El CyberDay Chile 2026 ya tiene fecha oficial y se realizará desde la medianoche del lunes 1 de junio hasta el miércoles 3 de junio. Organizado por la Cámara de Comercio de Santiago (CCS), el evento reunirá a cientos de marcas con ofertas y descuentos en categorías como tecnología, moda, hogar y viajes, generando uno de los períodos de mayor actividad para el comercio electrónico en el país.

Sin embargo, el aumento de las compras online y de las entregas a domicilio durante este gran evento de ventas online, también abre espacio para nuevas modalidades de fraude. Investigadores de Kaspersky advierten sobre estafas que aprovechan el alto flujo de pedidos asociados a este tipo de eventos, mediante el envío de paquetes falsos a consumidores.

Según explican, los ciberdelincuentes utilizan bases de datos filtradas para enviar encomiendas que incluyen códigos QR maliciosos. Al escanearlos desde sus teléfonos móviles, las víctimas son dirigidas a sitios fraudulentos donde pueden exponer su información personal y bancaria, e incluso ser inducidos a instalar de malware en sus dispositivos.

Los delincuentes utilizan los nombres y direcciones postales registrados en estas bases de datos para crear cuentas en plataformas de comercio electrónico y hacer pedidos, aunque vinculan sus propios correos electrónicos y métodos de pago para no levantar sospechas. Al llegar, el paquete incluye una tarjeta o pegatina con un código QR y un mensaje engañoso diseñado para generar curiosidad, cómo: “¡Recibiste un regalo! Escanea para saber quién lo envió” o “Deja una reseña y obtén una tarjeta de regalo de 100 dólares”.

Sin embargo, detrás de este amigable mensaje se oculta una trampa de quishing (phishing a través de códigos QR): si la víctima escanea el código, es dirigida a un sitio web malicioso donde se la persuade a ingresar sus datos de pago o códigos de verificación de sus apps bancarias con el fin de “activar” la supuesta tarjeta de regalo. En otras ocasiones, también se pide instalar una aplicación para confirmar la recepción del paquete y conocer al remitente, pero en realidad es malware disfrazado para acceder y tomar el control del dispositivo.

El nivel de riesgo es alarmante debido al desconocimiento de este tipo de amenazas, pues de acuerdo con un estudio de Kaspersky, 41% de los chilenos no sabe que los códigos QR falsos pueden ser la llave para ataques contra sus cuentas de banca en línea. Además, el origen de esta amenaza evidencia un problema previo de privacidad: si estás recibiendo estos paquetes, significa que tu dirección y otra información de contacto se filtraron en bases de datos y están circulando en foros clandestinos.

“Durante el CyberDay, que es el evento de compras online más importante del año en Chile, aumenta considerablemente la cantidad de envíos y eso también es aprovechado por los ciberdelincuentes para intentar engañar a las personas. Hoy existen estafas donde los usuarios reciben paquetes que nunca compraron o mensajes asociados a supuestas entregas, buscando generar confianza y urgencia para que escaneen códigos QR o ingresen a enlaces maliciosos. El principal riesgo es que muchas veces las víctimas creen que se trata de un error menor o de un envío promocional, cuando en realidad sus datos personales ya están siendo utilizados para fraudes más sofisticados. En este tipo de eventos, la recomendación es desconfiar de cualquier entrega inesperada y verificar siempre la información directamente con el comercio oficial”, explica Leandro Cuozzo, investigador de seguridad en el Equipo Global de Investigación y Análisis para América Kaspersky.

Para evitar ser víctima de este tipo de fraude durante CyberDay y el resto del año, los expertos de Kaspersky recomiendan:

• Desconfía de cualquier paquete no esperado: no lo abras rápidamente. Antes revisa con cuidado las etiquetas, la empresa de mensajería y el nombre de quien lo envía. Si nadie en tu hogar realizó la compra y no esperas obsequios, considéralo como sospechoso.
• Valida la autenticación del envío: si el paquete se entregó mediante un servicio de mensajería conocido y tiene un número de rastreo, visita el sitio web oficial de la empresa e ingrésalo manualmente. Usa sus canales de contacto legítimos, como el chat o teléfono, para confirmar la información del remitente y el estado real de la entrega.
• Nunca escanees códigos QR de origen dudoso y protege tus datos: los códigos impresos en tarjetas de regalo, avisos de entrega fallida o promociones sorpresa dentro de paquetes no solicitados suelen ser trampas. Sospecha si te piden compartir información sensible, descargar aplicaciones o pagar supuestos “impuestos de aduana” o “tarifas de envío”.
• Denuncia el envío sospechoso: repórtalo ante la empresa de entrega a domicilio y las autoridades correspondientes, incluso si no te robaron dinero. Toma fotos del empaque y de la guía, y conserva el paquete físico como evidencia para futuras investigaciones.
• Utiliza una solución de seguridad robusta: contar con un software de ciberseguridad confiable en tu dispositivo móvil, como Kaspersky Premium, es vital. Estas herramientas incluyen protección contra phishing y analizan enlaces en tiempo real, advirtiéndote y bloqueando cualquier amenaza antes de que comprometa tu información personal y financiera.

La entrada Quishing en CyberDay: Kaspersky lanza alerta para Chile se publicó primero en ZonaCISO.

La norma no es nueva. La CMF la emitió el 17 de junio de 2025, hace casi un año. El plazo de transición fue diseñado para dar tiempo suficiente. La pregunta que deben responder los CISOs del sector financiero esta semana es directa: ¿está tu institución lista o no?

Qué exige la NCG 538

La autenticación reforzada implica validar la identidad del cliente mediante al menos dos factores independientes: algo que sabe (contraseña), algo que tiene (dispositivo) y algo que es (biometría — huella dactilar, reconocimiento facial, voz). Para operaciones de bajo riesgo, la combinación mínima es contraseña más dispositivo. Para transferencias de montos significativos o cambios de datos críticos, la norma empuja hacia la incorporación del factor biométrico.

Lo que la CMF deja en claro en sus considerandos es el contexto que justifica la urgencia: el fraude digital impulsado por IA está erosionando la efectividad de los mecanismos tradicionales. Los sistemas de phishing de nueva generación pueden capturar credenciales en tiempo real. Las tarjetas de coordenadas, que durante años fueron el estándar, son hoy un control insuficiente frente a ataques automatizados.

Según datos del informe de Endeavor Data Unit e Incode Technologies, Chile registró más de 27.600 millones de intentos de ciberataque en 2025, con la banca entre los principales blancos. El costo promedio de una filtración en el país alcanza US$ 3,81 millones. Ese es el escenario de riesgo que la NCG 538 busca mitigar.

La excepción que no es una salida

En marzo de 2026, la CMF puso en consulta una modificación puntual a la norma: permitir que grupos específicos de clientes con dificultades de adopción tecnológica — adultos mayores, personas con limitaciones de accesibilidad o desplazamiento — sigan utilizando tarjetas de coordenadas transitoriamente. Sin embargo, esta excepción no posterga el deadline ni reduce la obligación central. Las instituciones que opten por mantener este grupo deberán informarlo a la CMF antes del 1 de agosto, con justificación documentada, criterios objetivos y cifras exactas de los clientes incluidos.

Dicho de otro modo: la excepción genera su propia carga de cumplimiento. No es una puerta trasera para quienes no alcanzaron a implementar ARC.

Lo que el CISO debe verificar ahora

La NCG 538 no solo establece obligaciones técnicas sobre los sistemas de autenticación. También transfiere la responsabilidad a la institución financiera cuando utiliza soluciones tecnológicas de terceros para cumplir con la norma. El proveedor puede fallar — la obligación regulatoria no se delega.

Los equipos de seguridad y cumplimiento deben responder, como mínimo, tres preguntas antes del 1 de agosto: primero, ¿todos los flujos de operaciones críticas están cubiertos por ARC, o hay canales (web, app móvil, sucursal digital) que aún operan con factores simples? Segundo, ¿la arquitectura de CIAM (Customer Identity and Access Management) está preparada para escalar con la demanda de agosto, cuando la norma entre en vigencia simultáneamente para todo el mercado? Tercero, ¿los contratos con proveedores de biometría o MFA establecen SLAs alineados con los requisitos de disponibilidad que exige la CMF?

Esta regulación es también una oportunidad para revisar la estrategia de identidad más allá del cumplimiento puntual. En un sector donde la IA genera vulnerabilidades que eluden el 2FA, el piso regulatorio de la NCG 538 es exactamente eso: un piso, no un techo. Y en un ecosistema donde el fraude digital se ha industrializado, las instituciones que solo corran a cumplir el mínimo estarán rezagadas antes de que termine el año.

El 1 de agosto llegará. La pregunta es si llegará con los sistemas listos o con el equipo jurídico redactando un plan de acción.

Fuente: CMF Chile — https://www.cmfchile.cl/normativa/ncg_538_2025.pdf

La entrada Autenticación reforzada CMF: el 1 de agosto no espera se publicó primero en ZonaCISO.

Ante la exigencia de rescate, Grafana se negó a pagar, citando la postura pública del FBI y la ausencia de cualquier garantía de recuperación real. La empresa confirmó que no hay evidencia de acceso a datos de clientes. Sin embargo, el robo del código fuente completo abre una ventana de riesgo indirecta: actores motivados pueden analizar ese código en busca de vulnerabilidades que todavía no han sido reportadas ni parcheadas en versiones actualmente en producción.

Megalodon: 5.718 ataques en seis horas

El caso Grafana no es un hecho aislado: es parte de un patrón. Investigadores documentaron la campaña “Megalodon”, que inyectó workflows de GitHub Actions maliciosos en 5.561 repositorios en apenas seis horas, con un volumen de 5.718 commits automatizados. Los payloads, codificados en base64, exfiltraban secretos de CI/CD, credenciales cloud, claves SSH y tokens OIDC hacia servidores externos. La velocidad y la escala del ataque representan un nuevo umbral en la automatización de ataques a la cadena de suministro de software.

Ambos incidentes comparten una raíz técnica común: la superficie de ataque de GitHub Actions, amplificada por configuraciones permisivas del GITHUB_TOKEN, ausencia de branch protection y falta de auditoría periódica de workflows. El riesgo de programar rápido sin controles de seguridad integrados es un patrón bien documentado en la industria: la presión por velocidad en los ciclos de desarrollo convierte estas configuraciones descuidadas en vectores de ataque activos.

La cadena de suministro de software

Grafana está instalado como plataforma de observabilidad y monitoreo en bancos, telcos y operadores de servicios esenciales en Chile. El robo del código fuente no genera impacto directo sobre instalaciones on-premise, pero acorta el tiempo disponible para que los equipos apliquen parches antes de que aparezca un exploit público basado en el código sustraído. La Ley Marco de Ciberseguridad (Ley 21.663) exige a los operadores de importancia vital gestión activa de vulnerabilidades sobre componentes de terceros, incluyendo plataformas de observabilidad y monitoreo.

El riesgo de Megalodon es más inmediato. Fintechs, áreas de desarrollo de la banca y startups tecnológicas chilenas trabajan en repositorios GitHub donde conviven workflows de CI/CD con credenciales que conectan directamente a infraestructura productiva en AWS, Azure o GCP. Un token OIDC comprometido puede traducirse en acceso a producción en minutos. La decisión de Grafana de no pagar se alinea con lo que los datos del mercado latinoamericano confirman sistemáticamente: el pago no garantiza recuperación y financia la siguiente operación.

Los controles que señalan los expertos

Los investigadores identifican tres controles prioritarios para organizaciones con prácticas DevOps. Primero, revisar y limitar los permisos del GITHUB_TOKEN en todos los workflows activos, deshabilitando push automático sobre ramas protegidas. Segundo, auditar todos los workflows agregados o modificados en las últimas dos semanas y rotar cualquier secreto expuesto en entornos de CI compartidos con repositorios públicos. Tercero, habilitar branch protection con required reviews en repositorios que contengan pipelines de despliegue a producción.

El dato más importante del incidente de Grafana no es el robo: es la detección. Los canary tokens alertaron cuando el daño ya estaba hecho, pero su ausencia habría dejado el compromiso invisible por semanas. Invertir en mecanismos de detección de exfiltración —incluyendo tokens trampa en secretos críticos— es tan urgente como blindar el acceso inicial.

Fuente: The Record / The Hacker News

La entrada Cadena de suministro de software: Grafana Labs rechaza rescate se publicó primero en ZonaCISO.

El Ejecutivo había propuesto a Joselyn Biermann, Roberto Godoy y Matías Larraguibel para integrar el consejo por 6, 4 y 2 años respectivamente. La Sala votó y los números no dieron: la agencia que debe fiscalizar el cumplimiento de la nueva ley de datos personales en Chile sigue sin cabeza a días del plazo legal.

Plazo que ya venció

La normativa que crea la agencia establece que su consejo debe estar constituido seis meses antes de la entrada en vigencia de la ley, fijada para diciembre de 2026. Ese plazo se cumple a fines de mayo, es decir, prácticamente ahora. En sesión, varios senadores plantearon la urgencia de resolver la situación: o se presenta una nueva terna, o se adecúa la normativa para ganar tiempo.

El presidente de la Comisión de Constitución, senador Pedro Araya, explicó que las comisiones unidas debieron además definir el quórum aplicable, porque la ley que crea la agencia exige 2/3, pero técnicamente no rige hasta diciembre. Por mayoría, las comisiones resolvieron que el umbral exigido es, de todas formas, dos tercios. En la Sala, ese umbral tampoco se alcanzó.

Tropiezos desde el inicio

El trámite arrastró dificultades desde el comienzo. Las comisiones unidas de Constitución y Economía tuvieron que sesionar dos veces: en la primera instancia se produjo un doble empate al evaluar si los candidatos cumplían los requisitos legales. Solo en la segunda sesión hubo mayoría para establecer que los tres profesionales satisfacían las exigencias y no presentaban inhabilidades ni incompatibilidades.

El ministro de la Secretaría General de la Presidencia, José García, advirtió durante esa segunda sesión de comisiones que conformar una terna válida es excepcionalmente difícil: la ley exige dedicación exclusiva al cargo y establece una larga lista de incompatibilidades que limita drásticamente el universo de candidatos posibles.

Lo que está en juego para las empresas

La Ley 21.719 de Protección de Datos Personales, promulgada en diciembre de 2024, moderniza el marco regulatorio chileno y tiene una vacancia de dos años. Para las empresas que operan en Chile —y que llevan meses trabajando en sus procesos de adecuación—, contar con una agencia operativa con autoridades designadas es fundamental: sin regulador, los criterios de fiscalización siguen sin definirse.

El rechazo senatorial tensiona el calendario de implementación. Con el plazo de mayo ya encima y el Congreso sin fecha para resolver, las organizaciones chilenas avanzan hacia el cumplimiento de una ley cuyo organismo fiscalizador aún no tiene directivos. El Senado deberá decidir en los próximos días si el Ejecutivo presenta una nueva propuesta o si se modifica la normativa para extender el plazo. Cualquiera de las dos salidas requiere velocidad.

Fuente: Senado de Chile — https://www.senado.cl/comunicaciones/noticias/desestiman-propuesta-de-consejeros-para-la-agencia-de-proteccion-de-datos

La entrada Chile sin regulador de datos: Senado rechaza terna presidencial se publicó primero en ZonaCISO.

En el marco del Día Internacional contra el Ransomware, que se conmemora el 12 de mayo, Kaspersky presentó un informe con una visión general de las tendencias que marcaron 2025 y un análisis de lo que se espera en el panorama de amenazas para 2026. La investigación revela que luego de América Latina, Asia-Pacífico es la región más afectada con 8% de las empresas vulneradas por ataques de ransomware, seguida por África con 7.62%, Medio Oriente con 7.27%, la Comunidad de Estados Independientes con 5.91% y Europa con 3.82% de instituciones perjudicadas.

A pesar de una ligera disminución en la proporción total de organizaciones afectadas por ransomware en 2025 en comparación con 2024, los usuarios siguen enfrentando un riesgo significativo, ya que los atacantes están industrializando sus operaciones, automatizando métodos de intrusión y enfocándose cada vez más en robar y filtrar datos sensibles, en lugar de limitarse a cifrar sistemas.

Una de las tendencias observadas en 2025 es el continuo aumento de los llamados “killers” de EDR (Endpoint Detection and Response), herramientas diseñadas específicamente para desactivar las soluciones de seguridad en los dispositivos antes de ejecutar el malware. Estos “EDR killers” se han convertido en un componente estándar de los ataques, lo que refleja intrusiones más deliberadas y metódicas.

Los investigadores también señalaron la aparición de familias de ransomware que adoptan estándares de criptografía postcuántica, una tendencia que Kaspersky ya había anticipado previamente. Este desarrollo indica un cambio preocupante hacia métodos de cifrado que podrían resistir futuros intentos de descifrado mediante computación cuántica.

El papel de los Initial Access Brokers (IABs) —intermediarios del cibercrimen que venden accesos corporativos previamente comprometidos a través de foros clandestinos y plataformas de mensajería— está en aumento. Los portales RDWeb (sitios web que permiten controlar dispositivos de forma remota) se están convirtiendo en objetivos cada vez más frecuentes, a medida que los grupos de ransomware continúan industrializando sus ataques mediante modelos de “Access-as-a-Service”. Como resultado, la barrera de entrada para lanzar ataques de ransomware sigue disminuyendo.

Grupos activos

Entre los grupos de ransomware más activos en 2025, con base en datos de sitios de filtración de información, Kaspersky identificó a Qilin como el operador dominante bajo el modelo de ransomware-as-a-service (RaaS), tras la interrupción de las operaciones de RansomHub. Clop se ubicó como el segundo grupo más activo, seguido por Akira en tercer lugar.

Proporción de víctimas por grupo de ransomware según sus sitios de filtración de datos (DLS), como porcentaje del total de víctimas reportadas por todos los grupos en 2025.

Si bien varios de los principales grupos de ransomware cesaron operaciones en 2025, continúan surgiendo nuevos actores. De cara a 2026, The Gentlemen se perfila como uno de los grupos emergentes más relevantes debido a su rápido crecimiento, operaciones estructuradas y un enfoque cada vez mayor en la extorsión centrada en datos. Es posible que este grupo incluya atacantes previamente vinculados a otras operaciones importantes de ransomware.

The Gentlemen ejemplifica un cambio más amplio en el ecosistema del ransomware, alejándose de campañas caóticas y de alto ruido hacia modelos de extorsión más escalables y con lógica empresarial, enfocados principalmente en el robo de información sensible, así como en ejercer presión reputacional y regulatoria, en lugar de depender exclusivamente del cifrado disruptivo de archivos.

“El ransomware ha evolucionado hasta convertirse en un ecosistema altamente organizado, enfocado en monetizar datos robados, desactivar defensas y escalar ataques con una eficiencia similar a la de un negocio. Los actores de amenazas se están adaptando rápidamente, utilizando herramientas legítimas como armas, explotando infraestructuras de acceso remoto e incluso adoptando criptografía postcuántica mucho antes de lo esperado. El propósito del Día Mundial contra el Ransomware es generar conciencia global sobre las amenazas que representa este tipo de ataques y promover mejores prácticas de prevención y respuesta. Por ello, instamos a empresas y todos los usuarios a mantenerse protegidos, implementar defensas en capas, invertir en respaldos de información y fortalecer sus niveles de cultura digital para hacer frente a estos ataques”, comenta Fabio Assolini, investigador líder en Seguridad para América Latina en Kaspersky.

En el Día Mundial contra el Ransomware y más allá, los expertos de Kaspersky recomiendan a las organizaciones seguir estas buenas prácticas para protegerse frente a este tipo de ataques:

• Activar la protección contra ransomware en todos los endpoints. Existe una herramienta gratuita, Kaspersky Anti-Ransomware Tool for Business, que protege computadoras y servidores frente a ransomware y otros tipos de malware, previene exploits y es compatible con soluciones de seguridad ya instaladas.
• Mantener siempre actualizado el software en todos los dispositivos que se utilicen para evitar que los atacantes exploten vulnerabilidades y se infiltren en su red.
• Enfocar su estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos hacia internet. Es importanteprestar atención al tráfico saliente para identificar posibles conexiones de ciberdelincuentes a su red; así como configurar copias de seguridad fuera de línea que no puedan ser manipuladas por intrusos y asegurarse de poder acceder a ellas rápidamente cuando sea necesario o en caso de emergencia.
• Las empresas de sectores no industriales pueden protegerse implementando soluciones anti-APT y EDR, que permiten capacidades avanzadas para la detección de amenazas, la investigación y la remediación oportuna de incidentes. Asimismo, las organizaciones pueden proporcionar a sus equipos SOC acceso a la información de inteligencia de amenazas más reciente y fortalecer continuamente sus habilidades mediante capacitación profesional. Todo lo anterior está disponible dentro de Kaspersky Next.

El reporte completo puede encontrarlo en Securelist.

La entrada Kaspersky: ransomware lidera ataques en América Latina se publicó primero en ZonaCISO.

El ataque fue frenado antes de ejecutarse. La intervención proactiva de GTIG —que coordinó la divulgación responsable con el proveedor afectado— habría impedido la campaña planificada. Pero el hallazgo tiene un peso que va más allá del incidente puntual: la IA ya está siendo usada para descubrir y armar vulnerabilidades de día cero, no como hipótesis futura sino como práctica documentada en el ecosistema del cibercrimen organizado.

La atribución al uso de IA no es directa sino de alta confianza. GTIG señala que, aunque no cree que Gemini haya sido utilizado, la estructura del código delata la autoría de un modelo de lenguaje: comentarios educativos que explican el código paso a paso, un puntaje CVSS alucinado incluido como si fuera real, y un estilo Python “de manual de texto” altamente característico de los datos de entrenamiento de los grandes modelos de lenguaje.

Día cero que burla el 2FA

Esta vulnerabilidad de día cero que elude el 2FA no sigue los patrones que detectan las herramientas de análisis tradicionales. No hay corrupción de memoria ni sanitización de entradas deficiente. El fallo es un error semántico de lógica de alto nivel: el desarrollador codificó de forma fija una excepción de confianza que contradice la lógica de aplicación del doble factor en el resto del sistema. La evasión además requiere credenciales válidas del usuario objetivo, lo que la sitúa en cadenas de ataque más sofisticadas.

Las herramientas de análisis estático están optimizadas para detectar crashes y flujos de datos. Esta clase de fallo no produce ninguno. Los modelos de lenguaje de frontera, en cambio, realizan razonamiento contextual: leen la intención del desarrollador y correlacionan la lógica de aplicación del 2FA con las contradicciones de sus excepciones codificadas. Esa capacidad de identificar lo que está “estratégicamente roto pero funcionalmente correcto” es exactamente el diferenciador que hace a la IA especialmente peligrosa para descubrir este tipo de fallas.

Chile y la Ley 21.663 ante este riesgo

En Chile, el 2FA es un control de seguridad explícitamente recomendado bajo los marcos normativos derivados de la Ley Marco de Ciberseguridad (Ley 21.663) y forma parte de los controles mínimos esperados por la CMF para entidades del sector financiero. El hallazgo de GTIG no invalida el 2FA como control, pero obliga a reconsiderar su jerarquía dentro de la arquitectura de identidad y su suficiencia como única barrera para accesos críticos.

El CSIRT Nacional y la ANCI no han emitido una alerta específica sobre este vector al cierre de este artículo. Sin embargo, el reporte tiene implicancias directas para cualquier organización chilena que utilice herramientas de administración de sistemas open source con acceso expuesto a internet, categoría frecuente en entornos de TI corporativos y de gobierno.

La recomendación no es desactivar el 2FA, sino entender sus límites y complementarlo. Los estándares FIDO2/WebAuthn y las passkeys son resistentes estructuralmente a este tipo de vulnerabilidad de día cero porque la clave de autenticación nunca abandona el dispositivo del usuario y no depende de lógica de servidor que pueda contener excepciones codificadas.

Tres acciones concretas: revisar qué herramientas de administración de sistemas están expuestas a internet con 2FA como único control de acceso; verificar el estado de actualizaciones en herramientas open source de administración de servidores; evaluar la migración a FIDO2 para los accesos más críticos. La vulnerabilidad fue frenada esta vez. La capacidad ya existe.

Fuente: Google Threat Intelligence Group — https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access

La entrada GTIG: IA crea vulnerabilidad día cero que elude el 2FA se publicó primero en ZonaCISO.

El phishing cumplimiento regulatorio llegó disfrazado de comunicaciones internas de conducta corporativa. Los correos usaban nombres como “Internal Regulatory COC” y “Workforce Communications”, con asuntos como “Internal case log issued under conduct policy”. Para reforzar credibilidad, los mensajes incluían avisos de que el contenido había sido “revisado y aprobado por un canal interno autorizado” y usaban el logo de Paubox —un servicio legítimo de comunicaciones conformes con HIPAA— creando la apariencia de un proceso oficial de cumplimiento de salud.

Cómo opera el ataque AiTM

La cadena de ataque tenía cinco etapas diseñadas para filtrar defensas automatizadas y presionar al usuario. El correo incluía un PDF con el “expediente del caso de conducta” y un enlace de “Revisar materiales del caso”. Ese enlace llevaba a una página con un CAPTCHA de Cloudflare, seguido de una página intermedia que solicitaba autenticación, un segundo CAPTCHA de imágenes, y finalmente la pantalla de inicio de sesión real de Microsoft.

Esa pantalla era legítima —y ese es el punto crítico. Los atacantes no montaron una página falsa de login: instalaron un proxy entre el usuario y Microsoft. Cuando la víctima completaba su autenticación con MFA incluido, el atacante capturaba el token de sesión resultante en tiempo real, obteniendo acceso directo a la cuenta sin necesitar la contraseña ni el segundo factor. El MFA por SMS, TOTP o notificación push no protege contra esta clase de ataque.

Phishing cumplimiento regulatorio en Chile

Los sectores más afectados por la campaña son de alta relevancia en Chile: salud y ciencias de la vida (19% de los objetivos), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%). Las clínicas, isapres, bancos y consultoras chilenas con infraestructura Microsoft 365 son exactamente el perfil que esta campaña apuntó.

La dimensión local tiene un agravante específico. La implementación de la Ley Marco de Ciberseguridad (Ley 21.663) y la Ley 21.719 de Datos Personales está generando un volumen inusual de comunicaciones de cumplimiento hacia ejecutivos, equipos legales y responsables de seguridad. Ese contexto crea condiciones ideales para que un correo que simule una “revisión interna de conducta regulatoria” no active alarmas inmediatas, incluso en personas entrenadas.

El dato técnico más importante de esta campaña es que el MFA estándar no es suficiente frente a ataques AiTM. La única defensa efectiva es el MFA resistente a phishing: llaves de seguridad FIDO2, Windows Hello o passkeys, que vinculan criptográficamente la autenticación al dominio legítimo y no pueden ser interceptadas por un proxy. Las organizaciones que aún usan SMS u OTP deben asumir que ese control no las protege de esta clase de ataque.

La segunda medida urgente es incluir el escenario de “revisión de conducta corporativa” en los programas de simulación de phishing internos. Si los colaboradores no han visto un correo que llegue de “Workforce Communications” con un PDF adjunto y múltiples etapas de verificación, no están calibrados para detectarlo. Esta campaña —multicapa, con infraestructura legítima y urgencia emocional— no es una excepción: es el nuevo estándar de sofisticación.

Fuente: Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/

La entrada Microsoft alerta de phishing de “cumplimiento regulatorio” se publicó primero en ZonaCISO.

La vulnerabilidad cPanel hosting impacta directamente la capa de administración de los servidores web. cPanel es el software de gestión de hosting más utilizado a nivel global, presente en millones de servidores que alojan sitios de empresas, instituciones y organismos públicos. Un atacante que logre explotar la falla puede comprometer no solo un sitio, sino todos los sitios alojados en ese servidor: datos, credenciales y configuraciones quedan expuestos de forma simultánea.

Cómo operan los atacantes

La falla permite la ejecución remota de código sin necesidad de credenciales válidas. Los atacantes primero realizan un escaneo masivo para identificar servidores vulnerables expuestos en internet y luego aplican fuerza bruta sobre los paneles de administración. Una vez dentro, el paso típico es la instalación de webshells para mantener acceso persistente, la exfiltración de bases de datos o el uso del servidor comprometido como plataforma para ataques secundarios.

El volumen de 44.000 IPs involucradas en esta vulnerabilidad crítica en cPanel apunta a una operación organizada, no a ataques oportunistas aislados. Los investigadores detectaron que la actividad maliciosa se intensificó en los días posteriores a la divulgación pública de la CVE: un patrón habitual donde los grupos de amenaza priorizan explotar la ventana de tiempo en que la falla es conocida pero los parches aún no se han aplicado masivamente.

Vulnerabilidad cPanel hosting en Chile

En Chile, cPanel tiene penetración relevante en el mercado de hosting compartido y administrado. Proveedores locales alojan en estos servidores sitios de pymes, municipios, instituciones educacionales y servicios públicos que generalmente no cuentan con equipos de seguridad propios. La dependencia en la infraestructura del proveedor para estas organizaciones es total: si el servidor está comprometido, ellas también lo están, sin saberlo.

La dimensión regulatoria es igualmente relevante. Bajo la Ley Marco de Ciberseguridad (Ley 21.663), los operadores de servicios esenciales tienen la obligación de reportar incidentes que afecten la disponibilidad o integridad de sus sistemas a la ANCI. Un compromiso masivo de servidores cPanel que alojen infraestructura crítica chilena podría activar este mecanismo y generar obligaciones inmediatas de notificación. Los CISOs de organizaciones con hosting tercerizado deben verificar el estado de sus proveedores esta semana.

La prioridad inmediata es identificar si la organización o sus proveedores utilizan cPanel. El fabricante ya publicó el parche para la CVE-2026-41940 y su aplicación es urgente. Los administradores de sistemas deben revisar logs de acceso en busca de patrones de fuerza bruta y confirmar si algún servidor pudo haberse comprometido antes de la actualización.

Para quienes subcontratan el hosting, el paso correcto es contactar al proveedor y exigir confirmación escrita del estado de actualización de sus servidores. Si la respuesta no llega en menos de 48 horas, eso es información sobre las capacidades reales de respuesta del proveedor. Esta situación también es una oportunidad para revisar contratos de servicio y verificar que incluyan obligaciones explícitas de seguridad y tiempos de respuesta ante vulnerabilidades críticas.

Fuente: The Hacker News — https://thehackernews.com/2026/05/critical-cpanel-vulnerability.html

La entrada Vulnerabilidad crítica en cPanel: 44.000 IPs comprometidas se publicó primero en ZonaCISO.

Según el estudio Reporte Global sobre el Panorama de Amenazas 2026 de FortiGuard Labs, la unidad de inteligencia de Fortinet, Chile registró 8,8 billones de intentos de ciberataques durante 2025, posicionándose como el cuarto país más afectado de América Latina, detrás de Brasil, México y Colombia. De ese total, 5 billones correspondieron a escaneos activos. La cifra contrasta radicalmente con los 27.600 millones de intentos registrados en el país durante 2024, lo que evidencia una escalada sin precedentes en la actividad maliciosa dirigida al mercado local.

El informe, elaborado exclusivamente a partir de telemetría propia y analizado bajo el marco MITRE ATT&CK, sitúa a Chile dentro de un panorama regional que totaliza 843,3 billones de intentos de ciberataques en Latinoamérica durante 2025. El reporte documenta además un cambio estructural en la naturaleza del cibercrimen: los actores maliciosos ya no operan mediante campañas aisladas, sino como ecosistemas organizados que cubren el ciclo completo de una amenaza, apoyados crecientemente en agentes de IA.

Ransomware: 389% más víctimas

Uno de los hallazgos más críticos del reporte es el crecimiento exponencial de las víctimas de ransomware. La inteligencia de FortiRecon identificó 7.831 víctimas confirmadas a nivel global en 2025, frente a aproximadamente 1.600 del año anterior, lo que representa un incremento del 389% año con año. Este salto está impulsado en parte por la disponibilidad masiva de kits de cibercrimen basados en inteligencia artificial como WormGPT, FraudGPT e IA de fuerza bruta, comercializados como servicios en la dark web.

Los sectores más afectados fueron manufactura con 1.284 casos, servicios financieros con 824 y comercio con 682. Geográficamente, Estados Unidos concentró 3.381 víctimas, seguido de Canadá con 374 y Alemania con 291.

La IA reduce el tiempo de explotación

El reporte de FortiGuard Labs documenta una reducción drástica en el tiempo de explotación (TTE) de vulnerabilidades. Reportes anteriores marcaban un TTE de 4,7 días; hoy, la inteligencia de FortiGuard registra un TTE de 24 a 48 horas para ataques críticos. Un caso ilustrativo: los intentos de explotación activos de la vulnerabilidad React2Shell se produjeron a horas de su revelación pública.

Esta aceleración está vinculada directamente al uso de agentes de IA por parte de los threat actors, que automatizan reconocimiento, explotación y ejecución. En paralelo, la telemetría de FortiGate IPS detectó una reducción del 22% en ataques de fuerza bruta, señal no de menor actividad, sino de mayor precisión: menos intentos contra objetivos mejor seleccionados. En términos absolutos, esto equivale a cerca de 67,6 billones de eventos de fuerza bruta globales, con aproximadamente 185 millones de intentos diarios.

Para Derek Manky, VP Global de Inteligencia de Amenazas en FortiGuard Labs, el mensaje para los equipos de defensa es directo: “Los ciber defensores deben evolucionar las operaciones de ciberseguridad hacia una defensa industrializada y adoptar herramientas impulsadas por IA que respondan a la misma velocidad de las amenazas modernas.” En un entorno donde el margen entre la exposición de una vulnerabilidad y su explotación activa se mide en horas, la velocidad de detección y respuesta deja de ser una ventaja competitiva para convertirse en un requisito operacional.

Fuente: Fortinet / FortiGuard Labs

La entrada Fortinet: Chile registra 8,8 billones de ciberataques en 2025 se publicó primero en ZonaCISO.

De acuerdo datos de la encuesta CISO, realizada por Kaspersky, el 70% de las organizaciones en Chile afirma haber observado un aumento significativo en el número de ataques en los últimos dos años, mientras que el 78% señala que estas amenazas también se han vuelto más sofisticadas.

Este escenario genera preocupación entre los líderes de seguridad: el 88% de los encuestados en el país considera que aún queda “algo” o “mucho” por hacer para garantizar la protección de sistemas y datos en los próximos dos años, y el 48% cree que ese esfuerzo será considerable.

Según expertos de Kaspersky, la evolución del panorama de amenazas refleja un cambio en el comportamiento de los ciberdelincuentes, quienes han comenzado a combinar el uso de herramientas legítimas en distintas etapas de los ataques para dificultar su detección, explotar vulnerabilidades en sistemas y ejecutar fraudes potenciados por inteligencia artificial, dejando el uso de malware para las fases finales.

Entre los principales riesgos que enfrentan las organizaciones en nuestro país se encuentran las brechas de seguridad en entornos de nube (42%) y los ataques basados en inteligencia artificial (42%), junto con amenazas como el phishing y la ingeniería social (34%), el ransomware (30%), los ataques a la cadena de suministro (22%), los riesgos internos (28%) y las amenazas persistentes avanzadas (APT) (28%). Estos vectores comparten su capacidad de adaptarse rápidamente a las defensas organizacionales y explotar múltiples puntos de ataque de forma simultánea, lo que dificulta su detección en etapas tempranas.

Además de la creciente complejidad de los ataques, los equipos de seguridad enfrentan retos operativos internos para responder con rapidez a los incidentes. La encuesta en Chile muestra que los procesos más demorados son el análisis de causa raíz, citado por el 38% de las empresas, la identificación de amenazas en tiempo real (36%), la coordinación de la respuesta entre equipos (32%), la contención y mitigación de incidentes (20%) y la investigación de alertas de seguridad (10%).

“Este escenario muestra que el desafío ya no es solo enfrentar más ataques, sino hacerlo con estructuras de seguridad que muchas veces no están preparadas para responder con la velocidad que hoy se requiere. La falta de integración y la dependencia de procesos manuales generan puntos ciegos que retrasan la detección y amplían el margen de acción de los atacantes dentro de las organizaciones”, señala Andrea Fernández, Gerente General para SOLA en Kaspersky.

Ante este contexto, los especialistas de Kaspersky destacan tres desafíos clave. El primero es mejorar la visibilidad sobre ataques en curso o en etapas iniciales, integrando inteligencia de amenazas de fuentes confiables que permita identificar campañas, tácticas e indicadores de compromiso antes de que impacten a la organización.

El segundo desafío es la detección de amenazas avanzadas dentro del entorno corporativo, ya que los ataques modernos utilizan múltiples etapas y técnicas de evasión. Para reducir este riesgo, los expertos recomiendan adoptar tecnologías como EDR y XDR, que emplean correlación automatizada y análisis de comportamiento para identificar actividades sospechosas en tiempo real.

Por último, muchas organizaciones enfrentan procesos de respuesta fragmentados y lentos, lo que prolonga el tiempo necesario para contener un incidente. En este sentido, revisar los flujos operativos e incorporar automatización e integración entre herramientas de seguridad puede reducir significativamente el tiempo entre la detección y la contención de un ataque.

“Cerrar esta brecha implica avanzar hacia modelos de seguridad más conectados, donde la tecnología, los procesos y las capacidades del equipo trabajen de forma coordinada. En un entorno cada vez más complejo, la capacidad de anticipar y responder de manera ágil es lo que marca la diferencia en la protección del negocio”, concluye Fernández.

Para conocer más sobre la investigación de Kaspersky, visite la página especial y descargue el informe Encuesta CISO 2025.

La entrada Ciberataques en Chile aumentan 70% según Kaspersky se publicó primero en ZonaCISO.