
Semana con un patron claro: empresas espanolas en el punto de mira. Leroy Merlin e Indra con incidentes que ya tienen portada nacional, Vodafone con documentacion interna de televenta circulando en foros de la dark web, una libreria critica sin parche oficial que esta dentro de curl, Git y PHP, y un fallo en el editor de codigo mas usado por Fortune 500 que ejecuta comandos sin que el desarrollador haga ningun clic. El resumen que necesitas antes del fin de semana.
🔴 Leroy Merlin Espana: el grupo Saturne filtra 54.723 registros de clientes con DNIs, direcciones y tarjetas de fidelizacion
El grupo Saturne publico de forma gratuita en foros de hacking una base de datos con 54.723 registros de clientes de leroymerlin.es. Entre los datos expuestos: nombre y apellidos, numero de DNI, direccion de envio, historial de facturacion y codigos de tarjeta de fidelizacion. Los datos bancarios y las contrasenas no estarian afectados. El DNI es el dato de mayor gravedad: es un identificador permanente e inalterable que habilita la suplantacion de identidad en tramites financieros y administrativos. Es el segundo incidente de seguridad que afecta a Leroy Merlin en menos de siete meses, tras el ataque a su filial francesa en diciembre de 2025. La firma de auditoria tecnica ESIX califico el incidente con un indice de gravedad de 4,86 sobre 5.
→ Que debes hacer: Si eres cliente de Leroy Merlin, extrema la precaucion ante llamadas o emails que usen datos personales para generar confianza. Si tu empresa tiene programas de fidelizacion con DNI de clientes, audita la proteccion de esa base de datos y revisa los plazos de notificacion a la AEPD (72 horas desde el conocimiento del incidente). Analisis completo →
🔴 CVE-2026-55200: exploit publico para un fallo critico en libssh2 sin parche oficial que afecta a curl, Git y PHP
Un investigador publico una prueba de concepto para CVE-2026-55200 (CVSS 9.2), un desbordamiento de heap en la libreria libssh2 que permite a un servidor SSH malicioso o comprometido ejecutar codigo en cualquier cliente que se conecte, sin credenciales ni interaccion del usuario. La direccion del ataque es la que menos se vigila: no es el servidor el expuesto, es el cliente. La libreria esta integrada de forma estatica en curl, Git, PHP, agentes de backup y dispositivos de red, lo que significa que una actualizacion del gestor de paquetes del sistema no la corrige. El parche esta fusionado en el repositorio principal pero todavia no existe una version oficial publicada.
→ Que debes hacer: Inventariar que herramientas internas usan libssh2, prestando especial atencion a binarios con enlazado estatico. Aplicar el parche del commit 97acf3d del repositorio si no puedes esperar a la version oficial. Restringir las conexiones SSH salientes hacia servidores externos no confiables mientras se parchea. Analisis completo →
🔴 Vodafone y Lowi: filtran documentacion interna y credenciales de acceso a herramientas de televenta a traves de un proveedor externo
Un actor identificado como PescobarLegado puso a la venta por 400 dolares casi un millon de registros y documentacion interna de Be Call BPO, el proveedor que gestiona la televenta de Vodafone y Lowi en Espana. Lo mas grave no son los datos de clientes, que no aparecen en las muestras publicadas, sino las instrucciones de acceso a herramientas criticas como Smart, RetailX y la aplicacion OneWay, con credenciales que podrian seguir activas mientras Vodafone no las revoque. Es el mismo patron de riesgo de terceros que afecto a Vodafone en 2023 y el tercer incidente en el sector teleco espanol en pocas semanas, tras Lemmon y Netllar. Vodafone confirmo que investiga los hechos.
→ Que debes hacer: Si tu empresa externaliza procesos con acceso a sistemas criticos, audita las credenciales concedidas a proveedores externos y establece protocolos de revocacion inmediata ante sospechas de compromiso. La documentacion operativa interna merece la misma proteccion que los datos de clientes. Analisis completo →
🔴 DuneSlide: dos fallos criticos en Cursor permiten que un prompt injection escape del sandbox y ejecute comandos sin clic ni aprobacion
Cato AI Labs publico la investigacion completa sobre DuneSlide, dos vulnerabilidades criticas (CVSS 9.8) en Cursor, el editor de codigo con IA que usa mas de la mitad del Fortune 500. Un prompt injection zero-click rompe el sandbox por defecto de Cursor 2.x y ejecuta comandos arbitrarios en el sistema del desarrollador sin ningun clic ni cuadro de aprobacion: se activa cuando el desarrollador hace una pregunta normal que incorpora, sin saberlo, contenido controlado por el atacante desde un servidor MCP conectado o un resultado de busqueda envenenado. CVE-2026-50548 y CVE-2026-50549 estan parcheados en Cursor 3.0 desde abril, pero cualquier version anterior sigue expuesta.
→ Que debes hacer: Actualizar a Cursor 3.0 o superior en toda la flota de desarrolladores. Auditar que servidores MCP tienen conectados los agentes de codificacion y limitar esas conexiones a las estrictamente necesarias. Implementar controles de red a nivel de sistema operativo complementarios al sandboxing nativo. Analisis completo →
🔴 Indra confirma un ciberataque de ransomware: el grupo The Gentlemen da 236 horas antes de filtrar los datos robados
El grupo de ransomware The Gentlemen reivindico haber vulnerado los sistemas de Indra Group, la tecnologica espanola presente en defensa, sistemas electorales, administraciones publicas y transporte. Indra confirmo la presencia de ransomware en una filial y activo de inmediato su CSIRT, descartando la propagacion al resto del grupo. Los atacantes activaron una cuenta atras de 236 horas antes de publicar los datos supuestamente sustraidos. The Gentlemen es un grupo de habla rusa con mas de 250 victimas reivindicadas desde julio de 2025, caracterizado por operaciones dirigidas de alta disciplina y uso de herramientas impulsadas por IA.
→ Que debes hacer: No pagar el rescate (recomendacion oficial de INCIBE). Verificar la segmentacion de red entre filiales y entornos criticos. Revisar que el plan de respuesta a incidentes tiene protocolos de activacion inmediata del CSIRT. Si operas en sectores estrategicos, asumir que grupos como The Gentlemen te tienen identificado como objetivo de alto valor. Analisis completo →
Cada semana analizamos las noticias que realmente importan para la seguridad de tu organizacion. Si quieres saber como esta expuesta tu empresa frente a alguna de estas amenazas, estamos a un clic.
