Author: Concienciacion CSIRT-CV

En el ámbito de la ciberseguridad y la protección de la ciudadanía frente a fraudes digitales, es fundamental extremar la precaución ante campañas de suplantación de identidad que utilizan organismos oficiales como reclamo. En este sentido, queremos informar de la detección reciente de notificaciones falsas que suplantan a la Agencia Estatal de Administración Tributaria (AEAT) y a la Dirección Electrónica Habilitada Única (DEHú).

A través de esta campaña, los atacantes envían correos electrónicos fraudulentos que simulan ser comunicaciones oficiales, informando al destinatario de la existencia de una supuesta notificación pendiente relacionada con trámites fiscales o administrativos. Estos mensajes incluyen enlaces que redirigen a páginas web falsas diseñadas para imitar el aspecto de los portales legítimos de la AEAT o de la DEHú, con el objetivo de robar credenciales de acceso.

El impacto potencial de este tipo de fraude puede ser elevado, ya que la obtención de credenciales de servicios oficiales puede permitir a los ciberdelincuentes acceder a información fiscal sensible, realizar trámites en nombre del usuario o cometer fraudes adicionales. Además, tras introducir los datos, el usuario suele ser redirigido a la página legítima para dificultar la detección del engaño.

Aunque este tipo de campañas no explotan vulnerabilidades técnicas, sí se apoyan en técnicas de ingeniería social altamente efectivas, aprovechando la confianza de los usuarios en organismos públicos y la urgencia asociada a posibles notificaciones administrativas.

Desde CSIRT-CV recomendamos no acceder a enlaces incluidos en correos electrónicos sospechosos y verificar siempre las notificaciones accediendo directamente a las webs oficiales. En caso de haber facilitado datos, se recomienda cambiar inmediatamente las credenciales afectadas y contactar con los organismos correspondientes.

Mantener una actitud preventiva, desconfiar de comunicaciones inesperadas y seguir las recomendaciones de seguridad es clave para reducir el riesgo frente a este tipo de amenazas.

Alertas de seguridad

A continuación, destacamos tres de las alertas de seguridad más destacadas del último mes y que puedes encontrar en nuestro portal de CSIRT-CV :

• Múltiples vulnerabilidades en Chrome y Firefox: Google Chrome y Mozilla Firefox publican actualizaciones de seguridad que corrigen numerosas vulnerabilidades críticas en ambos navegadores.
• Vulnerabilidad corregida en Adobe: Adobe publica un boletín de seguridad donde corrige una vulnerabilidad crítica; se recomienda actualizar inmediatamente a las versiones corregidas ColdFusion (2025 Update 6 o 2023 Update 18).
• Parche de seguridad enero Microsoft: en su boletín de enero, Microsoft corrige hasta 114 vulnerabilidades, incluidas tres recientemente descubiertas. Estas vulnerabilidades abarcan desde divulgación de información sensible hasta errores que podrían permitir la ejecución de código remota.

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271).

Múltiples vulnerabilidades críticas en VMware Tanzu

En el ámbito de la seguridad de las infraestructuras tecnológicas, es fundamental mantener los sistemas actualizados y correctamente gestionados. En este sentido, queremos informar de la publicación reciente de múltiples avisos de seguridad que afectan a la plataforma VMware Tanzu, una solución ampliamente utilizada en entornos de contenedores y aplicaciones cloud.

Broadcom ha publicado 16 avisos de seguridad, de los cuales 3 han sido catalogados como críticos, corrigiendo un elevado número de vulnerabilidades que podrían suponer un riesgo significativo para las organizaciones que utilicen estas tecnologías. La explotación de estas vulnerabilidades podría permitir, entre otras acciones, provocar denegaciones de servicio o incluso la ejecución de código remoto en sistemas vulnerables.

Los productos afectados incluyen, entre otros, VMware Tanzu Platform, Tanzu Kubernetes Runtime, VMware Tanzu Application Service y VMware Tanzu Kubernetes Grid Integrated Edition, por lo que el impacto potencial puede ser elevado en entornos que basan su operativa en estas soluciones.

Aunque en el momento de publicación del aviso no se ha confirmado la explotación activa de las vulnerabilidades, desde CSIRT-CV recomendamos aplicar las actualizaciones publicadas por el fabricante lo antes posible, especialmente en aquellos sistemas expuestos o críticos para la organización.

 

Mantener las plataformas actualizadas y seguir las recomendaciones de seguridad de los fabricantes es una de las medidas más eficaces para reducir riesgos y fortalecer la resiliencia frente a posibles ciberataques.

 

Alertas de seguridad

A continuación, destacamos tres de las alertas de seguridad más destacadas del último mes y que puedes encontrar en nuestro portal de CSIRT-CV :

• Múltiples vulnerabilidades en Chrome y Firefox: Google Chrome y Mozilla Firefox publican actualizaciones de seguridad que corrigen numerosas vulnerabilidades críticas en ambos navegadores.
• Vulnerabilidad corregida en Adobe: Adobe publica un boletín de seguridad donde corrige una vulnerabilidad crítica; se recomienda actualizar inmediatamente a las versiones corregidas ColdFusion (2025 Update 6 o 2023 Update 18).
• Parche de seguridad enero Microsoft: en su boletín de enero, Microsoft corrige hasta 114 vulnerabilidades, incluidas tres recientemente descubiertas. Estas vulnerabilidades abarcan desde divulgación de información sensible hasta errores que podrían permitir la ejecución de código remota.

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271).

La vulnerabilitat més greu identificada afecta els encaminadors multimèdia Zoom Node (MMR) i podria permetre a un participant d’una reunió executar el codi remot en el sistema afectat. Esta vulnerabilitat ha sigut catalogada com a crítica a causa del seu elevat impacte potencial sobre la seguretat de les infraestructures afectades.

 

Anàlisi 

Vulnerabilitat crítica en Zoom CVE-2026-22844 CVSS: 9,9 (crítica)

La vulnerabilitat afecta els Zoom Node Media Routers (MMR) per un problema d’injecció de comandaments, que pot ser explotat per un participant d’una reunió amb accés a la xarxa.

Un atacant podria aprofitar esta fallada per a executar el codi remot en l’MMR i comprometre la confidencialitat, la integritat i la disponibilitat del sistema. La vulnerabilitat va ser descoberta internament per l’equip de Seguretat Ofensiva de Zoom.

No hi ha evidència, fins al moment, d’explotació activa a gran escala.

Recursos afectats:

• Versions del mòdul MMR de Zoom Node Meetings Hybrid (ZMH) anteriors a la 5.2.1716.0
• Versions del mòdul MMR de Zoom Node Meeting Connector (MC) anteriors a la 5.2.1716.0

Zoom recomana actualitzar a la versió més recent disponible per a mitigar el risc.

 

Recomanacions:

Per a mitigar el risc associat a esta vulnerabilitat recomanem:

• Actualitzar Zoom Node MMR a la versió 5.2.1716.0 o superior.

 

Referències: 

• https://thehackernews.com/2026/01/zoom-and-gitlab-release-security.htm
• https://www.bleepingcomputer.com/news/security/gitlab-warns-of-high-severity-2fa-bypass-denial-of-service-flaws/
• https://securityaffairs.com/187165/security/zoom-fixed-critical-node-multimedia-routers-flaw.html

 

Extensions malicioses de Google Chrome utilitzades per al robatori d’informació corporativa

S’han identificat múltiples extensions malicioses per a Google Chrome orientades al robatori d’informació sensible en entorns empresarials. Estes extensions estan sent utilitzades com a vector d’atac per a comprometre comptes corporatius i accedir de forma no autoritzada a plataformes crítiques de gestió de recursos humans i finances, com Workday, NetSuite i SuccessFactors.

Les extensions es presenten com a ferramentes aparentment legítimes, però una vegada instal·lades permeten als atacants segrestar sessions actives i exfiltrar informació confidencial sense necessitat de disposar de credencials addicionals. Este tipus d’amenaces reforça la tendència creixent de l’abús del navegador com a superfície d’atac en organitzacions amb un alt ús d’aplicacions SaaS.

Anàlisi

Les extensions malicioses detectades incorporen funcionalitats avançades que permeten als atacants comprometre la seguretat dels entorns corporatius. Entre les capacitats observades s’inclouen:

• Robatori de tokens d’autenticació i cookies de sessió, que faciliten el segrest de comptes corporatius.
• Accés persistent a aplicacions empresarials sense requerir autenticació addicional.
• Manipulació del DOM del navegador, que permet ocultar alertes o desactivar controls de seguretat visibles per a l’usuari.
•  Exfiltració d’informació cap a infraestructures controlades pels atacants.

Durant l’anàlisi es van identificar comunicacions amb els següents dominis utilitzats com a servidors de comandament i control:

•  api. databycloud[.] com
•  api.software- access[.] com

Estes extensions estan dissenyades específicament per a entorns empresarials, on l’impacte del compromís pot ser elevat a causa de l’accés directe a informació financera, de recursos humans i operativa.

Recursos afectats

Les extensions malicioses identificades inclouen, entre altres:

•  DataByCloud Access
•  Tool Access 11
• Software Access

El risc és especialment alt en organitzacions que no disposen de polítiques restrictives sobre extensions de navegador o de mecanismes de monitoratge específics del comportament del navegador.

Impacte

El segrest de comptes corporatius mitjançant esta tipus d’extensions pot derivar en:

• Fraus interns.
• Filtració d’informació confidencial.
• Accés no autoritzat a nòmines i dades sensibles d’empleats.
• Operacions no autoritzades en plataformes empresarials crítiques.
• Compromís de la confidencialitat, integritat i disponibilitat de la informació.

L’impacte potencial s’incrementa en organitzacions amb baixa conscienciació del personal i sense controls tècnics sobre l’ús d’extensions.

Recomanacions

Atesa la naturalesa d’esta amenaça, es recomana adoptar les mesures de seguretat següents:

• Auditar periòdicament les extensions instal·lades en els navegadors corporatius.
• Aplicar polítiques de restricció i control de programari, limitant la instal·lació d’extensions no autoritzades.
• Utilitzar solucions EDR/ XDR amb visibilitat del navegador.
• Reforçar la conscienciació del personal sobre els riscos associats a extensions aparentment legítimes.

En cas d’haver-se detectat alguna d’estes extensions en l’entorn:

• Eliminar immediatament l’extensió maliciosa.
• Restablir les contrasenyes dels comptes potencialment compromesos.
• Revisar accessos i activitats sospitoses.
• Verificar l’estat i la integritat dels comptes afectats.

Referències

https://unaaldia.hispasec.com/2026/01/alerta-por-extensiones-de-chrome-que-roban-informacion-sensible-de-empresas.html