¡Bienvenidos a nuestra edición semanal! Aquí encontrarás las noticias y tendencias más relevantes del mundo de la ciberseguridad, cuidadosamente seleccionadas y sintetizadas para mantenerte informado y preparado en un entorno de amenazas digitales en constante evolución.

📩 Hoy Recibes:

• 🗞️ Las noticias más relevantes en ciberseguridad: explotación de un zero-day en Oracle EBS, compromiso masivo en SonicWall, RCE crítica en Redis, botnet RondoDox activa a nivel global, campañas con paquetes npm maliciosos y abuso de herramientas defensivas por parte de LockBit.

• ✍️ Análisis y Opinión: 🧭 Entre el código invisible y la inteligencia que decide: el lado humano del “shadow AI”

Compartir

⚡ TL;DR – Ciberseguridad en 2 minutos, aquí tienes el resumen…

1. 🧨 Oracle EBS explotado por 2 meses antes del parche.

2. 🪓 RCE crítica en Redis afecta versiones activas desde hace 13 años.

3. 🕳️ SonicWall sufre doble golpe: backup + VPN comprometidos.

4. 🕷️ Nueva botnet RondoDox explota 56 fallas en dispositivos IoT.

5. 📦 175 paquetes maliciosos en npm usados en campañas de phishing.

6. 🧪 LockBit reaprovecha Velociraptor (herramienta defensiva) para ataques.

Anàlisis: 🧭 Shadow AI ¿riesgo oculto o motor de innovación? La IA no pide permiso…

👀 Miles de líneas de código ya están en producción sin trazabilidad.

☕️ Noticias de la semana

1. 🚨 Explotación de Zero-Day en Oracle EBS Antes del Parche

Recientemente se descubrió que múltiples actores malintencionados explotaron una vulnerabilidad de día cero en Oracle E-Business Suite (EBS) durante dos meses antes de que Oracle lanzara un parche. Esta vulnerabilidad, que permitía ejecutar código arbitrario, fue aprovechada para comprometer sistemas críticos, subrayando la importancia de gestionar proactivamente los riesgos de seguridad. Esto importa porque las plataformas ERP son esenciales para la operación diaria de muchas empresas y un ataque exitoso puede tener serias repercusiones financieras y operativas. En México y América Latina, donde Oracle EBS es ampliamente utilizado, la amenaza de que técnicas similares puedan ser replicadas destaca la necesidad de mantenerse alerta ante incidentes globales y aplicar parches de seguridad con prontitud.

📌 Importante:

• Actores maliciosos desconocidos explotaron una vulnerabilidad de día cero en Oracle EBS.

• La vulnerabilidad permitió la ejecución de código arbitrario durante un periodo crítico.

• Sectores empresariales y financieros que dependen de Oracle EBS podrían estar en riesgo.

🔒 ¿Cómo protegerse?

1. Asegúrese de que todas las instancias de Oracle EBS estén actualizadas con los últimos parches de seguridad proporcionados por Oracle.

2. Implemente soluciones de monitoreo y detección de anomalías para identificar y mitigar accesos no autorizados.

3. Evalúe la segmentación de la red para limitar el alcance de actores maliciosos en caso de compromiso.

🔗 Fuente: SecurityWeek

2. 🔓 Redis: Vulnerabilidad crítica de Ejecución Remota de Código

Redis ha identificado una vulnerabilidad crítica (CVE-2025-49844) que permite la ejecución remota de código a través de un defecto en los scripts Lua, presente en el código fuente durante 13 años. La técnica explotada es una corrupción de memoria “Use-After-Free”, que se activa mediante un script malicioso que puede escapar de la sandbox de Lua y ejecutar código arbitrario en el host. Este fallo es crítico dadas las numerosas instancias de Redis en entornos cloud, incluidos aquellos en América Latina, donde la réplica de ataques podría permitir la exfiltración de datos, la instalación de malware o el movimiento lateral en servicios de nube.

📌 Importante:

• Actores involucrados: Evento descubierto por la firma de ciberseguridad Wiz.

• Vulnerabilidad: CVE-2025-49844, calificación CVSS de 10.0.

• Impacto: Afecta todas las versiones de Redis con scripting Lua, potencialmente permitiendo la extorsión y robo de credenciales.

🔒 ¿Cómo protegerse?

1. Actualización Inmediata: Aplique los parches a las versiones 6.2.20, 7.2.11, 7.4.6, 8.0.4 y 8.2.2 lanzadas recientemente.

2. Restricciones por ACLs: Limite los comandos EVAL y EVALSHA a usuarios confiables para prevenir la ejecución no autorizada de scripts Lua.

3. Revisar Exposición: Asegúrese de que las instancias de Redis no estén expuestas a internet y tengan autenticación fuerte habilitada.

🔗 Fuente: Security Affairs

3. 🔥 SonicWall en la mira: dos brechas graves comprometen configuraciones y accesos

Durante los últimos días, SonicWall ha sido el foco de dos incidentes críticos de ciberseguridad que ponen en duda la seguridad de su ecosistema, particularmente en entornos que dependen de sus servicios de respaldo en la nube y conexiones VPN.

Por un lado, un ataque de fuerza bruta comprometió archivos de configuración de firewalls almacenados en la nube, exponiendo reglas de red y credenciales cifradas de múltiples clientes. Por otro, se detectó un compromiso masivo en dispositivos SSL VPN, esta vez a través del uso de credenciales válidas, sin necesidad de explotar vulnerabilidades técnicas complejas.

Ambos incidentes representan un riesgo directo para empresas en México y América Latina, donde SonicWall es ampliamente utilizado en entornos corporativos medianos y grandes.

📌 Importante:

• Actores involucrados: Cibercriminales no identificados. Mandiant y Huntress están investigando.

• Vulnerabilidades:

  • Acceso a configuraciones de firewalls mediante APIs públicas y fuerza bruta.

  • Uso de credenciales válidas para comprometer SSL VPNs (asociado al CVE-2024-40766).

• Impacto:

  • Exposición de reglas de red, usuarios, contraseñas y configuraciones críticas.

  • Accesos no autorizados y posibilidad de movimiento lateral dentro de las redes afectadas.

🔒 ¿Cómo protegerse?

1. Implementar restricciones de velocidad y controles más estrictos en APIs públicas para evitar ataques de fuerza bruta.

2. Revocar y restablecer todas las credenciales vinculadas a SonicWall, incluyendo las de VPN y plataformas de respaldo.

3. Implementar autenticación multifactor (MFA) y políticas de rotación de contraseñas en todos los accesos remotos.

4. Monitorizar actividades inusuales en la infraestructura y verificar configuraciones en plataformas como MySonicWall.com para detectar posibles exposiciones.

5. Auditar los respaldos y configuraciones de firewalls, asegurando su integridad y monitoreando cambios sospechosos.

6. Revisar los logs de conexión para detectar accesos inusuales desde IPs desconocidas reportadas.

🔗 Fuentes:

CyberScoop – SonicWall customer firewall configurations exposed

Security Affairs – Attackers exploit valid logins in SonicWall SSL VPN compromise

4. 🚨 RondoDox Botnet aprovecha 56 fallas críticas a nivel global

La botnet RondoDox está explotando 56 vulnerabilidades conocidas en más de 30 tipos de dispositivos, incluyendo DVRs, sistemas CCTV y servidores web, activa a nivel mundial desde junio. Desarrollada para evadir la detección haciendo uso de bibliotecas personalizadas y tráfico simulado de juegos o VPN, se comenta que ha sido detectada al utilizar vulnerabilidades como las CVE-2024-3721 y CVE-2024-12856. Estos ataques son preocupantes porque ejemplifican cómo se pueden replicar en otras regiones, incluyendo México y Latinoamérica, donde la infraestructura de red puede ser igualmente vulnerable, debido a la exposición en internet sin controles adecuados.

📌 Importante:

• Actores involucrados: Cibercriminales que operan la botnet RondoDox.

• Vulnerabilidades: CVE-2024-3721, CVE-2024-12856, entre otras que abarcan más de 50 fallos en múltiples dispositivos.

• Técnicas utilizadas: Enfoque “escopeta de exploits”, atacando varias vulnerabilidades simultáneamente para maximizar el éxito.

🔒 ¿Cómo protegerse?

1. Actualización continua: Asegurarse de que todos los dispositivos y sistemas estén actualizados con los últimos parches de seguridad.

2. Segmentación de red: Implementar segmentación de red para limitar el movimiento lateral y reducir la exposición a internet.

3. Monitoreo continuo: Establecer sistemas de monitorización que puedan detectar comportamientos inusuales, sugiriendo posibles compromisos.

🔗 Fuente: Security Affairs

5. 🛡️ Paquetes npm maliciosos detectados en campaña de phishing

Una campaña de phishing ha sido identificada, utilizando 175 paquetes maliciosos alojados en npm, los cuales han sido descargados cerca de 26,000 veces. Esta operación fue atribuida a actores maliciosos inespecíficos que utilizaron estos paquetes para extraer credenciales y realizar posibles accesos no autorizados en sistemas vulnerables. Esto subraya la importancia de la vigilancia continua sobre los componentes de software externos que se integran en los desarrollos empresariales. Este tipo de amenaza es particularmente relevante para las empresas en México y Latinoamérica, donde el desarrollo de software y la integración continua son procesos comunes y altamente dependientes de repositorios de código.

📌 Importante:

• Actores involucrados: No especificados.

• Vulnerabilidades explotadas: Uso de paquetes npm maliciosos.

• Impacto: Robo de credenciales y accesos no autorizados potenciales.

🔒 ¿Cómo protegerse?

1. Implementar un proceso riguroso de revisión y aprobación de componentes de terceros antes de su integración en los sistemas, especialmente aquellos provenientes de plataformas públicas como npm.

2. Monitorizar continuamente las dependencias utilizadas en los proyectos para identificar y eliminar cualquier componente que presente comportamientos no deseados o actualizaciones sospechosas.

3. Establecer medidas de aislamiento que minimicen el impacto en caso de instalar un paquete comprometido, protegiendo otros sistemas críticos.

🔗 Fuente: The Hacker News

6. 🛡️ Herramienta Velociraptor abuso en ataques de ransomware LockBit

Recientemente se descubrió que el grupo criminal LockBit está utilizando la herramienta defensiva Velociraptor DFIR para facilitar sus ataques de ransomware. Los actores maliciosos han adaptado esta herramienta, originalmente diseñada para actividades de respuesta a incidentes y análisis forense, con el propósito de automatizar el reconocimiento y exfiltración de datos de las redes comprometidas. Esta noticia es relevante porque muestra cómo herramientas destinadas a la seguridad pueden ser vueltas en contra de empresas, generando un riesgo potencial de réplica en México y América Latina si los atacantes buscan propagar su campaña globalmente.

📌 Importante:

• Actores involucrados: Grupo criminal LockBit.

• Vulnerabilidad utilizada: Manipulación de la herramienta Velociraptor DFIR.

• Impacto o daño: Automatización del reconocimiento y extracción de datos antes del despliegue del ransomware.

🔒 ¿Cómo protegerse?

1. Revise y audite el uso de herramientas defensivas como Velociraptor para asegurarse de que no estén siendo utilizadas maliciosamente dentro de su red.

2. Implemente segmentación de red y controles de acceso estrictos para limitar el movimiento lateral de atacantes en caso de una intrusión.

3. Establezca un monitoreo continuo de actividades inusuales que puedan indicar reconocimiento automatizado o exfiltración de datos.

🔗 Fuente: The Hacker News

✍️ Análisis y Opinión - 🧭 Entre el código invisible y la inteligencia que decide: el lado humano del “shadow AI”

Hay una tendencia silenciosa que se extiende en equipos técnicos y corporativos por igual: la del “vibe coding” o “shadow AI” —el uso de inteligencia artificial generativa para crear código, tomar decisiones o automatizar procesos… sin revisión formal ni aprobación institucional.

No es un fenómeno marginal. Está ocurriendo en casi todas partes. Y aunque los titulares suelen centrarse en los riesgos, lo que realmente deberíamos estar analizando es por qué sucede y qué oportunidad encierra.

💡 La creatividad no autorizada (y el poder que esconde)

Según Dark Reading, más del 40% de los equipos de desarrollo admiten haber utilizado herramientas de IA no aprobadas por sus departamentos de seguridad. Lo hacen porque funcionan, porque aceleran el trabajo y, en muchos casos, porque las soluciones oficiales no llegan a tiempo.

Es una señal clara de que la innovación corporativa necesita un replanteamiento: la gente no usa herramientas no autorizadas por rebeldía, sino por necesidad.

El problema no está en el uso de la IA, sino en la desconexión entre la estrategia de innovación y la estrategia de seguridad.

Y ahí hay una lección profunda: cuando la burocracia se mueve más lento que la curiosidad, la curiosidad toma el control.

⚙️ El código invisible ya está en producción

El reportaje de The Register describe una realidad incómoda: miles de fragmentos de código generados por IA ya están operando en sistemas críticos, sin trazabilidad ni validación. Algunos fueron insertados por empleados que buscaban optimizar tareas rutinarias. Otros, por IA que autoajustan su propio desempeño.

¿El resultado?

Un ecosistema de software que nadie diseñó por completo, pero que todos usan.

Esto no debería inspirar miedo, sino reflexión.

Así como el shadow IT impulsó la adopción de la nube hace una década, el “shadow AI” podría ser el catalizador de una nueva era de integración más inteligente, si aprendemos a gobernarlo en lugar de perseguirlo.

🕵️ Chatbots con puertas traseras: el nuevo recordatorio

La investigación de Trend Micro sobre chatbots con backdoors embebidos deja en claro que la IA, por más “amigable” que parezca, también puede ser un caballo de Troya.

No hablamos de ciencia ficción: investigadores detectaron asistentes capaces de recibir comandos ocultos dentro de mensajes aparentemente inocentes, lo que les permite ejecutar acciones sin el consentimiento del usuario.

Y, sin embargo, el mensaje más importante no es “la IA es peligrosa”.

Es que la confianza necesita diseño.

Los chatbots corporativos, las herramientas de copiloto y los agentes autónomos deben construirse con la misma rigurosidad que cualquier sistema crítico.

No se trata de bloquear su uso, sino de integrar mecanismos de validación, registro y monitoreo desde el inicio.

🧭 De la sombra a la estrategia

El reto para las organizaciones no es eliminar el shadow AI, sino convertirlo en innovación gobernada.

Eso implica tres pasos prácticos:

1. Escuchar antes de prohibir: entender por qué los equipos recurren a herramientas no oficiales.

2. Formalizar la exploración: crear entornos seguros donde probar, fallar y aprender sin comprometer la seguridad.

3. Visibilizar lo invisible: incorporar auditorías y trazabilidad para saber qué IA está interactuando con qué sistemas.

Porque si algo demuestran estos casos, es que la IA no está desafiando la autoridad… está llenando un vacío.

La inteligencia artificial no vino a sustituirnos, sino a recordarnos algo esencial:

que la creatividad humana no pide permiso, y que la seguridad —cuando se diseña bien— no limita, sino potencia.

El futuro de la ciberseguridad no será el de apagar fuegos, sino el de diseñar ecosistemas donde la curiosidad y la confianza puedan coexistir.

Gracias por leer nuestro resumen semanal. Recuerda, estamos aquí para ayudarte a navegar el complejo mundo de la ciberseguridad. No dudes en responder a este correo con tus preguntas o inquietudes.

¡Hasta la próxima semana! 🎯

Te invitamos a compartir esta publicación, visitar nuestro sitio web y conectar en redes sociales.