defecto desde v3.6), incluyendo MongoDB Atlas. Además, datos de Shodan indican que más de 207.000 instancias de MongoDB están actualmente expuestas

CISA ha advertido que una falla de corrupción de memoria en los chipsets Qualcomm está siendo explotada en ataques, instando a las organizaciones a aplicar rápidamente las mitigaciones proporcionadas por el fabricante. El problema, registrado como CVE-2026-21385, afecta a múltiples chipsets de Qualcomm y fue añadido al catálogo de la CISA el 3 de marzo de 2026 con una fecha límite de remediación para el 24 de marzo de 2026. 

Un nuevo ataque de phishing activo aprovecha el comportamiento legítimo de redirección de OAuth, lo que le permite eludir las defensas tradicionales de correo electrónico y navegador sin robar tokens. Según investigadores de Microsoft Defender, estas campañas se dirigen principalmente a organizaciones gubernamentales y del sector público, utilizando dominios de proveedores de identidad confiables para ocultar redirecciones maliciosas. 

Una vulnerabilidad crítica que afecta a VMware Aria Operations ha sido añadida al catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Broadcom emitió recientemente un aviso de seguridad detallando una falla que permite a atacantes no autenticados ejecutar comandos arbitrarios. Se insta a las organizaciones a implementar mitigaciones o suspender el uso del producto si no es posible aplicar una solución. VMware Aria Operations 

Una ola de ataques de *relleno de credenciales* ha revelado un preocupante cambio en la forma en que los actores de amenazas acceden a las redes corporativas: no explotando vulnerabilidades de software, sino simplemente iniciando sesión con contraseñas robadas. En el centro de esta campaña se encuentran familias de malware infostealer, que recopilan silenciosamente credenciales de dispositivos infectados de empleados.

Amazon confirmó que ataques con drones dañaron tres centros de datos de AWS en Emiratos Árabes Unidos y uno en Bahréin, causando interrupciones prolongadas en servicios en la nube. Se vinculan a represalias de Irán por operaciones militares de EE.UU. e Israel. Amazon trabaja en la recuperación, priorizando la seguridad del personal y la restauración de servicios, mientras recomienda a clientes migrar datos a regiones no afectadas. El NCSC del Reino Unido alertó sobre riesgo de ciberataques iraníes.

 

Nueva técnica de persistencia en Linux llamada Living off the Land 2.0 aprovecha infraestructura normal del sistema (como systemd) para evitar detección en SOCs, usando socket activation y generators que no dejan procesos activos ni rastros tradicionales, activándose solo bajo demanda del atacante y pasando desapercibidos al no revisarse rutas como /run/systemd/generator/.

Una nueva variante de malware llamada RESURGE está atacando activamente dispositivos Ivanti Connect Secure mediante la explotación de una vulnerabilidad crítica de día cero, lo que ha llevado a la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) a emitir una advertencia formal. El malware está diseñado para sobrevivir a reinicios, robar credenciales y mantenerse operativo mucho después del compromiso inicial.​

Un hallazgo de investigación recientemente revelado ha demostrado que la función Live Terminal de Cortex XDR de Palo Alto Networks puede ser convertida en un canal de comando y control (C2) por parte de los atacantes. Dado que esta función se ejecuta dentro de un agente de detección y respuesta en endpoints (EDR) de confianza, el tráfico que genera es ampliamente aceptado por las herramientas de seguridad empresariales, lo que convierte esto en un método silencioso

Los actores de amenazas siempre buscan nuevas formas de abusar de plataformas confiables, y Microsoft Entra ID se está convirtiendo cada vez más en un objetivo mediante una técnica conocida como abuso de consentimiento OAuth. Un escenario de ataque recientemente documentado muestra cómo una aplicación de terceros maliciosa o con permisos excesivos —que se asemeja mucho a una herramienta confiable como ChatGPT— puede obtener acceso silenciosamente.

 

La CISA alerta sobre la explotación activa de dos vulnerabilidades críticas en Roundcube Webmail: un RCE post-autenticación (CVE-2025-49113) y un XSS (CVE-2025-68461), añadidas a su catálogo KEV por ataques reales en curso.

La CISA ha actualizado oficialmente su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) para incluir nuevas fallas de seguridad que afectan a una popular plataforma de correo web. El 20 de febrero de 2026, la agencia añadió dos vulnerabilidades críticas encontradas en Roundcube Webmail, basándose en pruebas claras de que actores maliciosos las están explotando activamente. 

AWAKE es una wiki especializada en seguridad de Android que documenta malware, exploits, técnicas de ataque y actores de amenazas, enfocada en cómo se rompen las protecciones (no en defensa). Incluye más de 30 técnicas de ataque, 80 familias de malware, 50 permisos abusados, herramientas de reversing, packers, grayware y análisis de la seguridad de la plataforma Android, dirigida a investigadores, pentesters y analistas de amenazas.

Una vulnerabilidad crítica, identificada como CVE-2026-1731, está siendo explotada activamente en la naturaleza, permitiendo a los atacantes obtener control total del dominio sobre los sistemas afectados. Los actores de amenazas están aprovechando esta falla para ejecutar comandos del sistema operativo de forma remota sin necesidad de autenticación. El fallo, descubierto en implementaciones autoalojadas de BeyondTrust, permite a atacantes no autenticados ejecutar comandos arbitrarios del sistema operativo mediante solicitudes HTTP especialmente diseñadas.

CVE-2026-22906 es una vulnerabilidad crítica (CVSS 9.8) que afecta productos con almacenamiento inseguro de credenciales usando cifrado AES en modo ECB con clave hardcodeada, permitiendo a atacantes remotos sin autenticación recuperar contraseñas y usuarios en texto claro.

Un implante de hardware de $44 disfrazado como un ratón de computadora común. Este dispositivo actúa como un inyector de pulsaciones de teclas encubierto, similar al Hak5 Rubber Ducky, pero aprovecha el factor de forma inocuo de un ratón para eludir la capacitación básica de concienciación del usuario. Conéctalo y ejecutará de forma autónoma cargas útiles que ejecutan comandos, entregan shells inversas o algo peor.