Asociación Valenciana de Informática Sanitaria
incibeb
Inditex refuerza su seguridad tras el incidente de datos vinculado a proveedores externos
La brecha de seguridad que afectó a Zara e Inditex se dio a conocer públicamente durante el mes de abril de 2026. El incidente fue relacionado con el grupo de ciberdelincuentes ShinyHunters, conocido internacionalmente por participar en filtraciones masivas de información y campañas de extorsión digital. Las primeras publicaciones aparecieron en medios como Reuters y portales de seguridad informática, donde se explicó que la intrusión no se había producido directamente en los sistemas internos de Zara, sino a través de una plataforma de terceros que almacenaba información relacionada con transacciones y servicios de soporte. Poco después, la propia Inditex confirmó la existencia del incidente y señaló que había activado sus protocolos de respuesta y notificación a las autoridades competentes.
El incidente se centra en la exposición de información perteneciente aproximadamente a 197.000 clientes, cuyos datos habrían sido obtenidos por los atacantes tras comprometer sistemas asociados a un proveedor tecnológico. Entre los datos afectados se encontrarían direcciones de correo electrónico, identificadores de pedidos, historiales de compras y cierta información operativa relacionada con la atención al cliente. Según la información difundida por la empresa y por distintos investigadores de ciberseguridad, no se habrían visto comprometidas contraseñas de acceso ni datos bancarios completos. Tras detectarse la intrusión, Inditex aseguró haber reforzado las medidas de seguridad, limitado los accesos afectados y comenzado una investigación técnica para determinar el alcance real del ataque. Además, la compañía inició procesos de comunicación con las autoridades regulatorias y con los usuarios potencialmente afectados.
Actualmente, el caso continúa siendo objeto de seguimiento por parte de especialistas en ciberseguridad y medios tecnológicos, ya que parte de la información robada habría sido publicada o utilizada como mecanismo de presión por parte de ShinyHunters. Aunque la empresa sostiene que los sistemas críticos y financieros no fueron comprometidos directamente, el incidente ha vuelto a poner en debate la dependencia de grandes compañías respecto a proveedores externos y la necesidad de reforzar los controles de protección de datos.
- 16/04/2026 www.reuters.com Zara owner Inditex reports unauthorised access to transaction databases
- 08/05/2026 securityaffairs.com Zara Data Breach: 197,000 Customers Exposed in Third-Party Security Incident
- 08/05/2026 www.moncloa.com Zara sufre brecha de datos: ShinyHunters expone 197.000 clientes tras ataque a proveedor tecnológico
- 08/05/2026 www.eleconomista.es Zara sufre una filtración de datos que afecta a la información personal de más de 197.000 clientes
- 09/05/2026 www.cronista.com Hackeo masivo en Zara | Robaron información sensible de este grupo de clientes durante un ciberataque
Incidente de seguridad digital en Instructure y su impacto en la plataforma Canvas
A finales de abril y principios de mayo de 2026, el ámbito educativo global se vio afectado por un incidente de seguridad digital que puso en jaque las infraestructuras de aprendizaje en línea. La vulnerabilidad comenzó a ser detectada internamente por la compañía proveedora tecnológica Instructure el 25 de abril. Durante este periodo, coincidente con la época de exámenes finales, la agresión digital paralizó los servicios habituales de miles de campus y generó una alarma internacional ante la exposición masiva de registros confidenciales.
El ciberataque fue perpetrado por el reconocido grupo de extorsión informática ShinyHunters, el cual logró vulnerar los sistemas de producción de Instructure y comprometer la plataforma Canvas. Este, afectó a unas 9.000 escuelas de educación primaria y secundaria junto con prestigiosas universidades a nivel mundial, poniendo en riesgo la información personal e identificativa de más de 200 millones de estudiantes y docentes. Entre los datos sustraídos se incluyeron nombres completos, direcciones de correo electrónico, números de identificación académica y miles de millones de mensajes privados intercambiados dentro del sistema, aunque la empresa aclaró que las contraseñas y la información financiera quedaron a salvo. Ante el secuestro visual de las pantallas de inicio de sesión de Canvas por parte de los atacantes para exigir un rescate económico, las instituciones académicas se vieron obligadas a aplicar cierres forzados de sesión, implementar alternativas de conexión de emergencia y alertar a sus comunidades frente a posibles campañas fraudulentas de suplantación de identidad (phishing).
En la actualidad, la situación crítica e inmediata de parálisis operativa se encuentra resuelta tras el restablecimiento del servicio y la intervención de agencias federales de seguridad como el FBI. Instructure emitió un comunicado oficial confirmando que lograron un acuerdo con los atacantes antes de que expirara el ultimátum fijado para el 12 de mayo, obteniendo la recuperación de los datos y pruebas digitales verificables sobre la total destrucción de los registros robados por parte de los ciberdelincuentes.
- 07/05/2026 cnnespanol.cnn.com Hackers irrumpen en Canvas y afectan a universidades en plena semana de exámenes
- 07/05/2026 www.escudodigital.com El gigante educativo detrás de Canvas sufre un ciberataque que afecta a 8.800 escuelas y universidades
- 08/05/2026 www.edweek.org A Cyberattack on Canvas Could Cause Lasting Aftershocks for Schools
- 11/05/2026 www.arlnow.com APS urges families to be vigilant after cyberattacks against Canvas network
- 14/05/2026 www.reedsmith.com Canvas/Instructure cyberattack – Key developments and action items for higher education institutions
Incidente de seguridad en la agencia nacional de identidad digital de Francia
Entre abril y mayo de 2026, las autoridades francesas confirmaron un incidente de ciberseguridad que afectó a millones de ciudadanos. El caso comenzó a conocerse públicamente después de que aparecieran en foros clandestinos bases de datos supuestamente extraídas de los sistemas de France Titres, anteriormente conocida como ANTS, organismo dependiente del Ministerio del Interior francés. Poco después, la propia agencia reconoció que había detectado una intrusión informática el 15 de abril y que parte de la información personal de usuarios podía haber quedado expuesta. La noticia tuvo una gran repercusión debido a la sensibilidad de los datos almacenados por este organismo, responsable de gestionar documentos oficiales como documentos nacionales de identidad, pasaportes y permisos de conducir.
Según las investigaciones preliminares, los datos comprometidos incluirían nombres completos, direcciones de correo electrónico, fechas de nacimiento, números de teléfono y direcciones postales, aunque las autoridades indicaron que no se habrían visto afectados datos bancarios ni contraseñas. Las sospechas apuntaron hacia un menor de 15 años, investigado por la fiscalía de París por su presunta implicación en el acceso ilegal a los sistemas y en la difusión de la información robada. El caso puso en alerta tanto a organismos públicos como a expertos en ciberseguridad, debido al riesgo de fraude, robo de identidad y campañas de phishing dirigidas a los ciudadanos afectados. Como respuesta inmediata, France Titres activó protocolos de seguridad, notificó el incidente a las autoridades competentes en protección de datos y comenzó una revisión interna de sus sistemas informáticos para contener el alcance de la intrusión y reforzar las medidas de protección digital.
Actualmente, la investigación continúa abierta y las autoridades francesas siguen analizando el origen exacto del ataque, el volumen real de datos comprometidos y la posible existencia de más personas implicadas. El menor investigado permanece bajo seguimiento judicial mientras los especialistas forenses revisan dispositivos electrónicos y rastrean las actividades relacionadas con la publicación de la información en foros clandestinos. Paralelamente, el Gobierno francés mantiene labores de supervisión sobre la infraestructura digital de la agencia y ha anunciado medidas para reforzar la ciberseguridad en los servicios públicos que manejan información sensible de la población. Aunque parte de los sistemas afectados ya han sido estabilizados, las autoridades reconocen que todavía existen riesgos derivados del uso indebido de los datos filtrados.
- 20/04/2026 therecord.media Cyberattack at French identity document agency may have exposed personal data
- 23/04/2026 www.infobae.com Francia reconoce un incidente de seguridad en el portal de la agencia que gestiona los documentos de identidad
- 30/04/2026 www.theregister.com French prosecutors link 15-year-old to mega-breach at state’s secure document agency
- 30/04/2026 www.reuters.com France opens formal probe into teenage suspect in massive ID data breach
- 02/05/2026 www.huffingtonpost.es 11,7 millones de cuentas con datos personales filtradas en Francia: el sospechoso es un menor de 15 años que imitaba a hackers reales con textos de IA
Presunta filtración de datos de usuarios en Udemy
En abril de 2026, se reportó una presunta filtración de datos en la plataforma de educación en línea Udemy, que habría afectado a aproximadamente 1,4 millones de usuarios. La alerta surgió a mediados de mes, cuando un grupo de ciberdelincuentes conocido como ShinyHunters reclamó haber comprometido la información de la plataforma. La noticia fue difundida rápidamente por medios especializados en seguridad informática y bases de datos de brechas como Have I Been Pwned, generando preocupación entre los usuarios y la comunidad de aprendizaje en línea.
El incidente, según los reportes, consistió en la exposición de datos personales y profesionales de los usuarios y algunos instructores, incluyendo nombres, direcciones de correo electrónico, números de teléfono, direcciones físicas y en algunos casos información de pago. La filtración no ha sido oficialmente confirmada por Udemy, por lo que no se ha emitido un comunicado formal ni se ha indicado un protocolo de respuesta a los usuarios afectados. Hasta el momento, la única acción visible ha sido el seguimiento de la situación por parte de investigadores de ciberseguridad y medios especializados, que han alertado a los usuarios sobre la posibilidad de que sus datos estén comprometidos.
Actualmente, el estado del suceso se encuentra en una fase de incertidumbre debido a la falta de confirmación oficial por parte de Udemy. No se han reportado acciones de mitigación directas por la empresa, como bloqueos de cuentas, restablecimientos de contraseñas o notificaciones a los usuarios. A futuro, se espera que la plataforma emita un comunicado oficial para esclarecer la situación, adoptar medidas de seguridad adicionales y guiar a los usuarios sobre cómo proteger su información.
- 24/04/2026 www.esecurityplanet.com ShinyHunters Claims Udemy Data Breach of 1.4M Users
- 24/04/2026 blog.elhacker.net Hackean Udemy: ShinyHunters afirma haber comprometido 1,4 millones de registros de usuarios
- 24/04/2026 resources.scitum.com.mx ¿Sabías que la plataforma de cursos en línea Udemy se ha visto afectada por una presunta filtración de información?
- 28/04/2026 blog.segu-info.com.ar Robo de datos a Udemy, cambia credenciales
- 28/04/2026 www.helpnetsecurity.com ShinyHunters claims it stole 1.4 million records from Udemy
Rituals detecta un incidente de seguridad que afecta a la base de datos de sus clientes
Rituals hizo público a finales de abril de 2026 un incidente de ciberseguridad que afectó a parte de su base de clientes, concretamente a los usuarios de su programa de fidelización “My Rituals”. La compañía detectó una actividad sospechosa en sus sistemas durante ese mismo mes, lo que llevó a identificar una descarga no autorizada de datos personales. La rapidez en la detección y comunicación fue un elemento clave en la primera fase de gestión del incidente.
La brecha de seguridad implicó el acceso ilícito a datos personales de clientes, incluyendo nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y direcciones físicas. Sin embargo, la empresa aseguró que no se vieron comprometidos datos sensibles como contraseñas o información financiera, lo que limita parcialmente el impacto directo del incidente. Tras detectar la intrusión, Rituals procedió a bloquear el acceso no autorizado, inició una investigación forense para determinar el alcance exacto del ataque y notificó tanto a las autoridades competentes como a los clientes afectados. Además, recomendó a los usuarios extremar las precauciones ante posibles intentos de phishing o fraude utilizando la información sustraída.
En el momento actual, el incidente se encuentra bajo investigación, y la compañía continúa evaluando sus implicaciones completas mientras colabora con expertos en ciberseguridad y organismos reguladores. No se han reportado, por ahora, consecuencias masivas derivadas del uso indebido de los datos filtrados, aunque el riesgo permanece latente debido a la naturaleza de la información expuesta.
- 22/04/2026 www.retaildetail.es Unos hackers roban datos de clientes de Rituals
- 22/04/2026 www.cadena3.com Rituals confirma un robo de datos de sus clientes tras un ataque cibernético
- 23/04/2026 www.escudodigital.com Un ciberataque roba datos de clientes de la cadena de cosméticos Rituals
- 24/04/2026 www.techradar.com Dutch cosmetic powerhouse Rituals confirms breach and stolen data from 'My Rituals' membership database
- 25/04/2026 blog.nivel4.com Gigante de cosméticos europea confirma brecha que expuso datos de clientes de su programa de fidelización
Detección de un acceso no autorizado a datos de usuarios de Booking
El ciberataque a la plataforma de reservas Booking.com se hizo público el 13 de abril de 2026, cuando la empresa reconoció haber detectado actividad sospechosa en sus sistemas. La noticia comenzó a difundirse ese mismo día a través de medios nacionales e internacionales, tras la notificación enviada a usuarios potencialmente afectados. El incidente implicaba el acceso no autorizado a determinados datos vinculados a reservas. Aunque no se precisó inicialmente el alcance total del ataque, sí se confirmó que se trataba de un problema de seguridad relevante a nivel global. Desde entonces, el caso ha sido seguido de cerca tanto por expertos en ciberseguridad como por autoridades y medios de comunicación.
En el desarrollo de los hechos, la empresa explicó que terceros no autorizados habían accedido a información personal de algunos usuarios, incluyendo nombres, direcciones de correo electrónico, números de teléfono y detalles de reservas. No obstante, subrayó que no se habían visto comprometidos datos financieros como tarjetas de crédito. Los principales afectados fueron clientes que habían realizado reservas a través de la plataforma, cuyos datos podrían ser utilizados en intentos de fraude, especialmente mediante técnicas de phishing. Como respuesta inmediata, la compañía implementó medidas como el restablecimiento de PIN de seguridad, el refuerzo de sus sistemas y el envío de advertencias a los usuarios para prevenir posibles estafas. Además, se inició una investigación interna para determinar el origen y alcance exacto del incidente.
El caso continúa en análisis mientras la empresa trabaja en reforzar sus protocolos de seguridad y colaboración con expertos externos. Aunque el ataque parece haber sido contenido, persiste el riesgo de que los datos obtenidos sean utilizados en campañas de fraude dirigidas, por lo que las autoridades y la propia plataforma recomiendan mantener la vigilancia.
- 13/04/2026 www.bleepingcomputer.com New Booking.com data breach forces reservation PIN resets
- 13/04/2026 techcrunch.com Booking.com confirms hackers accessed customers’ data
- 13/04/2026 securityaffairs.com Hackers access Booking.com user data, company secures systems
- 13/04/2026 www.rtve.es Booking sufre un ciberataque y confirma el robo de datos personales de algunos de sus clientes
- 13/04/2026 cadenaser.com Booking notifica un ciberataque que expone datos de clientes y advierte de nuevas estafas en circulación
- 15/04/2026 www.huffingtonpost.es Alerta en Booking.com: un hackeo expone datos de clientes y dispara las estafas de "secuestro de reservas"
Explotación de la vulnerabilidad React2Shell (CVE-2025-55182)
La vulnerabilidad conocida como React2Shell (CVE-2025-55182) fue divulgada públicamente a comienzos de diciembre de 2025, cuando el equipo de React emitió un aviso de seguridad urgente alertando de un fallo crítico en su arquitectura de componentes de servidor. En ese mismo periodo, el ecosistema de frameworks que dependen de React, especialmente Next.js, comenzó a evaluar el impacto del problema. En cuestión de días, la comunidad de ciberseguridad y múltiples empresas tecnológicas confirmaron la gravedad de la vulnerabilidad, destacando su potencial para permitir ejecución remota de código sin autenticación. La rapidez con la que se difundió la información hizo que numerosos equipos de desarrollo activaran protocolos de respuesta ante incidentes.
Esta vulnerabilidad permite a atacantes explotar fallos en el mecanismo de serialización de React Server Components, facilitando la ejecución de código malicioso en servidores que ejecutan aplicaciones afectadas. Poco después de su divulgación, se detectaron campañas activas de explotación, algunas atribuidas a grupos organizados, que aprovecharon el fallo para comprometer sistemas y extraer datos sensibles como credenciales, tokens y configuraciones internas. Entre los principales afectados se encuentran empresas que utilizan aplicaciones construidas con React y Next.js, incluyendo plataformas en producción que no habían aplicado los parches a tiempo. Como respuesta, los equipos de desarrollo de React y proveedores como Vercel publicaron actualizaciones de seguridad y guías de mitigación, recomendando actualizar dependencias, restringir endpoints vulnerables y monitorizar accesos sospechosos. Además, empresas de ciberseguridad emitieron alertas urgentes ante la explotación activa a gran escala.
En el estado actual, la vulnerabilidad se considera conocida y parcialmente contenida, aunque sigue representando un riesgo significativo en sistemas que no han sido actualizados o auditados correctamente. A lo largo de 2026 se han seguido detectando campañas que explotan instancias desprotegidas, lo que indica que el problema persiste más allá de su divulgación inicial.
- 02/04/2026 thehackernews.com Hackers Exploit CVE-2025-55182 to Breach 766 Next.js Hosts, Steal Credentials
- 05/04/2026 www.bleepingcomputer.com Hackers exploit React2Shell in automated credential theft campaign
- 06/04/2026 www.darkreading.com Automated Credential Harvesting Campaign Exploits React2Shell Flaw
- 07/04/2026 gbhackers.com Hackers Exploit Next.js React2Shell Vulnerability, Breach 766 Hosts in 24 Hours
- 07/04/2026 unaaldia.hispasec.com React2Shell (CVE-2025-55182) se explota para robar secretos en masa en apps Next.js
Numerosos sitios web afectados tras la detección de una vulnerabilidad en Smart Slider 3 de WordPress
El incidente se dio a conocer a finales de marzo de 2026, cuando diversos medios especializados en ciberseguridad comenzaron a alertar sobre una vulnerabilidad crítica en el plugin Smart Slider 3, ampliamente utilizado en el ecosistema de WordPress. El fallo fue catalogado con el identificador CVE-2026-3098, lo que indica que había sido registrado formalmente en bases de datos de vulnerabilidades. Desde el primer momento, se destacó la magnitud del problema debido a la enorme cantidad de instalaciones activas del plugin afectado, lo que generó preocupación en la comunidad de administradores web y especialistas en seguridad.
El problema radica en una vulnerabilidad que permitía a usuarios con permisos limitados acceder a archivos sensibles del sistema, facilitando así el robo de credenciales y otros datos críticos. Se estima que más de 500.000 sitios web podrían haber estado expuestos, dentro de un total de más de 800.000 instalaciones del plugin. Los principales afectados han sido administradores de sitios web que utilizaban versiones vulnerables del plugin, especialmente aquellos que no contaban con medidas de seguridad adicionales. Tras la divulgación del fallo, se activaron los protocolos habituales de respuesta: notificación a los desarrolladores, difusión en canales de ciberseguridad y previsiblemente la publicación de actualizaciones para corregir la vulnerabilidad, junto con recomendaciones de mitigación como la actualización inmediata y la revisión de accesos.
El incidente parece estar en fase de contención, siempre que los administradores hayan aplicado las actualizaciones correspondientes y revisado posibles accesos indebidos. No obstante, persiste el riesgo para aquellos sitios que continúan utilizando versiones desactualizadas del plugin, lo que podría facilitar ataques oportunistas incluso después de la divulgación pública.
- 06/03/2026 telconet.net Vulnerabilidad crítica en plugin User Registration & Membership de WordPress permite creación de cuentas administrador
- 30/03/2026 cronup.com Feed de Noticias de Ciberseguridad [30/03/2026]
- 30/03/2026 bitlifemedia.com Un fallo crítico en un plugin de WordPress expone más de 500.000 webs a robo de datos
- 08/04/2026 mysites.guru Smart Slider 3 Hack Allows Any File to Be Downloaded
- 21/04/2026 a3sec.com CVE-2026-3098: Más de 800.000 Sitios Afectados - Plugin Smart Slider 3 de WordPress
AstraZeneca refuerza su ciberseguridad tras un ataque informático
En marzo de 2026, la compañía farmacéutica AstraZeneca sufrió un importante ciberataque que desencadenó una interrupción de sus sistemas informáticos y el robo de datos confidenciales. Aunque AstraZeneca no ha emitido un comunicado oficial confirmando todos los detalles, el ataque generó una gran preocupación debido al tipo de datos involucrados y la vulnerabilidad de las infraestructuras tecnológicas en grandes corporaciones.
El ciberataque, presuntamente llevado a cabo por el grupo de hackers LAPSUS$, resultó en la exfiltración de aproximadamente 3 GB de datos, incluyendo códigos fuente internos, credenciales de acceso y otros archivos de alta confidencialidad. La información robada no incluye, según los primeros informes, datos relacionados con pacientes o clientes, lo que sugiere que el impacto podría haber sido limitado en términos de privacidad de usuarios finales. Sin embargo, el robo de datos técnicos e infraestructura pone en riesgo la seguridad de los sistemas y la reputación de la empresa. Hasta ahora, no se han divulgado las medidas tomadas por AstraZeneca, y no se ha confirmado públicamente si los atacantes han intentado vender los datos en mercados clandestinos.
A pesar de las afirmaciones de los atacantes de haber puesto a la venta los datos, no ha habido informes oficiales sobre el impacto directo en operaciones comerciales o relaciones con terceros. La situación aún está en desarrollo, y es posible que en las próximas semanas se publiquen más detalles o que la empresa emita un comunicado detallado sobre las acciones correctivas y las investigaciones en curso.
Referencias- 24/03/2026 pharmaphorum.com AstraZeneca reportedly hit by serious cyberattack
- 25/03/2026 bitlifemedia.com AstraZeneca sufre un ciberataque con interrupción de sistemas informáticos y robo de datos confidenciales
- 26/03/2026 apolocybersecurity.com Cyberattack on AstraZeneca: what happened and what it involves
Incidente con IA en Meta impulsa mejoras en seguridad y control de sistemas autónomos
El incidente que involucró a un agente de inteligencia artificial de Meta ocurrió a mediados de marzo de 2026 y se dio a conocer inicialmente gracias a filtraciones obtenidas por medios especializados en tecnología. En los primeros días tras el suceso, publicaciones como The Information y posteriormente The Verge y The Guardian comenzaron a difundir detalles del caso. Por otro lado, en redes sociales y algunos portales, la noticia fue presentada de forma sensacionalista como una “rebelión” de la IA, aunque los informes más rigurosos matizaron desde el principio que se trataba de un fallo operativo. El contexto general del incidente se enmarca en el uso creciente de agentes autónomos dentro de entornos corporativos, especialmente para asistencia técnica y automatización de tareas internas. Este tipo de herramientas, aún en desarrollo, operan con cierto grado de autonomía, lo que introduce nuevos riesgos si no se supervisan adecuadamente.
El problema surgió cuando un ingeniero de Meta consultó a un agente de IA interno en un foro corporativo y recibió instrucciones incorrectas que, al aplicarse, provocaron la exposición temporal de información sensible a empleados sin autorización. La filtración se mantuvo activa durante aproximadamente dos horas antes de ser detectada y contenida por los equipos de seguridad de la compañía. Aunque no hay evidencia de que datos de usuarios externos fueran comprometidos, sí se reconoce que información interna quedó accesible de forma indebida dentro de la organización. Meta clasificó el incidente como de alta gravedad y activó protocolos de respuesta rápida, incluyendo la restricción inmediata de accesos y la revisión de los sistemas implicados. La empresa también emitió un comunicado en el que atribuyó el origen del problema a información inexacta generada por la IA, subrayando que el error fue posible por la interacción humana que ejecutó dichas indicaciones sin una verificación adicional.
El incidente se considera cerrado desde el punto de vista operativo, aunque sigue siendo objeto de análisis interno y debate. Meta ha reforzado sus controles de seguridad, especialmente en lo relativo al uso de agentes de IA en procesos sensibles, y se espera que implemente nuevas salvaguardas para evitar situaciones similares en el futuro. Entre las posibles acciones, tomadas por la empresa, se incluyen la mejora de los sistemas de validación de respuestas generadas por IA, la limitación de permisos automatizados y una mayor supervisión humana en tareas críticas.
Referencias- 19/03/2026 aibase.com Meta's Rebel AI: Internal Secrets Leaked, Security Level Rises to Second Highest
- 19/03/2026 trendingtopics.eu Two Hours, Zero Control: How a Meta AI Agent Sparked a Major Data Leak
- 20/03/2026 theguardian.com Meta AI agent’s instruction causes large sensitive data leak to employees
- 25/03/2026 securitybrief.asia Meta AI agent exposes sensitive data in internal leak
Desarticulada una red internacional de vishing en Europa: cooperación policial y avances clave contra el fraude digital
El 18 de marzo de 2026 se reportó el desmantelamiento de una red internacional dedicada al fraude telefónico, conocida como “vishing”, que tuvo lugar mayormente entre los años 2023 y 2026 en varios países de la Unión Europea. Este tipo de estafa se basa en la suplantación de identidad mediante llamadas telefónicas para manipular a las víctimas y obtener acceso a sus cuentas bancarias. La operación fue llevada a cabo de forma conjunta por autoridades de Letonia, Ucrania y otros países europeos, en el marco de una investigación prolongada sobre una organización criminal altamente estructurada.
La red operaba a través de centros de llamadas, donde los que los delincuentes se hacían pasar por policías o empleados bancarios. Usaban tácticas de urgencia para convencer a las víctimas de que su dinero estaba en peligro. Posteriormente, les pedían instalar herramientas legítimas de acceso remoto como AnyDesk, lo que les permitía controlar los dispositivos y acceder a las cuentas online bancarias en tiempo real. Las víctimas fueron, principalmente, ciudadanos europeos, y estas fueron engañadas para autorizar transferencias o facilitar códigos de seguridad. La organización contaba además con una infraestructura compleja que incluía más de 170 “mulas” financieras para mover el dinero y convertirlo en criptomonedas, dificultando su rastreo. Como resultado de la operación, se identificaron unos 90 sospechosos, se detuvo a varios implicados y se bloquearon activos por valor de más de 800.000 euros. Además, se dictaron varias condenas judiciales.
Actualmente, el caso se encuentra en una fase avanzada tras las detenciones y condenas ya ejecutadas, aunque las investigaciones continúan para identificar a todos los implicados y recuperar fondos. Las autoridades europeas han reforzado la cooperación internacional y han intensificado las campañas de concienciación sobre este tipo de fraude, dado su alto grado de eficacia y dificultad de detección. Este suceso evidencia que el vishing seguirá siendo una amenaza relevante, por lo que la prevención y la colaboración internacional serán claves para limitar su impacto.
Referencias- 03/02/2026 europapress.es Desarticulado un grupo criminal especializado en estafas mediante el 'vishing' que operaban desde Gijón
- 18/03/2026 bitlifemedia.com Así operaba la red de ‘vishing’ que robó millones en Europa con llamadas falsas, acceso remoto
- 25/03/2026 europasur.es La Policía Nacional detecta en Algeciras una estafa telefónica que suplanta a agentes
Refuerzo de la ciberseguridad empresarial frente a nuevas campañas de suplantación en plataformas colaborativas
Los primeros datos sobre una campaña de ciberataques contra entidades del ámbito financiero y sanitario, en la que los atacantes se valieron de herramientas corporativas muy empleadas como Microsoft Teams para ejecutar acciones maliciosas. Las primeras investigaciones, alertaron de un patrón inusual de intrusiones que empleaban métodos sofisticados de ingeniería social. En los días posteriores, distintos medios especializados y organismos de respuesta a incidentes comenzaron a publicar análisis técnicos y alertas, lo que permitió dimensionar el alcance de la amenaza. Este contexto temporal se ubica entre el 15 y el 24 de marzo de 2026 y marca el inicio de la divulgación pública de una campaña que probablemente llevaba activa desde semanas anteriores.
La noticia se cenrta en un método de ataque que combina la saturación de correos electrónicos, conocida como email bombing, con la suplantación de personal de soporte técnico a través de Microsoft Teams, lo que permite a los atacantes ganarse la confianza de las víctimas. Una vez establecido el contacto, los ciberdelincuentes llevan a los usuarios a utilizar herramientas legítimas de acceso remoto como Quick Assist, lo que les permite controlar con facilidad los dispositivos afectados. Tras obtener el acceso, se despliega el malware A0Backdoor, que permite mantener persistencia, exfiltrar información y potencialmente preparar el entorno para ataques más destructivos, como el ransomware. La mayoría de las entidades afectadas pertenecen a áreas con gran sensibilidad de datos, lo que hace que el incidente tenga un mayor impacto. Ante esta situación, diversos CSIRT y organismos oficiales han emitido recomendaciones como restringir accesos remotos, reforzar la autenticación y mejorar la monitorización de tráfico de red, especialmente en lo relativo a técnicas como el DNS tunneling.
El incidente se encuentra en fase de contención y análisis, con múltiples entidades de ciberseguridad y organismos públicos monitorizando la evolución de la campaña y compartiendo indicadores de compromiso. A pesar de que no se ha reportado una detención absoluta de la actividad maliciosa, sí se aprecia un incremento en la consciencia y en la implementación de acciones preventivas entre las organizaciones que tienen el potencial de ser vulnerables.
- 15/03/2026 hispasec.com Atacantes suplantan al soporte técnico en Microsoft Teams para desplegar el malware A0 Backdoor en empresas financieras y sanitarias
- 16/03/2026 infrascan.net Ataque de Microsoft Teams Quick Assist Despliega A0Backdoor
- 17/03/2026 cicese.mx Atacantes suplantan al soporte técnico en Microsoft Teams para desplegar el malware A0 Backdoor en empresas financieras y sanitarias
- 17/03/2026 telconet.net Campaña A0Backdoor vía Microsoft Teams
- 24/03/2026 ciberseguridadegalicia.gal Campaña activa de suplantación mediante Microsoft Teams para acceso remoto no autorizado
Usuarios afectados por extensiones maliciosas de plataformas de inteligencia artificial
A principio del mes de marzo, los investigadores de ciberseguridad identificaron conductas sospechosas en múltiples extensiones accesibles en la Chrome Web Store. El uso creciente de plataformas como ChatGPT y DeepSeek contribuyó a que este tipo de amenazas adquiriera especial relevancia, ya que millones de usuarios compartían información sensible a través de estos servicios. La combinación de alta adopción tecnológica y escasa supervisión inicial en algunas extensiones facilitó la expansión del ataque.
Durante este periodo, se identificó que varias extensiones fraudulentas, aparentemente diseñadas para mejorar la experiencia del usuario con herramientas de inteligencia artificial, contenían código malicioso capaz de recopilar datos sin el consentimiento de estos. Estas extensiones lograron acumular cerca de 900.000 descargas, afectando tanto a usuarios particulares como a entornos corporativos, donde el riesgo era mayor debido al posible acceso a información confidencial. Según informes de Microsoft Defender y otras empresas de ciberseguridad, el malware extraía conversaciones completas, credenciales y hábitos de navegación, enviándolos a servidores externos controlados por los atacantes. Tras detectarse el problema, se procedió a la retirada de las extensiones de la tienda oficial, así como a la emisión de alertas de seguridad y recomendaciones para desinstalar cualquier software sospechoso y revisar permisos concedidos.
Actualmente, el incidente se considera contenido, aunque ha puesto de manifiesto una tendencia creciente en ataques dirigidos a servicios basados en inteligencia artificial. Las principales plataformas y empresas de seguridad han reforzado los mecanismos de detección y control, mientras que los expertos insisten en la necesidad de mejorar la concienciación de los usuarios sobre los riesgos asociados a extensiones de terceros.
- 09/03/2026 bitlifemedia.com Casi 900.000 usuarios afectados por extensiones maliciosas que roban conversaciones de ChatGPT y DeepSeek
- 09/03/2026 2ec.cl Extensiones maliciosas de Chrome roban chats de IA de 900,000 usuarios
- 30/03/2026 infobae.com No compartas datos personales con ChatGPT y Gemini: hay extensiones en Google Chrome que quieren robarlos
Cooperación internacional logra desmantelar una de las mayores redes de cibercrimen global
La operación contra LeakBase se desarrolló a comienzos de marzo de 2026 cuando autoridades internacionales ejecutaron una acción coordinada para desmantelar uno de los mayores foros de cibercrimen activos en internet. Según el comunicado oficial de Europol y del United States Department of Justice, LeakBase llevaba operando desde 2021 como una plataforma abierta donde ciberdelincuentes intercambiaban datos robados. Con más de 142.000 usuarios registrados y cientos de millones de credenciales filtradas, el foro se había convertido en un elemento clave dentro del ecosistema global del cibercrimen.
LeakBase funcionaba como un mercado negro accesible incluso fuera de la Dark Web, donde se compraban y vendían contraseñas, datos personales, información bancaria y herramientas de hacking. La operación internacional, en la que participaron fuerzas de seguridad de 14 países bajo la coordinación de Europol y el Federal Bureau of Investigation, incluyó la incautación de dominios, servidores y bases de datos completas del foro. Además, se realizaron intervenciones simultáneas con más de cien acciones, que incluyeron el arresto y la documentación de usuarios clave. Para seguir con las investigaciones, las autoridades también recolectaron evidencias como datos económicos, direcciones IP y mensajes privados. Este cierre tuvo un impacto en los operadores del foro y también en millones de posibles víctimas cuyos datos habían sido vendidos.
El desmantelamiento de LeakBase se considera un golpe significativo contra el cibercrimen internacional, al haber eliminado una de sus principales plataformas de intercambio de datos robados. No obstante, expertos y organismos advierten que el problema no desaparece con el cierre de un único foro, ya que este tipo de mercados tienden a reaparecer en otras formas o plataformas más descentralizadas. Actualmente, las autoridades continúan analizando la información incautada para identificar a más implicados y prevenir futuras actividades delictivas, mientras refuerzan la cooperación internacional.
Referencias- 04/03/2026 ecosistemastartup.com LeakBase cerrado: FBI y Europol desmantelan foro hacker
- 05/03/2026 elespanol.com La UE y EEUU cierran LeakBase, el foro de 142.000 hackers que traficaba con más de 100 millones de contraseñas
- 06/03/2026 eldiario.es Cae LeakBase, el gran foro abierto del cibercrimen donde se vendían las bases de datos y contraseñas robadas
- 06/03/2026 securitylab.lat Las agencias de seguridad cerraron LeakBase, un foro de hackers presente en 14 países, con 142.000 usuarios y millones de registros de datos robados
CyberStrikeAI emplea inteligencia artificial para lanzar ofensivas automatizadas contra sistemas Fortinet
Entre los meses de enero y marzo de 2026, comenzaron a detectarse actividades anómalas dirigidas a firewalls empresariales. Las primeras alertas surgieron a mediados de enero por parte de equipos de respuesta a incidentes, que observaron un incremento inusual de accesos no autorizados a dispositivos FortiGate. Sin embargo, no fue hasta principios de marzo de 2026 cuando investigaciones más profundas sacaron a la luz el uso de una herramienta basada en inteligencia artificial para automatizar estos ataques. Este contexto permite entender que el incidente no fue repentino, sino el resultado de una campaña progresiva y coordinada.
CyberStrikeAI es una plataforma que integra múltiples herramientas ofensivas y utiliza modelos de inteligencia artificial para automatizar todas las fases de un ciberataque, desde el reconocimiento hasta la explotación y persistencia. Los principales afectados han sido organizaciones que utilizan dispositivos FortiGate de Fortinet, con cientos de sistemas comprometidos en decenas de países. La investigación, atribuida a entidades como Team Cymru y respaldada por análisis de Amazon Threat Intelligence, identificó infraestructuras maliciosas y patrones de ataque altamente automatizados. Entre las medidas adoptadas se encuentran la emisión de alertas por parte de equipos CSIRT, la recomendación de actualizar sistemas, reforzar credenciales y monitorizar accesos, así como el despliegue de parches de seguridad. Estas acciones buscan contener la propagación y mitigar el impacto de una campaña que ha demostrado una elevada capacidad de escalabilidad.
Actualmente, el incidente continúa siendo objeto de seguimiento por parte de la comunidad de ciberseguridad, aunque no se han reportado nuevas oleadas con la misma intensidad inicial. La campaña ha servido como un punto de inflexión al evidenciar que las herramientas de inteligencia artificial pueden ser utilizadas eficazmente en ataques reales y no solo en entornos teóricos o experimentales.
Referencias- 03/03/2026 ciberplaneta.org CyberStrikeAI de código abierto se implementó en ataques a FortiGate impulsados por IA en 55 países
- 04/03/2026 ciberblog.net CyberStrikeAI: el kit de ataque con IA ligado a China que ya se usa en campañas activas
- 05/03/2026 hispasec.com CyberStrikeAI desata una ola de ciberataques automatizados contra firewalls Fortinet mediante inteligencia artificial
- 07/03/2026 cybersecurefox.com CyberStrikeAI: IA ofensiva automatiza ataques masivos contra firewalls Fortinet FortiGate
Respuesta institucional tras el incidente de datos en el Centro Oncológico de la Universidad de Hawái
El caso de la filtración de datos en el Centro Oncológico de la Universidad de Hawái se hizo público a finales de febrero de 2026, cuando se detectó actividad sospechosa en sus sistemas. La institución anunció oficialmente el ciberataque el 27 de febrero de 2026, tras completar una investigación preliminar sobre el alcance del incidente. En ese momento se confirmó que se trataba de un ataque de tipo ransomware dirigido a sistemas vinculados a investigación epidemiológica. La divulgación se produjo después de meses de análisis forense digital, lo que retrasó la notificación pública, pero permitió dimensionar mejor el impacto.
El ataque comprometió bases de datos que contenían información sensible de aproximadamente 1,2 millones de personas, incluyendo participantes en estudios y registros históricos utilizados para investigación. Entre los datos expuestos se encuentran números de la Seguridad Social, identificaciones oficiales y otra información personal procedente, en parte, de registros públicos antiguos. A pesar de la magnitud, la universidad indicó que los sistemas clínicos y los datos de pacientes en tratamiento no se vieron afectados, limitándose el incidente al ámbito de la investigación. Tras detectar la intrusión, la institución aisló los sistemas afectados, contrató expertos externos en ciberseguridad y trabajó en la recuperación de los datos, incluyendo negociaciones con los atacantes. Asimismo, se notificó a los afectados y se ofrecieron servicios gratuitos de monitorización de crédito como medida de mitigación del riesgo.
Actualmente, el incidente se encuentra en una fase de seguimiento y gestión de consecuencias, con la Universidad de Hawái reforzando sus protocolos de seguridad y colaborando con autoridades para investigar lo sucedido. Aunque no se ha confirmado públicamente el uso indebido de los datos filtrados, el volumen y la sensibilidad de la información expuesta mantienen el riesgo latente para los afectados. Además, han comenzado a surgir investigaciones legales que podrían derivar en demandas colectivas, lo que añade presión institucional para garantizar transparencia y responsabilidad.
- 02/03/2026 therecord.media University of Hawaiʻi Cancer Center confirms data leak following ransomware attack
- 03/03/2026 scworld.com Ransomware attack exposes 1.2 million University of Hawaii Cancer Center récords
- 03/03/2026 prnewswire.com DATA BREACH ALERT: Edelson Lechtzin LLP is Investigating Claims on Behalf of Persons Affected by the University of Hawaii Cancer Center Data Breach
- 28/02/2026 hawaiinewsnow.com UH Cancer Center warns of cyberattack that possibly exposed sensitive data
