--[ Anomalía #11: La cadena de suministro: el eslabón más débil ]--

¡Hola, hola!

En software (y también en hardware), la cadena de suministro (software supply chain) está formada por todos esos componentes que hacen posible que un programa funcione: librerías, dependencias, herramientas de compilación, paquetes y archivos que normalmente no escribimos nosotros. Quien haya programado alguna vez sabe que hasta el script más pequeño termina dependiendo de una librería, un compilador o una utilidad instalada previamente. Y esas dependencias, a su vez, dependen de otras. Así sucesivamente.

El resultado es que controlar todo el código que termina ejecutándose en una máquina es prácticamente imposible. Si un actor malicioso consigue comprometer uno solo de esos eslabones, puede infectar no una máquina, sino miles al mismo tiempo, o acceder a un sistema atacando primero alguno de los componentes de los que este depende.

Ejemplos no faltan. El más conocido probablemente sea SolarWinds. En lugar de atacar directamente a los clientes, los atacantes comprometieron el proceso de distribución del software de la compañía e introdujeron una puerta trasera en las actualizaciones oficiales. Cuando los clientes instalaron esas actualizaciones, el acceso privilegiado llegó por sí solo a algunas de las redes más sensibles del mundo.

Otro caso que sigue dando mucho de qué hablar es XZ Utils. Esta pequeña utilidad para comprimir y descomprimir archivos está presente en prácticamente todos los sistemas Unix y forma parte de la cadena de dependencias de proyectos tan importantes como OpenSSH. Durante años fue mantenida por una sola persona. Aprovechando ese desgaste, un atacante consiguió ganarse la confianza del mantenedor hasta obtener acceso al proyecto. El resultado fue una puerta trasera cuidadosamente escondida dentro del proceso de compilación mediante archivos binarios aparentemente inocentes, capaz de abrir la puerta a la ejecución remota de código en sistemas que utilizaran OpenSSH.

La semana pasada vimos un caso diferente, pero igual de interesante. Más de 1.600 paquetes abandonados de AUR, el repositorio comunitario de Arch Linux, fueron reclamados por actores maliciosos. Los paquetes fueron modificados para descargar dependencias maliciosas de NPM, como atomic-lockfile y js-digest, y, cuando era posible, instalar un rootkit basado en eBPF capaz de ocultar procesos, archivos y conexiones de red, complicando enormemente su detección.

Como comunidad que trabaja en seguridad digital para la sociedad civil, este tipo de incidentes merece especial atención. Sabemos que muchas personas de nuestra comunidad utilizan Arch Linux o distribuciones derivadas, y un incidente como este puede afectar directamente sus equipos sin necesidad de explotar una vulnerabilidad nueva. Vale la pena revisar los paquetes instalados y verificar que todo siga en orden.

La lección es la misma de siempre: usar repositorios oficiales siempre que sea posible, desconfiar de dependencias poco mantenidas, mantenerse al día con este tipo de incidentes y compartimentar los entornos de trabajo. Es incómodo, sí. Pero también es parte del oficio. ¯\_(ツ)_/¯

Y sin más, los dejamos con las Anomalías de estos días.

--[ Ciberespionaje ]–

México — Un servidor expuesto dejó al descubierto una campaña contra gobierno y sector financiero

CloudSEK reconstruyó una operación dirigida contra entidades gubernamentales, financieras, de transporte y telecomunicaciones en México después de encontrar expuesto el servidor desde donde operaban los atacantes. La infraestructura contenía desde herramientas propias de reconocimiento y explotación hasta webshells, túneles, exploits para Fortinet, Ivanti, Cisco y SAP, además de evidencias de robo de credenciales, bases de datos y material criptográfico. La investigación atribuye la operación con confianza media al grupo Pancho Villa (Mafia mexicana), un actor que ya había sido vinculado a múltiples filtraciones contra instituciones mexicanas durante los últimos años. Más que un incidente aislado, el servidor expuesto permitió observar cómo opera una campaña completa contra infraestructura crítica en la región.

--[ Vigilancia ]–

Cuba — Ataques DDoS contra elTOQUE durante la cobertura del peso cubano

El reporte anual de Project Galileo de Cloudflare documenta un incremento sostenido de ataques contra organizaciones de la sociedad civil y medios independientes. Entre los casos de América Latina aparece elTOQUE, medio cubano que opera desde el exilio y que sufrió ataques DDoS mientras publicaba información sobre la cotización del peso cubano frente a otras monedas. Según el reporte, los ataques buscaban afectar el acceso a esa información en un momento de alta demanda. Cloudflare también señala que los medios de comunicación siguen siendo el sector más atacado dentro de Project Galileo y que las organizaciones de la sociedad civil enfrentan intentos de explotación de vulnerabilidades y campañas de phishing con mayor frecuencia que el resto de sus clientes.

Ecuador — Los #AudiosDeLaConspiración abren preguntas sobre vigilancia y filtraciones políticas

Los llamados #AudiosDeLaConspiración dominaron la conversación política en Ecuador durante las últimas semanas. Las grabaciones, obtenidas del teléfono de un expolicía e incorporadas a un expediente judicial, fueron difundidas por el Gobierno y muestran reuniones de Rafael Correa y otros dirigentes alrededor del denominado caso Porsche. Poco después, nuevas denuncias oficiales apuntaron a una presunta “sala espejo” con acceso privilegiado al sistema de videovigilancia de Guayaquil. Algunos análisis independientes plantean la posibilidad de dispositivos comprometidos o filtraciones desde canales de comunicación privados, aunque por ahora no existe evidencia técnica pública que permita confirmar ese escenario.

Enlace 1, enlace 2, enlace 3.

--[ Filtraciones ]–

Brasil — SpaceBears publica ataque contra una firma contable

SpaceBears publicó como nueva víctima a Gerencial Contábil, una firma brasileña de contabilidad y asesoría empresarial. Según la información difundida por el grupo, la filtración incluye más de 600.000 archivos, entre ellos certificados digitales brasileños utilizados para operar portales gubernamentales, sus contraseñas y datos de clientes.

Argentina — The Gentlemen sigue creciendo

The Gentlemen volvió a aparecer en la región con la publicación de una nueva víctima en Argentina: la Institución Cervantes. Al mismo tiempo, ESET publicó un análisis sobre GentleKiller, el conjunto de herramientas que el grupo desarrolla para desactivar soluciones EDR antes del despliegue del ransomware. A diferencia de otras operaciones RaaS, The Gentlemen mantiene y distribuye estas herramientas directamente a sus afiliados, incorporando además nuevos métodos para aprovechar controladores vulnerables pocos días después de hacerse públicos. Brasil y Argentina vuelven a aparecer entre los países donde el grupo mantiene actividad, confirmando una presencia constante en América Latina.

--[ Cibercrimen ]–

Bolivia — Sitio del gobierno usado para alojar campaña de phishing contra usuarios en Reino Unido

Huntress documentó una campaña de phishing dirigida a personas en Reino Unido que utilizó un sitio del gobierno de Bolivia previamente comprometido para alojar el kit de robo de credenciales. La operación combinó esa infraestructura con un servidor comprometido desde el que se enviaron millones de correos mediante Gammadyne Mailer, una herramienta legítima de envío masivo.

Brasil / México — Campaña por WhatsApp instala “herramientas legítimas” para tomar control de Windows

Kaspersky documentó una campaña que utiliza cuentas de WhatsApp previamente comprometidas para distribuir archivos VBScript disfrazados como documentos de trabajo. Las muestras, adaptadas a distintos idiomas, fueron observadas en al menos diez países, entre ellos Brasil y México. En lugar de desplegar un RAT tradicional, la cadena termina instalando ManageEngine Endpoint Central, una herramienta legítima de administración remota utilizada para obtener control persistente sobre los equipos comprometidos. La campaña también aprovecha utilidades nativas de Windows para descargar y ejecutar los siguientes componentes, reduciendo la necesidad de incorporar herramientas propias.

Enlace en portgués.

--[ Infraestructura & Ciberseguridad ]–

Brasil — Un proveedor, múltiples víctimas

El impacto del ataque contra C\&M Software, proveedor de infraestructura para el ecosistema de Pix en Brasil, sigue generando repercusiones. Un análisis sobre el mercado de ciberseguros retoma el caso para mostrar cómo una intrusión en un solo proveedor puede convertirse en un problema para decenas de entidades al mismo tiempo. El incidente, que expuso cerca de 392 GB de información y provocó pérdidas estimadas en más de mil millones de reales, volvió a poner sobre la mesa los riesgos de depender de infraestructura compartida.

Colombia — Phishing contra la Registraduría terminó convertido en “prueba” de fraude electoral

Una investigación desmontó el análisis técnico compartido por Gustavo Petro sobre supuestas vulnerabilidades del sistema electoral. Los dominios citados corresponden a una campaña de phishing que durante 2025 imitó los portales de la cédula digital de la Registraduría mediante dominios casi idénticos, infraestructura compartida y correos con remitentes falsificados. El reporte también aclara que kamtridit[.]cz, mencionado en la discusión, es un sitio legítimo de una aplicación checa y que su dominio solo fue usado como remitente falso mediante email spoofing, una técnica conocida que no implica comprometer la infraestructura del sitio. Hasta ahora no hay evidencia técnica que conecte esa campaña con el software de escrutinio o el conteo de votos.

--[ ZOLIM - El snapshot de esta semana (26/06/2026) ]–

ZOLIM reporta 12 nuevas IPs. Cosas interesantes en este snapshot:

• Nuevos GoPhish dominan este snapshot: Brasil (4), Chile, México (2), Costa Rica (1), Argentina (1). Especialmente Costa Rica es un país de muy bajas detecciones en ZOLIM, esta es la segunda desde Febrero y repite GoPhish.
• Encontramos dos nuevas instancias de Havoc en Brasil, en el mismo servidor pero en diferentes puertos. Igualmente registramos un nuevo Sliver en el mismo país.
• Hack5 Cloud C2 vuelve a aparecer, esta vez en Chile, en el snapshot pasado había aparecido en Brasil y México. ¿Se empieza a configurar un patrón?
• Como dato curioso, no vimos actividad de Blind Eagle que casi nunca falla en nuestros snapshots ¿Qué habrá pasado?

¡Hay mucho más por explorar! Puedes consultar toda la información y explorar por país, IP, ciudad, amenaza y otros filtros en el dashboard de ZOLIM.

--[ Exfiltradaz - Snapshot del 12/06/2026 al 25/06/2026 ]–

Durante este periodo se identificaron 28 filtraciones vinculadas a 9 países. Brasil y Venezuela concentran la mayor parte de los registros observados e identificamos 6 actores nuevos.

Costa Rica aparece por primera vez en un snapshot de Exfiltradaz con una base de datos asociada a una institución educativa.

En Venezuela se registran ataques contra instituciones gubernamentales y se nota la disminución de filtraciones en Colombia, curiosamente, después de las elecciones presidenciales.

Más detalles de estas filtraciones en Exfiltradaz.