Cisco parchea RCE crítico en ISE, Coolify expone control total en servidores self-hosted y WhatsApp propaga Astaroth en Brasil
Resumen del día
Cisco lanzó un parche urgente para un RCE crítico en Identity Services Engine tras explotación activa.
Coolify confirmó 11 fallas críticas que permiten control total de servidores en despliegues self-hosted.
Un gusano en WhatsApp propaga el troyano bancario Astaroth y acelera fraudes financieros en Brasil.
CISA incorpora vulnerabilidades activamente explotadas en Microsoft Office y HPE OneView al catálogo KEV
La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) agregó dos vulnerabilidades con explotación activa a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Las fallas impactan en Microsoft Office y HPE OneView, y obligan a las agencias federales a aplicar parches antes del 28 de enero de 2026 para reducir riesgos críticos.La inclusión en KEV indica evidencia de explotación real y eleva la prioridad de remediación para entornos productivos, especialmente en infraestructuras híbridas y de misión crítica.Detalles técnicos de las vulnerabilidades
HPE OneView: ejecución remota con control total* CVE-2025-37164* Producto: HPE OneView (versiones anteriores a 11.00)
* Tipo: Inyección de código
* Severidad: CVSS 10.0 (crítica)
* Impacto:...
OpenAI anunció ChatGPT Health, una variante especializada de su chatbot diseñada para usos médicos seguros y regulados. La propuesta pone el foco en la privacidad de los datos de salud, mediante entornos aislados que impiden que la información sensible sea reutilizada en el entrenamiento de modelos generales.El lanzamiento apunta a cubrir necesidades clínicas y administrativas bajo marcos regulatorios estrictos, reduciendo el riesgo de filtraciones y uso indebido de datos.
Características principalesAislamiento de datos: Segmentación estricta para evitar la mezcla con flujos públicos.
Cifrado de extremo a extremo: Protección de la información médica durante el procesamiento.
Cumplimiento normativo: Arquitectura alineada con regulaciones de privacidad sanitaria...
Coolify reveló 11 vulnerabilidades críticas en sus instalaciones self-hosted que, al encadenarse, permiten a atacantes remotos no autenticados tomar control total del servidor. El impacto afecta directamente a organizaciones que utilizan Coolify para orquestar y desplegar aplicaciones en infraestructura propia.Estas fallas convierten al panel de gestión en un punto de compromiso de alto valor dentro de pipelines modernos de despliegue.
Riesgos de las 11 fallas críticasLas vulnerabilidades abarcan:
Autenticación insuficiente
Escalamiento de privilegios
Ejecución remota de código (RCE)
Combinadas, facilitan el acceso administrador al panel de Coolify. Desde allí, un atacante puede:
Desplegar contenedores maliciosos
Exfiltrar secretos y variables de...
Investigadores de ciberseguridad identificaron NodeCordRAT, un nuevo RAT (Remote Access Trojan) distribuido a través de tres paquetes maliciosos de npm con temática de Bitcoin. Antes de ser eliminados en noviembre de 2025, los paquetes acumularon más de 3.400 descargas, exponiendo a desarrolladores y proyectos del ecosistema cripto.
Detalles técnicos del malwareNodeCordRAT se propaga mediante los siguientes paquetes en npm:
bitcoin-main-lib (≈2.300 descargas)
bitcoin-lib-js (≈193 descargas)
bip40 (≈970 descargas)
Los paquetes fueron subidos por el usuario “wenmoonx” e imitaban repositorios legítimos del proyecto bitcoinjs.Cadena de infección
Los scripts postinstall.cjs en bitcoin-main-lib y bitcoin-lib-js instalan bip40.
bip40 despliega el...
Cisco publicó un parche crítico para una vulnerabilidad de alta severidad en Cisco Identity Services Engine (ISE) luego de la difusión pública de un exploit proof-of-concept (PoC) que facilita su explotación remota.
La falla, identificada como CVE-2025-XXXX con CVSS 9.8, permite a atacantes no autenticados ejecutar código arbitrario en instancias ISE expuestas.
Detalles técnicos de la vulnerabilidadComponente afectado: Módulo de autenticación de ISE
Versiones vulnerables: 3.1 y anteriores
Vector: Solicitudes HTTP manipuladas contra el portal sponsor/guest
Tipo de fallo: Desbordamiento de búfer
Impacto: RCE sin credenciales
El PoC, publicado por investigadores independientes el 5 de enero de 2026, demuestra ejecución remota de comandos apuntando a...
Cisco Talos atribuyó al actor de amenazas UAT-7290, vinculado a China, una campaña sostenida de espionaje cibernético contra proveedores de telecomunicaciones en Asia del Sur desde al menos 2022, con expansión reciente a Europa del Sudeste. La operación combina malware para Linux y el uso de nodos ORB (Operational Relay Box) para ocultar y escalar accesos.
Detalles de la campañaUAT-7290 ejecuta reconocimiento técnico exhaustivo antes de atacar y utiliza múltiples vectores para el acceso inicial:
Explotación de vulnerabilidades 1-day en dispositivos edge.
Fuerza bruta SSH para credenciales débiles o reutilizadas.
Tooling Linux observado
RushDrop: dropper inicial.
DriveSwitch: ejecutor para activar payloads.
SilentRaid: implante modular con capacidades...
Un gusano de mensajería en WhatsApp está difundiendo el troyano bancario Astaroth en Brasil mediante mensajes automáticos a contactos, aprovechando la confianza en la plataforma para escalar rápidamente entre usuarios Android. La campaña reactiva técnicas vistas en 2019, ahora reforzadas con ofuscación avanzada para evadir defensas modernas.
Mecánica de propagaciónEl gusano se activa al recibir un mensaje con enlace camuflado como oferta urgente (p. ej., “¡Actualiza tu cuenta ahora!”).
El enlace descarga un APK malicioso o induce sideloading, instalando Astaroth.
Una vez activo, autoenvía el mismo enlace a todos los contactos del usuario infectado, generando propagación exponencial.
La cadena evade filtros de spam porque los mensajes provienen de...
