Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
ESP
ESP
%402x.svg){kind=icon}
Semana de máxima urgencia técnica: phishing a escala masiva aprovechando el Mundial, dos CVEs activos en firewalls Palo Alto, un zero-day en Android que afecta a toda la flota móvil corporativa y un bug de 19 años en el kernel Linux con exploit público. El resumen que necesitas antes del fin de semana.
🔴 Phishing masivo del Mundial 2026: ESET detecta webs falsas de la FIFA que vacían cuentas bancarias
Con el Mundial arrancando el 11 de junio, los ciberdelincuentes llevan semanas desplegando sitios que replican con precisión casi perfecta la web oficial de la FIFA — mismos colores, menús, formularios de pago — para robar datos bancarios y personales a aficionados que buscan entradas o merchandising. El FBI emitió alertas específicas. Dominios .shop, .store y .site con “FIFA” o “Mundial 2026” son la señal de alarma. La única web oficial de entradas es FIFA.com/tickets. Si un empleado cae en la trampa desde un dispositivo corporativo, la VPN, el correo y las credenciales de empresa pueden estar comprometidas.
→ Qué debes hacer: Comunicar a todos los empleados que la única web oficial de entradas es FIFA.com/tickets. Revisar la política de uso de dispositivos corporativos para compras personales. Análisis completo →
🔴 Palo Alto CVE-2026-0257: dos olas de ataques confirmadas y acceso a red interna en múltiples organizaciones
Rapid7 MDR documentó dos olas de explotación activa de CVE-2026-0257 (CVSS 7.8) el 17 y el 21 de mayo, confirmando que los atacantes obtuvieron asignación de IP VPN y acceso a la red interna. El bug permite bypasear la autenticación de GlobalProtect sin autenticación previa. CISA lo añadió al KEV con plazo federal el 1 de junio — ayer. Las versiones PAN-OS 9.0, 9.1 y 10.0 son EOL y no recibirán parche: deben migrar.
→ Qué debes hacer: Verificar si authentication override cookies están habilitadas. Si no puedes parchear hoy, deshabilitar Authentication Override en GlobalProtect o limitar acceso a IPs de confianza. Revisar logs forenses desde el 17 de mayo. Análisis completo →
🔴 Android zero-day CVE-2025-48595: explotación activa confirmada por Google en dispositivos corporativos y BYOD
Google confirmó la explotación activa de CVE-2025-48595 (CVSS 8.4), un integer overflow en el Android Framework que permite escalada de privilegios sin interacción del usuario. Afecta Android 14, 15 y 16. El problema: la fragmentación del ecosistema Android significa que la mayoría de dispositivos Samsung, Xiaomi, Realme u HONOR tardarán entre 4 y 10 semanas en recibir el parche. El plazo CISA era ayer 5 de junio. Los Pixel ya tienen el parche.
→ Qué debes hacer: Verificar nivel de parche Android 2026-06-01+ en todos los dispositivos corporativos. Configurar MDM para bloquear acceso a recursos si el nivel de parche es inferior. Actualizar manualmente los Pixel hoy. Análisis completo →
🔴 CIFSwitch CVE-2026-46243: el bug de 19 años en el kernel Linux que da root a cualquier usuario local en un solo comando
El investigador Asim Manizada divulgó CIFSwitch el 28 de mayo junto con un PoC funcional en GitHub. Cualquier usuario sin privilegios puede obtener root en un único comando en sistemas Linux con cifs-utils instalado, user namespaces habilitados y módulo CIFS cargado. Es la quinta LPE del kernel Linux en 2026. Parches disponibles desde el 2 de junio para Red Hat, Ubuntu, Debian, SUSE y Amazon Linux.
→ Qué debes hacer: Verificar exposición con rpm -q cifs-utils y lsmod | grep cifs. Actualizar el kernel inmediatamente. Mitigación sin reboot disponible via KernelCare. Análisis completo →
Cada viernes analizamos las noticias que realmente importan para la seguridad de tu organización. Si quieres saber cómo está expuesta tu empresa frente a alguna de estas amenazas, estamos a un clic.
