Lunes 07:00 - 17:00 Martes 07:00 - 17:00 Miércoles 07:00 - 17:00 Jueves 07:00 - 17:00 Viernes 07:00 - 17:00

WhiteJaguars

Name: WhiteJaguars
Address: VMG Business Center, Escazú, CR
Telephone: +50625055402
Price range: Not Applicable

Casa
Costa Rica
Escazú
WhiteJaguars

Si actualmente tiene el reto de iniciar a definir la estructura de Ciber Seguridad de su organizaci?

WHITEJAGUARS® inició en 2010 como el resultado de la unión de varios profesionales de ciber seguridad con amplia experiencia laborando para empresas internacionales, nuestra forma de trabajar está orientada a los modelos recientes de consultoría basados en apoyo, dinamismo y colaboración. No somos una empresa de corbata y agendas ejecutivas, somos una empresa de acciones, métricas, objetivos y resultados. Nuestra misión es cumplir sus objetivos de la forma más eficiente y menos dolorosa posible.

05/03/2026

Explotación activa de vulnerabilidades en Cisco Catalyst SD-WAN Manager

Cisco ha confirmado la explotación activa de dos vulnerabilidades que afectan a Catalyst SD-WAN Manager (antes conocido como vManage). Estas fallas permiten desde la sobrescritura arbitraria de archivos por atacantes autenticados con credenciales de solo lectura y acceso API, hasta la divulgación de información sensible que podría facilitar la elevación de privilegios dentro del entorno afectado.

Características técnicas clave

CVE-2026-20122 — sobrescritura arbitraria de archivos (CVSS 7.1): permite a un atacante autenticado con permisos limitados sobrescribir archivos locales críticos, lo que puede derivar en manipulación de la configuración o en la inserción de código malicioso.

CVE-2026-20128 — divulgación de información (CVSS 5.5): posibilita que un atacante autenticado obtenga información sensible asociada al agente de recolección de datos (DCA), abriendo la puerta a movimientos laterales o escalada de privilegios.

Explotación confirmada: la empresa ha reconocido actividad maliciosa en curso aprovechando ambas vulnerabilidades, lo que refuerza la urgencia de aplicar parches inmediatos y reforzar controles de acceso en entornos productivos.

Impacto potencial
La explotación de estas fallas puede comprometer la integridad y confidencialidad de los sistemas de gestión SD-WAN, afectando directamente la orquestación de red, exponiendo credenciales y configuraciones sensibles, y permitiendo persistencia o movimiento lateral dentro de la infraestructura.

Acciones urgentes y recomendaciones

Actualizar de inmediato: aplicar las versiones corregidas publicadas por Cisco para eliminar el vector de ataque.

Restringir el acceso administrativo: limitar el acceso al panel de gestión solo a redes internas o canales seguros, deshabilitando servicios innecesarios.

Revisar credenciales y permisos: cambiar contraseñas, revocar accesos no utilizados y aplicar autenticación multifactor en cuentas con acceso API o privilegios elevados.

Monitoreo y detección: habilitar auditorías y alertas sobre sobrescritura de archivos, accesos API inusuales y comportamiento anómalo de los agentes de monitoreo.

Segmentación y aislamiento: proteger el entorno SD-WAN detrás de firewalls, evitando la exposición directa del servicio a Internet.

Por qué actuar ahora
La explotación activa de estas vulnerabilidades representa un riesgo elevado para la infraestructura crítica de red. Dada su función central en la gestión de comunicaciones empresariales, cualquier compromiso en el SD-WAN Manager puede tener consecuencias operativas significativas. Aplicar las actualizaciones y fortalecer la seguridad de acceso es esencial para mitigar el impacto y prevenir intrusiones adicionales.

05/03/2026

Nueva campaña con BadPaw y MeowMeow atribuida a APT28

Investigadores han identificado una campaña dirigida contra entidades ucranianas que utiliza un vector de phishing sofisticado para distribuir un loader .NET denominado BadPaw, el cual descarga y despliega un backdoor avanzado conocido como MeowMeow. La operación comienza con un correo de spear-phishing que contiene un enlace a un archivo ZIP; al extraerlo, el fichero aparente (.html) es en realidad un HTA malicioso que muestra un señuelo en ucraniano y, de forma silenciosa, lanza la cadena de infección.

Características técnicas clave

Vector de entrega: spear-phishing mediante correos altamente personalizados, que emplean dominios o servicios locales para aumentar la credibilidad. El archivo ZIP incluido contiene un HTA disfrazado para ocultar la ejecución maliciosa.

Loader BadPaw: cargador basado en .NET, ofuscado para evadir detección, cuya función es contactar con los servidores de comando y control (C2) y recuperar las etapas posteriores del ataque. Facilita la entrega y ejecución de payloads adicionales en sistemas comprometidos.

Backdoor MeowMeow: malware posterior con capacidad de manipular el sistema de archivos, ejecutar comandos remotos y mantener persistencia. Implementa técnicas anti-análisis y detección de entornos virtualizados para evitar la investigación.

Evasión y control: la cadena realiza comprobaciones del entorno antes de continuar, reduce la detección por motores de seguridad y usa infraestructura distribuida para sus comunicaciones, dificultando la atribución.

Atribución y motivación
La operación se vincula con APT28 (Fancy Bear), un grupo de origen ruso conocido por campañas de ciberespionaje contra gobiernos, medios y entidades estratégicas. El uso de señuelos en idioma local y temáticas relacionadas con trámites fronterizos indica un claro objetivo de inteligencia geopolítica.

Impacto observado
La campaña comprometió múltiples equipos y redes, combinando un loader modular con un backdoor diseñado para el control remoto y la exfiltración de datos. Este enfoque permite a los atacantes mantener persistencia prolongada, moverse lateralmente dentro de las redes comprometidas y extraer información sensible.

Recomendaciones inmediatas

Evitar la interacción con archivos sospechosos: reforzar políticas de validación de correos y bloqueo de archivos comprimidos o ejecutables no verificados.

Monitoreo y detección: revisar registros de red y endpoints en busca de descargas inusuales, ejecuciones de HTA, procesos .NET anómalos y conexiones salientes no autorizadas.

Aislamiento y respuesta: ante la detección de compromiso, aislar los sistemas afectados, conservar evidencias y realizar análisis forense de memoria y red.

Actualizaciones y endurecimiento: aplicar parches recientes, fortalecer controles de autenticación y restringir privilegios administrativos.

Concienciación del personal: capacitar a los usuarios sobre técnicas de spear-phishing localizadas y señales de ingeniería social dirigida.

04/03/2026

Alerta: herramienta open‑source CyberStrikeAI usada en ataques IA‑asistidos contra FortiGate

Un actor de amenazas ha aprovechado una plataforma de pruebas de seguridad de código abierto basada en inteligencia artificial, CyberStrikeAI, para orquestar una campaña masiva que ha atacado dispositivos Fortinet FortiGate en múltiples regiones. Esta herramienta, desarrollada en Go y diseñada como un marco ofensivo de IA que integra más de 100 utilidades de seguridad para descubrimiento de vulnerabilidades, análisis de cadenas de ataque y visualización de resultados, ha permitido automatizar la identificación y explotación de equipos expuestos a escala.

Características técnicas clave

Plataforma IA‑nativa y modular: CyberStrikeAI combina capacidades de recuperación de conocimiento, orquestación de herramientas y uso de modelos generativos para enriquecer procesos de reconocimiento y explotación, acelerando y automatizando etapas del ataque que antes requerían intervención humana.

Integración con servicios generativos: Los operadores emplearon servicios de IA generativa para construir y priorizar cadenas de ataque, aumentando la eficacia del escaneo y la explotación automatizada.

Operación distribuida y escala: Se observaron múltiples instancias del framework ejecutándose desde diferentes ubicaciones geográficas, sugiriendo una campaña coordinada con infraestructura dispersa.

Impacto observado

La campaña comprometió cientos de appliances FortiGate, explotando configuraciones y superficies de ataque accesibles desde Internet. El uso de una herramienta automatizada y asistida por IA permitió a los atacantes aumentar el ritmo y el volumen de escaneo/explotación, elevando el riesgo para organizaciones con gateways expuestos.

Riesgos concretos

Compromiso de dispositivos perimetrales que actúan como puertas de entrada a redes internas: robo de credenciales, movimiento lateral, persistencia y exfiltración de datos.

Capacidad de los atacantes para replicar y adaptar tácticas rápidamente gracias al motor IA y a la colección de utilidades integradas en la plataforma.

Detección y atribución más difíciles por la naturaleza automatizada y distribuida de la infraestructura atacante.

Recomendaciones inmediatas (prioritarias)

Inventario y segmentación: Identifique y liste todas las appliances FortiGate expuestas al borde de la red; segmente y minimice el acceso administrativo remoto.

Aplicar parches y hardening: Aplique las actualizaciones y mitigaciones oficiales de FortiGate de inmediato; valide configuraciones de acceso, autenticación multifactor y credenciales por defecto.

Bloqueo y monitoreo: Bloquee rangos IP y servidores asociados a la actividad detectada donde sea posible; active detección para patrones de escaneo masivo, intentos de explotación y comandos inusuales.

Revisión de logs y análisis básico: Revise registros de administración, conexiones SSH/SSL‑VPN y cambios de configuración recientes; preserve evidencias para análisis y respuesta si se detecta actividad sospechosa.

Pruebas controladas y concienciación: Realice escaneos internos controlados para verificar la superficie de exposición y capacite a los equipos de operaciones sobre indicadores de compromiso relacionados con automatización e IA.

Conclusión
La aparición de herramientas ofensivas de código abierto con capacidad de orquestación y apoyo de modelos generativos marca un avance significativo en la sofisticación y velocidad de los ataques. Las organizaciones deben priorizar la visibilidad sobre sus perímetros, acelerar parcheo y aplicar controles de acceso robustos para mitigar el riesgo que representan campañas automatizadas como la que empleó CyberStrikeAI.

04/03/2026

CISA lista CVE-2026-22719 (VMware Aria Operations) como explotada en la naturaleza

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) una falla de alta gravedad que afecta a VMware Aria Operations. La vulnerabilidad, registrada como CVE-2026-22719 y con puntuación CVSS 8.1, es una inyección de comandos que podría permitir a un atacante no autenticado ejecutar comandos arbitrarios y, en determinadas condiciones (por ejemplo, durante una migración asistida por soporte), conducir a ejecución remota de código en los sistemas afectados.

Impacto y alcance

Productos afectados: versiones de VMware Aria Operations y componentes relacionados. La ejecución remota de comandos en estos entornos puede exponer secretos, comprometer datos operativos y permitir la escalada a accesos administrativos en infraestructuras críticas.

Explotación activa: la inclusión en el catálogo KEV responde a reportes de explotación en la naturaleza, lo que aumenta la urgencia de la mitigación especialmente en entornos empresariales y gubernamentales.

Técnica de la vulnerabilidad (resumen)
CVE-2026-22719 se clasifica como command injection: una entrada controlada por el atacante puede ser interpretada por el sistema como comandos del sistema operativo o del entorno de ejecución, permitiendo la ejecución de instrucciones no previstas sin autenticación previa. Esto hace la vulnerabilidad especialmente peligrosa en procesos automatizados como migraciones asistidas por soporte, donde el servicio puede ejecutar acciones con privilegios elevados.

Mitigación y recomendaciones inmediatas

Aplicar parches: actualizar Aria Operations a las versiones remediadas publicadas por el proveedor lo antes posible.

Workaround temporal: si no es posible parchear de inmediato, implementar las mitigaciones temporales recomendadas por el fabricante y validarlas en un entorno controlado antes de su despliegue.

Monitoreo y detección: activar alertas en registros y sistemas de detección para identificar tráfico y comandos inusuales durante procesos de migración o administración remota; revisar accesos, ejecución de shells y conexiones externas inesperadas.

Inventario y priorización: localizar todas las instancias de Aria Operations en el inventario (on-prem y appliances) y priorizar la remediación en entornos de mayor impacto (producción, datos sensibles, entornos regulados).

Por qué actuar ahora
La combinación de una vulnerabilidad de inyección de comandos, la posibilidad de ejecución remota y la confirmación de explotación activa incrementan notablemente el riesgo de compromisos graves en plataformas de gestión y observabilidad como Aria Operations. Organizaciones que gestionan migraciones, integraciones o soporte remoto deben priorizar estas acciones para minimizar riesgos operativos y de seguridad.

26/02/2026

🚨 Vulnerabilidad crítica en Cisco SD-WAN (CVE-2026-20127) — Explotación activa y acción urgente requerida

🔍 Resumen

Una falla zero-day de máxima severidad (CVE-2026-20127, CVSS 10.0) afecta a los controladores Cisco Catalyst SD-WAN (antes vSmart) y Catalyst SD-WAN Manager (antes vManage).
Esta vulnerabilidad permite a un atacante remoto y no autenticado eludir los mecanismos de autenticación y obtener privilegios administrativos en los sistemas afectados.
Se ha confirmado su explotación activa, lo que eleva el riesgo de compromiso total en infraestructuras críticas.

⚙️ Detalles técnicos

Tipo de vulnerabilidad: Bypass de autenticación en el mecanismo de peering del controlador SD-WAN.

Vector de ataque: Peticiones HTTP especialmente diseñadas que permiten acceso remoto sin credenciales.

Impacto: Control administrativo total del sistema, posibilidad de escalar privilegios a root, agregar peers maliciosos y mantener persistencia dentro de la red.

Alcance: Afecta a todas las versiones vulnerables de Catalyst SD-WAN Controller y Manager expuestas a la red.

⚠️ ¿Por qué es crítico?

Puntuación CVSS 10.0, el nivel más alto de severidad.

Se ha confirmado su explotación en entornos reales desde 2023.

Los controladores SD-WAN gestionan conectividad y políticas de red: su compromiso puede derivar en espionaje, interrupción de servicios o manipulación del tráfico corporativo.

💣 Impacto potencial

Acceso administrativo remoto a los controladores.

Inserción de peers o rutas maliciosas que permitan interceptar o redirigir tráfico.

Persistencia prolongada en la infraestructura de red y movimiento lateral hacia sistemas críticos.

Riesgo elevado para proveedores de servicios, entornos gubernamentales y grandes corporaciones.

🛡️ Recomendaciones urgentes

Aplique los parches oficiales publicados por Cisco de forma inmediata en todas las instancias afectadas y verifique su correcta instalación.

Aísle los controladores expuestos a Internet: limite su acceso exclusivamente a redes internas o de gestión seguras, utilizando VPN o canales dedicados.

Revise configuraciones y logs: busque peers no autorizados, rutas nuevas o cuentas administrativas creadas recientemente.

Monitoree señales de compromiso: conexiones salientes inusuales, comandos ejecutados con privilegios elevados o creación de interfaces y peers no reconocidos.

Realice un análisis forense en caso de sospecha de explotación: preserve evidencias y contenga los sistemas antes de restaurarlos.

Refuerce detección y alertas: implemente reglas en IDS/IPS, EDR y SIEM para identificar intentos de explotación y tráfico anómalo.

Coordine acciones de respuesta con el equipo de redes y seguridad hasta confirmar que todos los controladores están parcheados y seguros.

26/02/2026

🚨 Campaña dirigida: repositorios Next.js maliciosos usados como cebo en entrevistas laborales

Se ha detectado una campaña que utiliza repositorios Next.js falsos presentados como pruebas técnicas o proyectos de entrevista para engañar a desarrolladores y lograr la ejecución de código malicioso en sus máquinas. Los atacantes incrustan tareas y scripts que, al abrir el proyecto (por ejemplo, al usar VS Code), descargan y ejecutan etapas posteriores diseñadas para robar secretos, establecer persistencia y abrir canales de mando y control.

🔍 ¿Cómo funciona la campaña?

Cebo: se envía al objetivo un repositorio que parece un proyecto legítimo de Next.js o una prueba técnica de entrevista. Al abrir el proyecto en el entorno de desarrollo, se activan triggers diseñados para ejecutar acciones.

Vector de ejecución: los repos incluyen tareas maliciosas de VS Code (por ejemplo, con runOn: "folderOpen") o scripts postinstall que descargan y ejecutan cargas útiles remotas; en algunos casos se ha detectado paquetes npm maliciosos que actúan como descargadores.

Payloads y persistencia: los atacantes emplean malware en JavaScript, droppers que instalan runtimes y componentes adicionales, y técnicas para mantener persistencia o para exfiltrar secretos desde entornos de desarrollo y CI.

⚠️ Impacto y riesgos principales

Ejecución remota de código en estaciones de trabajo de desarrolladores con el simple hecho de abrir un repositorio o proyecto en VS Code.

Robo de secretos y credenciales (tokens, claves, variables de entorno y credenciales CI/CD) que pueden comprometer pipelines, despliegues y repositorios.

Puerta de entrada a la cadena de suministro: desde la estación del desarrollador el atacante puede inyectar código en repositorios, contaminar paquetes y propagar la amenaza a producción.

🔎 Indicadores y señales de compromiso a vigilar

Existencia de tareas de VS Code con triggers folderOpen o comandos inusuales en .vscode/tasks.json.

Scripts postinstall o archivos de setup que descargan binarios, runtimes o ejecutan código remoto.

Conexiones salientes no esperadas desde máquinas de desarrollo hacia gists, plataformas de despliegue o dominios acortados.

Aparición de procesos inesperados (instalación o ejecución de Node.js, Python empaquetado, o procesos que procesan código ofuscado).

🛡️ Recomendaciones

No abra proyectos ni ejecute tareas de repositorios sin revisar primero el contenido: inspeccione .vscode/tasks.json, package.json y cualquier script antes de ejecutar.

Ejecute entornos de desarrollo en máquinas aisladas o sandboxes (VMs o contenedores efímeros) para evitar que una ejecución comprometa el equipo principal.

Desactive triggers automáticos (p. ej. runOn: "folderOpen") en VS Code y configure políticas que eviten la ejecución automática de tareas o scripts.

Revise y proteja scripts postinstall en CI: evite ejecutar postinstall o scripts no verificados en runners compartidos; use runners efímeros y no privilegiados.

Proteja secretos: use gestores de secretos (vaults), limite tokens en entornos locales y evite almacenar claves en archivos o variables accesibles por procesos secundarios.

Monitoreo y detección: implemente alertas para descargas desde gists, plataformas de despliegue o dominios sospechosos, y para ejecuciones de procesos que instalan runtimes en estaciones de desarrollo.

Capacitación y comunicación: informe a reclutadores internos y equipos técnicos sobre esta técnica; advierta a desarrolladores sobre pruebas técnicas recibidas por canales externos.

24/02/2026

🚨 Campaña de APT28 (Operation MacroMaze) usa documentos con macros y webhooks para espiar y exfiltrar datos

Resumen:
Un actor vinculado a APT28 desplegó una campaña dirigida contra entidades en Europa Occidental y Central, denominada Operation MacroMaze. La operación, activa entre septiembre de 2025 y enero de 2026, utiliza documentos señuelo con macros que forzan solicitudes a servicios de webhook para confirmar apertura, ejecutar cargas útiles y exfiltrar resultados mediante navegadores ejecutados en modo oculto.

🔍 Cómo funciona la cadena de ataque

Spear-phishing inicial: Correos dirigidos contienen documentos maliciosos que, al abrirse, realizan una solicitud a un servicio webhook (similar a un tracking pixel) para confirmar la interacción.

Dropper y macro: Las macros en VBScript actúan como droppers, ejecutando comandos que crean persistencia (tareas programadas) y lanzan la etapa siguiente.

Evasión mediante navegador oculto: Un payload HTML codificado se renderiza en el navegador (modo headless o moviendo la ventana fuera de pantalla), ejecuta comandos y envía la salida al servidor webhook, completando la exfiltración sin dejar trazas obvias en disco.

🛠 Técnicas y tácticas destacadas

Uso de servicios legítimos de webhook como infraestructura de mando y control y para exfiltración.

Evasión mediante ejecución headless, simulación de teclado (SendKeys) y terminación controlada de procesos del navegador para mantener un entorno controlado.

Empleo de utilidades sencillas (VBScript, batch, HTML) combinadas con infraestructura de terceros para maximizar sigilo y persistencia.

⚠️ Impacto potencial

Compromiso de estaciones de trabajo con posibilidad de persistencia mediante tareas programadas.

Exfiltración de datos sensibles sin artefactos obvios en disco, lo que complica la detección y el análisis forense.

Alto riesgo para organizaciones objetivo, ya que la activación puede producirse con la simple apertura de un documento.

✅ Recomendaciones operativas (prioridad alta)

Deshabilite macros por defecto y permita su ejecución solo tras validación formal del remitente.

Bloquee y monitorice dominios de webhook no autorizados, filtrando solicitudes HTTP salientes hacia servicios externos no aprobados.

Audite persistencia y tareas programadas: revise tareas recientes y scripts en directorios temporales; considere análisis de memoria ante sospechas de ejecución fileless.

Endurezca navegadores en endpoints: restrinja la ejecución en modo headless, aplique políticas que impidan mover ventanas fuera de pantalla y bloquee terminaciones de procesos críticas sin control.

Capacite a los usuarios sobre spear-phishing dirigido y la técnica del “tracking pixel” en documentos; fomente la verificación antes de abrir archivos.

Respuesta ante incidentes: si hay indicios de compromiso, aísle el equipo, preserve logs y artefactos de red, y realice un análisis forense centrado en procesos del navegador y comunicaciones a servicios webhook.

23/02/2026

🚨 Campaña de paquetes npm maliciosos roba claves, tokens CI y secretos de IA

Resumen:

Se ha detectado una campaña activa que utiliza paquetes maliciosos en el ecosistema npm para desplegar un worm de cadena de suministro (nombre operativo: SANDWORM_MODE). Estos paquetes están diseñados para buscar y exfiltrar claves criptográficas, tokens de CI/CD, secretos de API de servicios de IA y otras credenciales desde máquinas de desarrollo y pipelines afectados.

¿Cómo funciona el ataque?

Los paquetes maliciosos se publican o actualizan en npm haciéndose pasar por bibliotecas legítimas.

Al instalarse (localmente o en pipelines de CI), el código malicioso se activa y reconoce archivos, variables de entorno y artefactos donde suelen guardarse credenciales.

El malware intercepta y extrae claves, tokens y secretos en memoria y los exfiltra a servidores controlados por el atacante.

Diseños worm-like permiten la propagación a otros entornos y dependencias, amplificando el impacto en la cadena de suministro.

Impacto:

Robo de claves privadas y credenciales que puede derivar en pérdida directa de activos (por ejemplo, criptomonedas).

Compromiso de pipelines CI/CD y despliegues automatizados.

Exposición y abuso de APIs de IA y otros servicios conectados.

Afecta tanto a desarrolladores individuales como a organizaciones que consumen paquetes npm en procesos de construcción y producción.

Indicadores de compromiso (IOCs) y señales a vigilar:

Paquetes npm con nombres o versiones inconsistentes respecto al historial del mantenedor.

Conexiones salientes inusuales desde entornos de desarrollo o runners de CI después de instalar dependencias.

Scripts post-install o cambios inesperados en archivos de configuración tras instalaciones.

Búsquedas locales o accesos a ficheros de claves coincidentes con instalaciones de paquetes.

Recomendaciones urgentes:

Audite y actualice dependencias: identifique proyectos o pipelines que hayan instalado paquetes sospechosos; elimínelos o reemplácelos por versiones verificadas.

Aisle las ejecuciones de build: ejecute builds en runners efímeros o contenedores no privilegiados y limite el acceso a secretos desde estos entornos.

Mueva secretos a gestores especializados: use vaults o gestores de secretos y evite guardarlos en código o variables de entorno accesibles.

Monitoreo y detección: implemente alertas para tráfico de exfiltración y cambios en ficheros críticos tras la instalación de dependencias.

Harden del ecosistema de paquetes: aplique whitelists cuando sea posible, restrinja permisos de publicación y exija MFA a mantenedores.

Rotación de credenciales: si existe sospecha de compromiso, rote inmediatamente claves y tokens potencialmente expuestos y valide la integridad de repositorios y artefactos.

19/02/2026

🚨 Vulnerabilidades críticas en extensiones de Visual Studio Code ponen en riesgo a miles de desarrolladores

Investigadores de ciberseguridad han identificado fallas críticas en cuatro extensiones populares de Visual Studio Code (VS Code) que podrían permitir a un atacante ejecutar código malicioso de manera remota y comprometer sistemas de desarrollo. Estas extensiones, utilizadas por millones de usuarios en entornos corporativos y de desarrollo de software, fueron descubiertas con vulnerabilidades que permiten manipular scripts y archivos locales para ejecutar comandos no autorizados.

🔍 Detalles técnicos

Las vulnerabilidades, clasificadas con niveles de severidad entre alta y crítica, están relacionadas con la forma en que las extensiones manejan la entrada de datos y ejecutan comandos dentro del entorno de VS Code.
El fallo principal radica en la falta de validación en parámetros externos, lo que permite a un atacante inyectar código malicioso cuando el usuario abre proyectos, descarga dependencias o interactúa con repositorios comprometidos.

Una vez explotadas, las fallas pueden:

Permitir ejecución arbitraria de código.

Dar acceso al sistema de archivos local del desarrollador.

Facilitar el robo de credenciales o tokens de autenticación.

Servir como puerta de entrada para ataques de cadena de suministro (supply chain) en entornos DevOps.

⚙️ Extensiones afectadas

Aunque no se publicaron los nombres de todas las extensiones afectadas, las investigaciones indican que pertenecen a categorías ampliamente utilizadas, como:

Herramientas de formato de código.

Gestores de dependencias.

Extensiones de automatización de tareas y snippets.

Plugins de integración con repositorios externos.

Se calcula que estas extensiones sumaban más de 3 millones de instalaciones activas, exponiendo tanto a desarrolladores individuales como a organizaciones de gran escala.

⚠️ Impacto potencial

El riesgo no se limita al equipo del desarrollador: al comprometer una estación de trabajo utilizada en proyectos corporativos, los atacantes pueden inyectar código malicioso directamente en repositorios o pipelines CI/CD, afectando la integridad del software final y propagando la amenaza a toda la cadena de desarrollo.

Este tipo de ataque encaja dentro del modelo de supply chain attack, donde el vector inicial es el entorno del desarrollador, un eslabón clave y a menudo menos protegido.

🛡️ Recomendaciones de seguridad

Actualice o desinstale las extensiones afectadas. Revise el historial de actualizaciones y aplique las versiones corregidas de inmediato.

Revise las extensiones instaladas en su entorno. Elimine aquellas que no sean estrictamente necesarias o que no cuenten con desarrolladores verificados.

Ejecute VS Code en entornos aislados (sandbox o máquinas virtuales) para minimizar el impacto de posibles explotaciones.

Monitoree la actividad del entorno de desarrollo: conexiones salientes inusuales, modificaciones no autorizadas o archivos nuevos en directorios críticos pueden indicar un intento de ataque.

Implemente controles de seguridad en la cadena de suministro: escaneos automáticos de dependencias, control de integridad en pipelines y auditorías periódicas de repositorios.

Evite ejecutar scripts o tareas automáticas provenientes de proyectos de terceros sin verificar su origen o contenido.

✅ Conclusión

Las vulnerabilidades detectadas en estas extensiones de Visual Studio Code demuestran que incluso herramientas ampliamente confiables pueden convertirse en vectores de ataque si no se gestionan adecuadamente.
La seguridad en el desarrollo comienza con prácticas simples: mantener el entorno actualizado, limitar las extensiones instaladas y auditar regularmente los componentes que interactúan con el código.

Una sola extensión comprometida puede convertirse en la puerta de entrada a un ataque mayor. Mantener un entorno de desarrollo seguro es tan importante como proteger la infraestructura de producción.

18/02/2026

🚨 Vulnerabilidad crítica zero-day en Dell RecoverPoint for Virtual Machines (CVE-2026-22769)

Investigadores de seguridad han identificado una vulnerabilidad zero-day crítica en Dell RecoverPoint for Virtual Machines, registrada como CVE-2026-22769, que ha sido explotada activamente en ataques dirigidos desde 2024 por un grupo de amenaza vinculado a China, conocido como UNC6201.

El fallo permite a un atacante no autenticado obtener acceso remoto con privilegios elevados en los sistemas afectados, comprometiendo completamente el entorno.

⚙️ Detalles técnicos

Identificador: CVE-2026-22769

Puntuación CVSS: 10.0 (máxima severidad)

Tipo de vulnerabilidad: Uso de credenciales codificadas de forma insegura en el componente Apache Tomcat del producto.

Condición de explotación: Un atacante que conoce las credenciales embebidas puede autenticarse en la interfaz de administración y ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios root.

Una vez comprometido el sistema, los actores pueden cargar web shells y desplegar herramientas maliciosas para persistencia y control remoto.

💣 Explotación observada

Los atacantes han aprovechado esta vulnerabilidad para:

Instalar backdoors como BRICKSTORM, GRIMBOLT y SLAYSTYLE.

Crear interfaces de red virtuales efímeras (“ghost NICs”) para mantener la conexión sin ser detectados.

Ejecutar comandos del sistema y moverse lateralmente dentro de la red comprometida.

Estas tácticas muestran un nivel avanzado de evasión y persistencia, orientado al espionaje y al acceso prolongado en entornos corporativos.

🧩 Versiones afectadas

Todas las versiones de RecoverPoint for Virtual Machines anteriores a la 6.0.3.1 HF1.

Se incluyen múltiples ramas de las series 5.3.x y 6.0.x.

🛡️ Medidas de mitigación

Actualice inmediatamente a la versión 6.0.3.1 HF1 o posterior.
Dell ha publicado parches y guías de remediación específicas.

Implemente controles de red.
Este producto debe permanecer aislado en redes internas confiables, sin exposición directa a Internet o entornos externos.

Revise la configuración actual.
Elimine cualquier credencial embebida o predeterminada en los servicios Tomcat.

Realice monitoreo activo.
Busque conexiones sospechosas, tráfico inusual o presencia de herramientas maliciosas asociadas a BRICKSTORM o GRIMBOLT.

Aplique medidas de detección avanzada.
Use EDR o SIEM para identificar patrones de movimiento lateral o creación de interfaces virtuales no autorizadas.

⚠️ Conclusión

La vulnerabilidad CVE-2026-22769 representa un riesgo crítico y explotado activamente, capaz de otorgar control total del sistema afectado.

La acción inmediata es aplicar los parches de Dell sin demora, restringir la exposición del producto a redes no confiables y monitorear posibles indicadores de compromiso en entornos que usen RecoverPoint for Virtual Machines.

Dirección

VMG Business Center
Escazú

Horario de Apertura

Lunes	07:00 - 17:00
Martes	07:00 - 17:00
Miércoles	07:00 - 17:00
Jueves	07:00 - 17:00
Viernes	07:00 - 17:00

Teléfono

+50625055402

Página web

http://www.whitejaguars.com/

Notificaciones

Sé el primero en enterarse y déjanos enviarle un correo electrónico cuando WhiteJaguars publique noticias y promociones. Su dirección de correo electrónico no se utilizará para ningún otro fin, y puede darse de baja en cualquier momento.

Contacto La Empresa

Enviar un mensaje a WhiteJaguars:

Atajos

Dirección
Teléfono
Horario de Apertura
Notificaciones
Contacto La Empresa
Reclamar la propiedad
o informar el listado

Categoría

Empresa de software

WhiteJaguars Cyber Security

WHITEJAGUARS® inició en 2010 como el resultado de esfuerzos conjuntos de varios profesionales de la seguridad de la información que solían trabajar para compañías internacionales con oficinas en Costa Rica; nuestra cultura está basada en la cercanía con las empresas que estén frente a el reto de iniciar o madurar sus procesos de Ciber Seguridad o de Seguridad de la Información, somos la única empresa en Costa Rica especializada en desarrollo seguro de software, no somos vendedores de Hardware por lo que brindamos consejos sin presiones de venta por parte de los fabricantes.

Si actualmente su empresa o equipo de trabajo está con el reto de iniciar a definir la estructura de Ciber Seguridad de su organización, quieren implementar procesos de seguridad dentro del SDLC, iniciar con automatización en procesos ágiles de desarrollo o certificar sus proyectos para cumplir con requerimientos de clientes; nosotros podemos asumir el reto de llevar sus objetivos al siguiente nivel.

Algunos de nuestros servicios:

Evaluaciones de Seguridad:

Penetración de Sistemas: por Ethical Hackers certificados con más de 14 años de experiencia.

Penetración de Aplicaciones Web y Móviles: siguiendo los marcos de referencia de la industria en un proceso ágil orientado a apoyarle con la solución de incidencias reportadas.

Evaluación de Redes inalámbricas: poniendo a prueba las configuraciones y fuerza de los mecanismos de seguridad utilizados.

IT Risk Assessments: Evaluaciones de riesgo para departamentos de Tecnologías de Información.

Auditorías de TI: Revisiones profundas basadas en marcos referentes de la industria como ISO 27001, NIST, COBIT5, CGR, realizado por personal certificado.

Cumplimiento con PCI-DSS: Ofrecemos apoyo desde la perspectiva técnica para proporcionar evidencia válida para certificaciones PCI-DSS incluyendo:

Pentest Internos y Externos

Pruebas de Segmentación

Escaneos con ASV (Approved Scanning Vendor)

Entrenamientos de desarrollo seguro de software

Consultoría y acompañamiento: Le apoyamos a solucionar y superar los siguientes retos:

Redacción e implementación de políticas y estándares de seguridad de la información.

Implementación de procesos de desarrollo seguro de Software, ya sea por medio de Secure SDLC o DevSecOps.

Evaluación de proyectos tanto de infraestructura tecnológica como de desarrollo de software para identificar las consideraciones o requerimientos regulatorios aplicables desde la perspectiva de seguridad, esto minimiza problemas posteriores en los tiempos de entrega o costos no incluidos en la planificación inicial.

Entrenamientos:

Fundamentos de AppSec: Todo lo que un desarrollador, QA tester o Security Tester debe saber como mínimo sobre temas de Vulnerabilidades en aplicaciones y procesos relacionados a desarrollo seguro de software.

Desarrollo Seguro de Software: Curso completo de explicaciones en detalle de problemas de desarrollo que resultan en vulnerabilidades, mejores prácticas de forma conceptual con ejemplos y demostraciones para poder producir de forma exitosa Software libre de vulnerabilidades.

Penetración de Aplicaciones Web: Curso técnico y práctico con material basado en la guía de pruebas de OWASP, el resultado serán profesionales capacitados para realizar evaluaciones de penetración especializados en Aplicaciones Web.

Ethical Hacking: Curso avanzado con técnicas y procedimientos para poder realizar la búsqueda y explotación de sistemas independientemente de la plataforma que utilizan, adicionalmente se enseña la metodología utilizada por empresas de “Pentesting” de calibre mundial para dar como resultado un profesional que sigue procesos estructurados, ordenados y comprobables.

Nuestra empresa es de la nueva generación orientada a realizar las cosas de forma ágil, sin burocracia común en el gremio, abierta a la comunidad y con compromiso social.

Si se identifica con nuestros ideales y considera que necesita apoyo en alguna de las áreas en las que trabajamos, puede contactarnos en el momento que guste para mostrarle como lo hacemos y si lo desea, hasta puede conversar con nuestros clientes que ya han dado ese paso con éxito guiados por nosotros.

“ Nuestro objetivo principal es llevarle al siguiente nivel ”

Mario Robles Fundador y actual CEO, WhiteJaguars Cyber Security Oficina: +506 2505-5402 Correo: [email protected] [email protected] https://www.whitejaguars.com Escazú, VMG Business Center, primer piso

05/03/2026

05/03/2026

04/03/2026

04/03/2026

26/02/2026

26/02/2026

24/02/2026

23/02/2026

19/02/2026

18/02/2026

Dirección

Horario de Apertura

Teléfono

Página web

Notificaciones

Contacto La Empresa

Atajos

Compartir

Categoría

WhiteJaguars Cyber Security