Cuando el código se vuelve contra ti: la nueva anatomía de las amenazas digitales

Hay un momento, casi imperceptible, en que la tecnología deja de ser una herramienta y se convierte en un cómplice silencioso del caos. Esta semana, desde los sótanos del ciberespacio hasta las salas de juntas de las corporaciones más emblemáticas, el mensaje es uno solo: nadie está exento. Y no, no es alarmismo barato; es la crónica de una transformación silenciosa que está redefiniendo lo que significa estar protegido.

Globel México ha rastreado los incidentes más relevantes de las últimas horas para ofrecerte una narrativa que no solo informe, sino que te prepare. Porque en este nuevo ecosistema, la inteligencia artificial y la creatividad de los atacantes han encontrado un terreno fértil para innovar. Y nosotros, los defensores, debemos hacer lo mismo.

El arte de la persistencia: cuando un clic nunca es solo un clic

Imagina que abres un archivo WinRAR perfectamente inocente, uno que promete ser un informe de reconocimiento ucraniano. Suena a operación de espionaje de alto nivel, ¿verdad? Pues bien, esa es exactamente la trampa. Una vulnerabilidad que ya tiene nombre —CVE-2025-8088— está siendo explotada para convertir ese simple acto en una puerta trasera persistente. Los atacantes han aprendido a esconder sus atajos en las entrañas del sistema usando NTFS Alternate Data Streams, una técnica tan elegante como aterradora: el malware se ejecuta cada vez que inicias sesión, sin dejar rastro visible.

Lo fascinante —y perturbador— es la sofisticación del cargador PowerShell que viene después: relleno de funciones basura, identificadores aleatorios y un código que se decodifica directamente en memoria. Todo para robar credenciales de Chromium, Firefox, documentos y configuraciones de VPN. Este no es un ataque de oportunidad; es una operación quirúrgica que apunta a la persistencia y al robo de identidad. La infraestructura, alojada en servicios como evoxt[.]com, demuestra que los operadores —posiblemente vinculados al grupo UAC-0226— están jugando en las Grandes Ligas del espionaje digital.

Fotos que mienten: el phishing que se disfraza de postal

Si creías que los correos con adjuntos sospechosos eran cosa del pasado, la campaña "Photo ZIP" te hará cambiar de opinión. Dirigida al sector hotelero —una industria que maneja datos sensibles como pasaportes y tarjetas de crédito—, esta operación utiliza archivos ZIP con nombres de fotos que en realidad esconden una cadena de infección multicapa. Los atacantes han tenido el cuidado de redactar sus señuelos en japonés, danés y neerlandés, demostrando una adaptación cultural que pocas veces vemos en campañas masivas.

Lo que hace único a este ataque es su evolución: desde abril de 2026, ha pasado por siete fases de ofuscación diferentes, según reporta Microsoft. La cadena comienza con un atajo, sigue con una descarga de PowerShell, compila dinámicamente una DLL en .NET y finalmente despliega un implant Node.js que se instala en el registro para persistir. Todo esto, comunicándose por puertos no estándar hacia servidores en safedocphoto[.]info. La sofisticación es tal que parece más un experimento de laboratorio que una campaña de crimen organizado.

El resultado: hoteles y agencias de viaje en Europa y Asia expuestos a un acceso no autorizado prolongado. Y mientras los huéspedes disfrutan de sus vacaciones, sus datos personales viajan sin billete de vuelta.

StealC: el ladrón silencioso que ya infectó 385,000 equipos

No todos los ataques requieren una ingeniería inversa digna de una agencia de inteligencia. A veces, la efectividad está en la escala. StealC es la prueba viviente de que el volumen sigue siendo un vector letal. Con aproximadamente 385,000 computadoras Windows comprometidas a nivel global —incluyendo 3,000 en los Países Bajos y 8,200 en Alemania—, este infostealer ha logrado acumular la escalofriante cifra de 9.9 millones de credenciales únicas y 9.6 millones de hashes de contraseñas.

La distribución es tan mundana como efectiva: a través del cargador Amadey, distribuido mediante phishing y ataques de estilo ClickFix. El arsenal de datos robados incluye cuentas de Gmail (1.5 millones), Hotmail, Outlook, Yahoo e iCloud. La magnitud del daño potencial es sencillamente devastadora. Las autoridades ya han instado a cambiar contraseñas y activar la autenticación de dos factores, pero la pregunta incómoda sigue en el aire: ¿cuántos de esos 385,000 usuarios ya han sido víctimas de un takeover total de su identidad digital?

El talón de Aquiles de las herramientas de IA: Amazon Q bajo la lupa

La ironía no tiene límites. Una de las herramientas diseñadas para acelerar el desarrollo con inteligencia artificial resultó tener una vulnerabilidad que podía convertir cualquier repositorio de código en una trampa mortal. La extensión Amazon Q Developer para Visual Studio Code contenía una falla crítica que permitía a un atacante ejecutar código arbitrario con solo enviar un proyecto malicioso a un desarrollador desprevenido.

El problema, descubierto por los investigadores de Wiz, radica en la carga automática de configuraciones del Model Context Protocol (MCP) desde los archivos del espacio de trabajo, sin el consentimiento explícito del usuario. Esto significa que, durante una revisión de código rutinaria, un desarrollador podía exponer credenciales en la nube, claves API y accesos internos completos. El riesgo sistémico es enorme: un ataque que comienza en una laptop de desarrollo puede escalar rápidamente a todo el entorno cloud de una organización.

La buena noticia es que la versión 1.65.0 del servidor de lenguaje ya corrige el problema. La mala, que esta vulnerabilidad es un recordatorio de que la comodidad nunca debe estar por encima de la seguridad, especialmente cuando hablamos de herramientas que tienen acceso directo a nuestros activos más valiosos.

La cadena de suministro industrial en la mira: PTC Windchill

Si hay un sector que no puede permitirse un ciberataque, es el de la fabricación industrial. Y sin embargo, allí está la vulnerabilidad CVE-2026-12569, afectando a PTC Windchill y FlexPLM, sistemas que gestionan el ciclo de vida de productos en cadenas de suministro enteras. La falla permite a un atacante remoto no autenticado ejecutar código arbitrario, tomar el control y —como ya se ha reportado— desplegar webshells persistentes que permiten el robo continuo de datos.

La urgencia es máxima: la agencia federal CISA ya agregó esta vulnerabilidad a su catálogo de exploits conocidos, y las agencias gubernamentales tienen hasta el 28 de junio para aplicar los parches. La policía alemana, incluso, emitió advertencias proactivas a los clientes de PTC antes de que la vulnerabilidad se hiciera pública. Esto no es un simulacro: los atacantes ya están en movimiento, y el tiempo de reacción se mide en horas, no en días.

Actores de amenaza: los nombres detrás del caos

Turla y el backdoor STOCKSTAY

El grupo de ciberespionaje ruso Turla ha vuelto a las andadas, esta vez con una herramienta .NET bautizada como STOCKSTAY. Diseñado para infiltrarse en redes gubernamentales y militares —con un enfoque particular en Ucrania—, este backdoor opera en dos módulos: STOCKSTAY.STOCKMARKET que orquesta la actividad, y STOCKSTAY.STOCKBROKER que maneja las comunicaciones sobre conexiones WebSocket seguras. La sofisticación es evidente: codificación Windows-1251, claves ambientales y superposición de código con el toolkit KAZUAR. El equipo de inteligencia de amenazas de Google confirma que la herramienta está en desarrollo desde diciembre de 2022. Los defensores ya tienen reglas YARA para detectarlo, pero el mensaje es claro: la persistencia de los actores patrocinados por Estados no conoce descanso.

ShinyHunters: 26 millones de registros de Madison Square Garden

El grupo de extorsión de datos ShinyHunters ha vuelto a hacer de las suyas. Esta vez, el objetivo fue nada menos que Madison Square Garden, el icónico recinto neoyorquino. Tras no cumplirse una exigencia de rescate, publicaron un conjunto de datos de 42 GB que contiene 26 millones de registros, incluyendo 10 millones de direcciones de correo electrónico, nombres, direcciones físicas y números de teléfono. Las implicaciones van más allá del bochorno corporativo: cada una de esas direcciones de correo ahora es un objetivo potencial para estafas de phishing dirigidas y robos de identidad. Ya se han iniciado acciones legales en Estados Unidos, y los datos han sido añadidos a Have I Been Pwned. Para los profesionales de la seguridad, este es un recordatorio brutal de que ninguna organización es demasiado grande para caer.

Akira ransomware: el giro inesperado del hipervisor

Cuando creíamos que ya lo habíamos visto todo, llega Akira ransomware con una jugada maestra: accedieron a un hipervisor, crearon una máquina virtual completamente nueva y desde allí lanzaron su ataque de cifrado. La estrategia es diabólicamente inteligente: al operar desde una VM recién creada, los atacantes complican enormemente la respuesta a incidentes, ya que todas las actividades maliciosas ocurren en un contenedor que parece legítimo. Durante el reconocimiento, utilizaron programas tan mundanos como el Bloc de Notas para revisar archivos de Active Directory (AdUsers.txt, AdComp.txt) y exfiltraron datos usando herramientas como WinSCP y Easyupload[.]io. Huntress, la firma que documentó el ataque, reportó una progresión rapidísima que incluyó intentos de deshabilitar Microsoft Defender y el uso de WinRAR para preparar los datos. La lección: nunca subestimes la creatividad de un atacante cuando se trata de evadir la detección.

Preguntas Frecuentes que debes conocer

• ¿Qué es CVE-2025-8088? Es la vulnerabilidad en WinRAR que permite a los atacantes escribir un acceso directo de inicio que se ejecuta cada vez que el usuario inicia sesión, usando flujos de datos alternativos de NTFS para ocultarse.
• ¿Qué es Photo ZIP? Una campaña de phishing dirigida al sector hotelero que utiliza archivos ZIP con temática de fotos para desplegar un implant Node.js mediante una cadena de múltiples fases de ofuscación.
• ¿Qué es StealC? Un infostealer que ha infectado 385,000 equipos Windows a nivel global, robando 9.9 millones de credenciales únicas, incluyendo cuentas de Gmail, Hotmail y Outlook.
• ¿Qué es CVE-2026-12569? Una vulnerabilidad de ejecución remota de código en PTC Windchill y FlexPLM que está siendo explotada activamente para desplegar webshells y tomar el control de sistemas de gestión del ciclo de vida de productos.
• ¿Qué es Turla? Un grupo de ciberespionaje vinculado a Rusia que ha desplegado el backdoor STOCKSTAY para infiltrarse en redes gubernamentales y militares, especialmente en Ucrania.
• ¿Qué es ShinyHunters? Un grupo de extorsión de datos que publicó 26 millones de registros de Madison Square Garden después de que no se pagara un rescate.
• ¿Qué es Akira ransomware? Una operación de extorsión que utiliza un método inusual: crear una máquina virtual dentro de un hipervisor para lanzar sus ataques de cifrado desde un entorno aislado y difícil de rastrear.

El futuro es ahora: la vigilancia como única constante

Al final del día, lo que estas historias nos cuentan es que la ciberseguridad ya no es un destino, sino un proceso continuo de adaptación. La inteligencia artificial está siendo utilizada tanto por defensores como por atacantes, y la línea entre la innovación y la vulnerabilidad se vuelve cada vez más difusa. En Globel México, creemos firmemente que la información es el mejor escudo. Mantenerse actualizado, cuestionar lo establecido y actuar con rapidez no son opciones; son la única manera de navegar en este océano digital turbulento.

La pregunta no es si serás atacado, sino cómo responderás cuando eso suceda. Y la respuesta empieza hoy, con cada decisión informada que tomes.