La tecnología moderna se construye sobre plataformas que administran información, automatización y operaciones. Esta semana analizamos algunas de las más relevantes para las empresas. 

📰 Lo último de la semana

CISA confirma explotación activa en tres frentes distintos de Cisco, Chrome y Arista

Abres el navegador, revisas la consola de red, miras los switches y das por hecho que el riesgo está separado por capas. Esta semana CISA volvió a recordar que navegador, administración de red y tráfico tunelizado pueden formar parte del mismo mapa de intrusión. CISA incorporó vulnerabilidades de Cisco Catalyst SD-WAN Manager, Google Chrome y Arista EOS a su catálogo KEV por explotación activa. En Cisco, el riesgo pasa por ejecución de comandos con privilegios de root bajo ciertas condiciones. En Chrome, por una vulnerabilidad explotable mediante una página HTML manipulada. En Arista, por procesamiento inesperado de tráfico tunelizado en equipos que actúan como endpoints de túnel. La señal es que los atacantes están usando superficies legítimas para ganar posición sin levantar demasiado ruido.

Por razones de seguridad, actualiza Chrome y verifica la versión desde settings/help, restringe acceso a redes de gestión y controla archivos importados o procesados por plataformas administrativas.

Microsoft 365 Copilot permitía robar correos, archivos y códigos MFA con un solo clic

Recibes un enlace legítimo de Microsoft, haces clic una sola vez y un atacante pudo acceder a correos, archivos corporativos e incluso códigos de autenticación. Eso fue lo que descubrieron investigadores de Varonis en Microsoft 365 Copilot Enterprise Search, donde una cadena de vulnerabilidades denominada SearchLeak permitía extraer información sensible con una única interacción del usuario. El ataque combinaba tres fallas distintas, una inyección de instrucciones a través de parámetros de búsqueda de Copilot, un problema en el procesamiento de contenido HTML y una vulnerabilidad que permitía utilizar infraestructura de Microsoft para extraer datos sin activar controles tradicionales de seguridad. 

Con fines preventivos, revisa qué información puede consultar Copilot dentro de tu organización, aplica el principio de mínimo privilegio sobre correos y documentos sensibles, y considera los asistentes de IA como sistemas críticos que requieren monitoreo continuo.

WordPress distribuyó malware desde plugins legítimos

Uno de los plugins de confianza de tu sitio WordPress se convierte en el punto de entrada para que un atacante tome el control total de tu página. PushEngage, OptinMonster y TrustPulse, tres populares plugins de WordPress fueron manipulados para distribuir código malicioso a los sitios que los utilizaban. El código permanecía inactivo hasta que un administrador autenticado cargaba la página, en ese momento, utilizaba su sesión legítima para crear una nueva cuenta administrativa bajo control del atacante e instalar un plugin oculto, desde ahí, los atacantes podían ejecutar comandos, modificar archivos, acceder a bases de datos o desplegar malware adicional sin necesidad de volver a autenticarse. El incidente se originó a través de archivos JavaScript alterados. La campaña afectó potencialmente a más de 1,2 millones de sitios que utilizan alguna de estas herramientas.

Como medida de resguardo, si utilizas PushEngage, OptinMonster o TrustPulse, asume una posible exposición y revisa inmediatamente la existencia de cuentas administrativas desconocidas, plugins ocultos y actividad sospechosa. Además, implementa monitoreo de integridad sobre plugins críticos y considera controles que permitan detectar cambios inesperados en recursos cargados desde terceros.