Esta semana ha venido cargada de amenazas de alto impacto que demuestran que los ciberdelincuentes no dan tregua a ningún sector. Desde ataques de ransomware en suelo nacional hasta brechas globales que han interrumpido exámenes académicos, repasamos los análisis más destacados que hemos publicado en nuestro blog.

1. El grupo Qilin golpea a la cadena de supermercados Ahorramas

El ransomware de doble extorsión sigue cobrándose víctimas en el sector de la distribución en España. Analizamos el reciente ataque del grupo criminal Qilin contra los supermercados Ahorramas.

  • El incidente: Los atacantes consiguieron comprometer los sistemas de la cadena y exfiltrar un volumen masivo de datos confidenciales.
  • Datos comprometidos: Se ha confirmado la filtración de documentos de identidad, registros financieros, contratos firmados, quejas de clientes e incluso planos de las tiendas e imágenes de los sistemas de videovigilancia.
  • Impacto operativo: Aunque la infraestructura de cara al público resistió, el ataque provocó retrasos significativos en los procesos administrativos y en la gestión interna de la compañía durante varios días.

2. ShinyHunters siembra el caos en Instructure Canvas durante los exámenes finales

Una de las peores pesadillas para el sector educativo global se ha hecho realidad. La plataforma de gestión del aprendizaje Canvas (Instructure) sufrió una brecha masiva a manos del conocido grupo de extorsión ShinyHunters.

  • El vector de ataque: Los atacantes explotaron una vulnerabilidad vinculada al programa de cuentas Free-for-Teacher, logrando acceso no autorizado a los datos de producción.
  • El botín: ShinyHunters afirma haber exfiltrar 3,65 terabytes de datos pertenecientes a unos 275 millones de usuarios de 9.000 instituciones educativas, incluyendo prestigiosas universidades mundiales. Entre los datos robados se encuentran identificaciones, correos y miles de millones de mensajes privados.
  • Desenlace crítico: Tras desfiguraciones de las páginas de inicio y la interrupción de exámenes finales en pleno cierre de curso, Instructure acabó pagando un rescate a cambio de un supuesto registro digital de destrucción de datos (shred logs). Una resolución que deja importantes interrogantes legales y de cumplimiento sobre la mesa.

3. Alerta Máxima: Vulnerabilidad crítica de bypass en cPanel y WHM (CVE-2026-41940)

Si gestionas servidores web, este ha sido el gran susto de la semana. Se ha hecho pública y se está explotando activamente una vulnerabilidad crítica con una puntuación máxima de CVSS 9.8 que afecta a cPanel y Web Host Manager (WHM).

  • ¿En qué consiste?: La vulnerabilidad CVE-2026-41940 permite a atacantes remotos no autenticados saltarse el flujo de login por completo debido a un fallo de inyección CRLF en la carga y guardado de sesiones del demonio cpsrvd.
  • Campaña activa: Los actores de amenazas están aprovechando este fallo para obtener acceso de nivel root, permitiéndoles desplegar una puerta trasera (backdoor) persistente en el FileManager (vinculada al exploit de mr-rot13) para controlar servidores a su antojo.
  • Mitigación urgente: Es obligatorio forzar la actualización de los servidores mediante el script de cPanel (/scripts/upcp --force) y ejecutar las herramientas de detección de compromisos oficiales.

4. UNC6692 y el malware Snow: El falso soporte técnico que vacía el Active Directory

Analizamos en profundidad las tácticas del recién identificado grupo de amenazas UNC6692, que despliega una campaña de ingeniería social extraordinariamente coordinada dirigida a entornos corporativos.

  • La trampa: El ataque comienza con un bombardeo masivo de correos (email bombing) para saturar y estresar al usuario. Acto seguido, los atacantes contactan a la víctima a través de Microsoft Teams haciéndose pasar por el servicio de soporte técnico (IT Helpdesk) para "ayudarle" a solucionar el problema del spam.
  • La suite Snow: Engañan al usuario para instalar un parche que en realidad descarga código malicioso a través de scripts de AutoHotKey. Esto despliega la suite modular SNOW (compuesta por el troyano de navegador SNOWBELT, el túnel SNOWGLAZE y la shell SNOWBASIN).
  • Objetivo final: Una vez dentro, los atacantes se mueven lateralmente, extraen las credenciales del proceso LSASS y utilizan herramientas legítimas como FTK Imager para robar la base de datos del Active Directory (NTDS.dit), comprometiendo toda la red de la empresa.

5. Informe Anual de Seguridad Nacional 2025: La ciberseguridad en infraestructuras críticas ya es prioridad de Estado

Cerramos la semana analizando las conclusiones del Informe Anual de Seguridad Nacional 2025 en España, recientemente aprobado por el Consejo de Seguridad Nacional. El documento ratifica un cambio de mentalidad histórico en las altas esferas del gobierno.

  • Inversión estratégica: La ciberseguridad y la protección de las infraestructuras críticas han dejado de ser consideradas un "gasto regulatorio" para pasar a ser una prioridad estratégica de soberanía nacional y resiliencia ante el complejo panorama geopolítico actual.
  • Puntos clave: El informe enfatiza el aumento de las amenazas híbridas, el espionaje y los ciberataques dirigidos a sectores esenciales, instando a una cooperación público-privada mucho más estrecha y al desarrollo de una cultura de ciberseguridad robusta en todo el tejido empresarial español.

💡 ¿Quieres conocer los detalles técnicos y las recomendaciones de mitigación completas de cada caso? Tienes los análisis técnicos desglosados y al detalle en las entradas individuales de nuestro blog corporativo. ¡Mantén tus sistemas actualizados y no bajes la guardia!

Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity