Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
ESP
ESP
%402x.svg){kind=icon}
Semana con una noticia muy cercana: la web oficial del Ministerio de Cultura de Espana comprometida para distribuir malware del Mundial. Ademas, dos herramientas de seguridad corporativas con zero-days sin resolver, un gestor de red critico bajo ataque por segunda vez en dos semanas, y Microsoft Defender con un exploit publico sin parche disponible. El resumen que necesitas antes del fin de semana.
🔴 Hackeada la web del Ministerio de Cultura de Espana: ciberdelincuentes usan cultura.gob.es para distribuir malware del Mundial en Google News
El dominio oficial del Ministerio de Cultura de Espana fue comprometido y utilizado para publicar paginas fraudulentas que prometian streaming gratuito de partidos del Mundial 2026. Google News indexo el contenido como si fuera informacion oficial del Gobierno, con titulos como "ver Ecuador vs Costa de Marfil gratis" apareciendo directamente en el agregador. La tecnica es SEO spam injection: comprometer un dominio de alta autoridad (.gob.es) para que Google lo distribuya automaticamente. El impacto es mayor que el de las webs falsas de la FIFA que analizamos hace tres semanas porque la confianza de los usuarios en un dominio oficial del Estado es maxima. Cualquier empleado que haga clic desde un dispositivo corporativo puede comprometer credenciales y sistemas.
→ Que debes hacer: Comunicar a todos los empleados que Google News no garantiza la seguridad del contenido al que enlaza. Ninguna web oficial del Gobierno ofrece streaming de partidos del Mundial. Revisar los filtros de navegacion corporativa para bloquear dominios de redireccion detectados. Analisis completo →
🔴 Splunk Enterprise CVE-2026-20253 (CVSS 9.8): RCE sin autenticacion en el SIEM que monitoriza toda la infraestructura
El servicio PostgreSQL Sidecar de Splunk Enterprise no tiene controles de autenticacion en sus endpoints HTTP, lo que permite a cualquier usuario con acceso a la red crear o sobreescribir ficheros arbitrarios y escalar a root. Afecta versiones 10.0.0-10.0.6 (parcheado en 10.0.7) y 10.2.0-10.2.3 (parcheado en 10.2.4). Splunk Cloud no esta afectado. La gravedad no es solo tecnica: comprometer el SIEM significa comprometer la visibilidad defensiva de toda la organizacion, los logs de todos los sistemas, y las credenciales de integracion con AWS, Azure, Active Directory y todos los sistemas monitorizados.
→ Que debes hacer: Actualizar Splunk Enterprise a 10.0.7+ o 10.2.4+. Si no es posible hoy, deshabilitar el PostgreSQL Sidecar Service. Revisar los logs vmanage de acceso a los endpoints /v1/postgres/recovery/* desde el 10 de junio. Analisis completo →
🔴 Cisco CVE-2026-20262: el sexto CVE explotado en SD-WAN Manager en cuatro meses, y el segundo zero-day en dos semanas
Cisco confirmo explotacion activa de CVE-2026-20262, un fallo de escritura arbitraria de ficheros en la interfaz web de Catalyst SD-WAN Manager que permite a un atacante con credenciales de escritura escalar a root mediante ficheros .war y .jsp maliciosos. Es el sexto CVE explotado en la misma plataforma desde febrero de 2026. CISA lo anyadio al KEV con plazo el 29 de junio. La criticidad reside en que SD-WAN Manager gestiona hasta 6.000 dispositivos WAN desde un unico panel: comprometer el gestor equivale a comprometer toda la infraestructura de red de la organizacion.
→ Que debes hacer: Aplicar el parche de Cisco publicado el 15-16 de junio. Revisar logs vmanage-server y vmanage-appserver en busca de subidas de index.jsp o ficheros .war desde el 1 de junio. Auditar cuentas con write access y habilitar MFA. Analisis completo →
🔴 RoguePlanet CVE-2026-50656: zero-day sin parche en Microsoft Defender que da privilegios SYSTEM en cualquier Windows 10 y 11 completamente actualizado
Microsoft confirmo el 17 de junio que esta desarrollando un parche para CVE-2026-50656, una race condition TOCTOU en el Microsoft Malware Protection Engine que permite a un atacante local con privilegios bajos obtener una shell SYSTEM en Windows 10 y 11 con el Patch Tuesday de junio instalado. El PoC es publico. Sin parche disponible. El precedente directo es preocupante: los tres zero-days anteriores del mismo investigador (Nightmare Eclipse) ya fueron explotados en ataques reales. La unica mitigacion tecnica disponible mientras no existe parche es WDAC en modo enforced.
→ Que debes hacer: Activar WDAC en modo enforced si no esta configurado. Habilitar Cloud-Delivered Protection en Defender. Configurar alertas para cmd.exe o powershell.exe con parent process MsMpEng.exe, que es la senal de explotacion exitosa. Aplicar el parche cuando Microsoft lo publique. Analisis completo →
Cada viernes analizamos las noticias que realmente importan para la seguridad de tu organizacion. Si quieres saber como esta expuesta tu empresa frente a alguna de estas amenazas, estamos a un clic.
