
Los incidentes de esta semana comparten un hilo conductor: credenciales robadas hace semanas o meses siguen abriendo puertas. Parchear la vulnerabilidad que permitió el robo no invalida lo que ya fue sustraído. Tres casos de esta semana ilustran este punto de diferentes maneras:
- FortiBleed confirmó que más de 15.000 credenciales verificadas de administradores y VPN de Fortinet (recopiladas de archivos de configuración de firewalls en más de 100 países) ya están en circulación. El mensaje de CISA fue inequívoco: la rotación de credenciales no es opcional después de un compromiso, y las actualizaciones de software por sí solas no cierran la ventana.
- Operation Endgame desmanteló la infraestructura detrás de Amadey y StealC, dos de las familias de infostealers más activas. Europol recuperó alrededor de 27 millones de credenciales robadas y confiscó cientos de servidores. La infraestructura está caída; las credenciales que ya estaban en circulación no lo están.
- La brecha de FICOBA en Francia no requirió ningún exploit. Un atacante utilizó una única cuenta comprometida de un funcionario público para consultar 3,5 millones de registros bancarios durante dos semanas: ninguna vulnerabilidad de software, solo una credencial no monitoreada que permaneció activa.
La semana también trajo una brecha en la cadena de suministro de LastPass a través de una plataforma SaaS de terceros, un zero-day de Cisco SD-WAN explotado activamente que dio a los atacantes acceso root y cuentas de administrador ocultas durante más de dos meses, y una supuesta exfiltración de 200 GB del Consejo de Europa reclamada por ShinyHunters.
En el ámbito industrial, la empresa checa Wultra recaudó 3,5 millones de euros para autenticación post-cuántica, y WALLIX se asoció con Inria para abordar el creciente problema de las identidades de máquinas: claves API, tokens y cuentas de servicio que la mayoría de las organizaciones todavía no pueden inventariar completamente.
Este resumen cubre 8 eventos significativos del 22 al 29 de junio de 2026.
FortiBleed: más de 15.000 credenciales de administrador de Fortinet robadas en más de 100 países, CISA exige rotación inmediata
Investigadores de seguridad descubrieron una campaña de recolección de credenciales a gran escala denominada FortiBleed, que expuso más de 15.000 credenciales verificadas de administrador y SSL VPN de firewalls FortiGate de Fortinet en más de 100 países. Las credenciales, recopiladas durante varios años a través de archivos de configuración de firewalls comprometidos, se han vinculado a organizaciones como Siemens, DHL y un contratista de defensa turco.
Por qué es importante: FortiBleed destaca una distinción crítica: parchear una vulnerabilidad no elimina el riesgo una vez que las credenciales ya han sido robadas. Tras la divulgación, CISA instó a las organizaciones a actuar de inmediato:
- Terminar sesiones y restablecer credenciales. Finalice todas las sesiones activas de SSL VPN y administración. Restablezca todas las contraseñas de VPN y administrador de Fortinet, especialmente en sistemas expuestos a internet.
- Garantizar el almacenamiento seguro de credenciales. Confirme el uso de PBKDF2 para almacenar credenciales de administrador y elimine los hashes heredados más débiles según las directrices de Fortinet.
- Revisar registros. Verifique los registros de firewall, VPN, autenticación y controlador de dominio en busca de movimiento lateral, cuentas sospechosas o cambios de configuración no autorizados.
- Habilitar MFA resistente al phishing. Exija MFA resistente al phishing en todas las cuentas de acceso remoto y administración, incluyendo todas las puertas de enlace externas e interfaces administrativas.
- Reducir la superficie de ataque y restringir el acceso de gestión. Mantenga la administración del firewall fuera de internet público, restrinja las interfaces de gestión a redes internas de confianza y deshabilite las cuentas innecesarias.
Fuentes: Dark Reading – 23 jun 2026
Datos de soporte al cliente de LastPass robados a través de la brecha en la cadena de suministro de Klue
LastPass notificó a los usuarios que se robaron datos de soporte al cliente y ventas después de que los atacantes comprometieran Klue, una plataforma de investigación de mercado de terceros. Según los informes, el grupo de extorsión Icarus abusó de tokens OAuth para acceder a datos de Salesforce de alrededor de 20 empresas de ciberseguridad, incluyendo LastPass, HackerOne y Recorded Future. LastPass declaró que las bóvedas de contraseñas no se vieron afectadas, pero los datos robados incluían nombres de clientes, números de teléfono, direcciones de correo electrónico y físicas, detalles de casos de soporte y registros de ventas.
Por qué es importante: El incidente muestra cómo las integraciones SaaS pueden exponer datos sensibles de clientes incluso cuando los sistemas principales permanecen seguros. Para las empresas, el incidente refuerza la necesidad de evaluar el acceso SaaS de terceros, restringir los permisos OAuth, monitorear la actividad de integración y tratar la gobernanza de proveedores como parte de la seguridad de identidad. Bajo marcos como NIS2, el riesgo de proveedores y el control de acceso se están convirtiendo en preocupaciones de seguridad a nivel de dirección.
Fuentes: TechCrunch – 23 jun 2026
Operation Endgame: Europol confisca cientos de servidores y recupera 27 millones de credenciales robadas de las redes Amadey y StealC
Una operación policial internacional liderada por Europol desmanteló la infraestructura detrás de las familias de malware Amadey y StealC, dos de las plataformas de robo de credenciales más activas. Las autoridades confiscaron cientos de servidores y dominios, congelaron criptomonedas vinculadas a los operadores y recuperaron alrededor de 27 millones de credenciales robadas. La operación involucró a varios países europeos, incluyendo Alemania, Francia, Países Bajos y Reino Unido. Microsoft estimó que estas familias de malware infectaron cientos de miles de dispositivos en todo el mundo durante las campañas recientes.
Por qué es importante: Esta es una de las mayores disrupciones recientes del ecosistema de infostealers. Sin embargo, las organizaciones no deben asumir que el riesgo ha desaparecido. Millones de contraseñas y tokens de sesión robados ya están circulando en mercados criminales y seguirán alimentando ataques de apropiación de cuentas.
Fuente: The Hacker News / Europol – 24 jun 2026
Zero-day de Cisco SD-WAN explotado durante más de 2 meses: los atacantes obtuvieron acceso root y crearon cuentas de administrador ocultas
Cisco reveló que los atacantes habían estado explotando una vulnerabilidad zero-day en Catalyst SD-WAN Manager durante al menos dos meses antes de la divulgación. Según Mandiant, los atacantes obtuvieron privilegios root, modificaron credenciales de administrador, crearon cuentas privilegiadas ocultas y eliminaron evidencia forense para mantener persistencia a largo plazo. Cisco también publicó información sobre una vulnerabilidad relacionada de elusión de autenticación que afecta a la misma plataforma.
Por qué es importante: Muchas organizaciones tratan los dispositivos de red como infraestructura de confianza, sin embargo, estos dispositivos a menudo contienen credenciales altamente privilegiadas. Una vez comprometidos, proporcionan a los atacantes acceso administrativo persistente a través de la red. El parcheo debe ir acompañado de monitoreo continuo de identidades privilegiadas.
Fuente: The Hacker News / Google Mandiant – 25 jun 2026
Credenciales gubernamentales comprometidas exponen 3,5 millones de cuentas bancarias en la brecha del registro FICOBA en Francia
Las autoridades francesas revelaron que los atacantes utilizaron credenciales gubernamentales comprometidas para acceder a FICOBA, el registro nacional de cuentas bancarias del país. Durante un período de aproximadamente dos semanas, los atacantes visualizaron información vinculada a alrededor de 3,5 millones de cuentas bancarias, incluyendo nombres, direcciones y números IBAN. Las autoridades informaron que el atacante abusó de una cuenta existente de un funcionario público en lugar de explotar una vulnerabilidad de software.
Por qué es importante: El incidente destaca que las credenciales comprometidas siguen siendo una amenaza importante incluso en sistemas gubernamentales. Los controles de identidad sólidos son tan importantes como la seguridad de la infraestructura. A medida que la aplicación de NIS2 se expande por Europa, incidentes como este muestran por qué la seguridad de identidad se está convirtiendo en un tema de cumplimiento a nivel de dirección.
Fuente: Shattered.io – 23 jun 2026
ShinyHunters afirma haber robado 200 GB de los sistemas de RRHH y nóminas del Consejo de Europa
El grupo ShinyHunters se atribuyó la responsabilidad de vulnerar los sistemas internos del Consejo de Europa y robar más de 200 GB de información de RRHH y nóminas. La organización confirmó un incidente de ciberseguridad, restringió el acceso a los sistemas afectados e inició una investigación forense. Al momento de la publicación, no se había confirmado el alcance completo del compromiso.
Por qué es importante: Aunque la atribución sigue bajo investigación, el incidente sigue un patrón creciente de ataques contra instituciones públicas utilizando credenciales robadas o phishing. Las organizaciones europeas deben esperar que los atacantes continúen atacando sistemas de identidad en lugar de solo la infraestructura. Los controles de acceso sólidos y la respuesta rápida a incidentes siguen siendo esenciales tanto para el sector público como para el privado.
Fuente: CyPro – 26 jun 2026
La empresa checa Wultra recauda 3,5 millones de euros para desarrollar autenticación post-cuántica resistente al phishing para bancos europeos
La empresa checa de ciberseguridad Wultra anunció una ronda de financiación Serie A de 3,5 millones de euros para expandir su plataforma de autenticación por toda Europa. La empresa desarrolla tecnologías de autenticación resistentes al phishing para bancos, servicios financieros y proveedores de identidad digital. La inversión apoyará la adopción de criptografía post-cuántica y métodos de autenticación diseñados para cumplir con las próximas regulaciones europeas, incluyendo PSD3, PSR y eIDAS 2.0.
Por qué es importante: Las organizaciones europeas se están preparando no solo para las amenazas de identidad actuales, sino también para los riesgos criptográficos futuros. A medida que los reguladores promueven cada vez más estándares de identidad digital más sólidos, las inversiones se están desplazando hacia la autenticación resistente al phishing y post-cuántica. La financiación refleja una demanda creciente de tecnologías de autenticación que puedan respaldar el cumplimiento a largo plazo mientras reducen la dependencia de las contraseñas y los métodos MFA heredados.
Fuente: The Recursive – 29 jun 2026
WALLIX e Inria se asocian para proteger las identidades de máquinas
El proveedor europeo de IAM/PAM WALLIX y el instituto de investigación francés Inria han anunciado una asociación para desarrollar soluciones de IA de confianza para proteger las identidades de máquinas. La colaboración tiene como objetivo abordar los riesgos estructurales creados por el rápido crecimiento de las identidades no humanas, incluyendo claves API, cuentas de servicio, tokens y certificados utilizados en flujos de trabajo automatizados y pipelines CI/CD.
Por qué es importante: Las identidades de máquinas ya superan en número a las identidades humanas en la mayoría de los entornos empresariales, y sus números continúan creciendo con cada nuevo microservicio y pipeline de despliegue. Sin embargo, muchas organizaciones todavía carecen de control centralizado sobre estas credenciales, que permanecen dispersas en archivos de configuración, variables de entorno y repositorios de código fuente. La creciente atención de los principales actores europeos de ciberseguridad confirma que la gestión de identidades de máquinas se está convirtiendo en una de las principales prioridades para la seguridad empresarial.
Fuente: Industrial Cyber – 26 jun 2026
Resumen de esta semana
Tres aspectos destacan como brechas consistentes en los incidentes de esta semana:
- La rotación de credenciales se trata como una tarea posterior a la brecha, no como una rutina. En los tres casos, rotar las credenciales antes o inmediatamente después del compromiso inicial habría contenido el daño.
- El acceso SaaS de terceros está en gran medida sin auditar. La brecha de LastPass llegó a través de una plataforma de investigación de mercado con acceso OAuth a Salesforce. La mayoría de los equipos de seguridad no podrían enumerar cada integración OAuth en su entorno en este momento.
- Las identidades de máquinas siguen siendo la clase de credenciales menos gobernada. El anuncio de WALLIX/Inria y el caso de Cisco apuntan a la misma brecha: claves API, cuentas de servicio y tokens en pipelines que nadie está monitoreando activamente.
Las buenas noticias de Operation Endgame son reales: desmantelar la infraestructura de Amadey y StealC importa. Pero millones de credenciales robadas previamente todavía están disponibles para los atacantes.
La gestión de acceso eficaz limita el valor de las credenciales robadas, incluso después de que el ataque original haya terminado. Passwork reúne la gestión de contraseñas y secretos en una única plataforma — con REST API, Python SDK y CLI para equipos que necesitan control centralizado sobre las credenciales de máquinas sin la sobrecarga del PAM tradicional. Controle sus credenciales antes de que lo hagan los atacantes.



Tabla de contenidos
- FortiBleed: más de 15.000 credenciales de administrador de Fortinet robadas en más de 100 países, CISA exige rotación inmediata
- Datos de soporte al cliente de LastPass robados a través de la brecha en la cadena de suministro de Klue
- Operation Endgame: Europol confisca cientos de servidores y recupera 27 millones de credenciales robadas de las redes Amadey y StealC
- Zero-day de Cisco SD-WAN explotado durante más de 2 meses: los atacantes obtuvieron acceso root y crearon cuentas de administrador ocultas
- Credenciales gubernamentales comprometidas exponen 3,5 millones de cuentas bancarias en la brecha del registro FICOBA en Francia
- ShinyHunters afirma haber robado 200 GB de los sistemas de RRHH y nóminas del Consejo de Europa
- La empresa checa Wultra recauda 3,5 millones de euros para desarrollar autenticación post-cuántica resistente al phishing para bancos europeos
- WALLIX e Inria se asocian para proteger las identidades de máquinas
- Resumen de esta semana
Tabla de contenidos
- FortiBleed: más de 15.000 credenciales de administrador de Fortinet robadas en más de 100 países, CISA exige rotación inmediata
- Datos de soporte al cliente de LastPass robados a través de la brecha en la cadena de suministro de Klue
- Operation Endgame: Europol confisca cientos de servidores y recupera 27 millones de credenciales robadas de las redes Amadey y StealC
- Zero-day de Cisco SD-WAN explotado durante más de 2 meses: los atacantes obtuvieron acceso root y crearon cuentas de administrador ocultas
- Credenciales gubernamentales comprometidas exponen 3,5 millones de cuentas bancarias en la brecha del registro FICOBA en Francia
- ShinyHunters afirma haber robado 200 GB de los sistemas de RRHH y nóminas del Consejo de Europa
- La empresa checa Wultra recauda 3,5 millones de euros para desarrollar autenticación post-cuántica resistente al phishing para bancos europeos
- WALLIX e Inria se asocian para proteger las identidades de máquinas
- Resumen de esta semana
Gestor de contraseñas autohospedado para su empresa
Passwork ofrece la ventaja de un trabajo en equipo eficaz con contraseñas corporativas en un entorno totalmente seguro
Más información


