Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
ESP
ESP
%402x.svg){kind=icon}
Semana intensa en el panorama de amenazas: un zero-day sin parche en el corazón del correo corporativo, el interior de una de las bandas de ransomware más activas del mundo al descubierto, una plataforma de phishing que convierte el MFA en papel mojado y el regulador de mercados de España tumbado por un DDoS. Aquí el resumen, sin pérdida de tiempo.
🔴 Zero-day en Microsoft Exchange OWA: explotación activa y sin parche hasta junio
Microsoft confirmó la explotación activa de CVE-2026-42897, un zero-day en Outlook Web Access de Exchange Server on-premise (CVSS 8.1). Un email especialmente construido ejecuta JavaScript malicioso en el navegador del usuario cuando lo abre en OWA. No hay parche permanente — el próximo Patch Tuesday es el 10 de junio. CISA lo añadió al catálogo KEV el 15 de mayo con plazo federal el 29 de mayo. Exchange Online y Microsoft 365 no están afectados.
→ Qué debes hacer: Verificar que la mitigación EEMS M2.1.x está aplicada en tu Exchange on-premise con el Exchange Health Checker (aka.ms/ExchangeHealthChecker). Si no tienes EEMS, ejecutar EOMT.ps1 -CVE “CVE-2026-42897”. Análisis completo y checklist →
🔴 El interior de The Gentlemen: la banda de ransomware #2 del mundo fue hackeada
Check Point Research obtuvo el dump interno de The Gentlemen tras el compromiso de su infraestructura. Las revelaciones son excepcionales: 1.570 víctimas reales frente a 332 publicadas en su portal (el 78% pagó en silencio), rescates calibrados al techo exacto del ciberseguro de cada empresa via ZoomInfo, y un caso documentado de chain-victimization en el que una consultora británica fue usada para atacar a su propio cliente en Turquía. El administrador es un ex-afiliado de Qilin con un panel RaaS construido con IA. Los afiliados cobran el 90% del rescate.
→ Qué debes hacer: El límite de tu ciberseguro no debe salir de tus comunicaciones internas. Monitorizar credenciales corporativas en el mercado underground. Auditar la seguridad de los proveedores con acceso a tus sistemas. Análisis completo con IoCs →
🔴 EvilTokens: la plataforma de phishing que hace inútil tu MFA en Microsoft 365
EvilTokens es una plataforma PhaaS activa desde febrero de 2026 que ha comprometido más de 340 organizaciones de Microsoft 365 en 7 países. No roba contraseñas ni activa alertas de MFA: abusa del flujo OAuth Device Code para que la propia víctima autorice al atacante en la página real de Microsoft. El token resultante da acceso persistente a correo, OneDrive, SharePoint y Teams — y sobrevive a un cambio de contraseña. Precio en Telegram: desde 299€/mes. Desarrollada originalmente por grupos APT estatales como Storm-2372 y APT29, ahora disponible para cualquier actor.
→ Qué debes hacer: Bloquear el Device Code Flow en Conditional Access de Entra ID para usuarios que no necesiten autenticar dispositivos IoT. Revisar las autorizaciones OAuth activas en el tenant. Análisis completo y checklist →
🔴 La web de la CNMC caíó durante horas por un DDoS
La Comisión Nacional de los Mercados y la Competencia sufrió el 14 de mayo un ataque DDoS que dejó su web fuera de servicio durante varias horas con un error 502 Bad Gateway. La CNMC confirmó el incidente con comunicado oficial. Sin atribución pública. El regulador gestiona los mercados de energía, telecomunicaciones, transporte y audiovisual en España — miles de empresas dependen de sus datos y resoluciones. Los DDoS contra instituciones públicas españolas son recurrentes desde 2022, ligados a grupos hacktivistas pro-Rusia en el contexto OTAN.
→ Qué debes hacer: Revisar si tienes mitigación DDoS cloud activa en tus servicios web expuestos (Cloudflare, Akamai, AWS Shield). Contemplar la dependencia de organismos públicos digitales en tu plan de continuidad. Análisis completo →
Cada viernes analizamos las noticias que realmente importan para la seguridad de tu organización. Si quieres saber cómo está expuesta tu empresa frente a alguna de estas amenazas, estamos a un clic.
