Cisco ha alertado de una nueva variante de ataque dirigida a sus dispositivos de firewall ASA y FTD, que explota las vulnerabilidades CVE‑2025‑20333 y CVE‑2025‑20362. Según la empresa, los equipos sin parchar podrían reiniciarse inesperadamente y quedar expuestos a denial of service u otras formas de explotación.
😱1
Se reporta supuestamente una intrusión en Servicios del Valle del Fuerte (SEVAFUSA); en la presunta publicación del grupo NightSpire Ransomware se alude a un contador de cuenta regresiva para divulgar datos. El volumen comprometido sería posiblemente 1 GB. No hay confirmación pública de afectaciones operativas.
Supuestamente, se estaría ofreciendo en foros clandestinos el acceso a bases de datos de un laboratorio clínico del norte de México. El anuncio, publicado por un usuario que usa el alias ‘icaro’ (posible vendedor), incluye presuntos registros de pacientes, médicos y estudios clínicos accesibles mediante phpMyAdmin y vulnerabilidades activas.
El grupo Coinbase Cartel habría publicado información que sugiere un presunto ataque de ransomware contra el Centro de Investigación y de Estudios Avanzados (Cinvestav), institución pública mexicana dedicada al desarrollo científico y tecnológico. Los atacantes afirman haber comprometido sistemas internos, aunque la veracidad de la filtración aún no ha sido confirmada.
El usuario s4mmy publicó supuestamente en foros clandestinos un enlace que, según afirma, contendría una base de datos atribuida a la Policía Auxiliar de la Ciudad de México. El material habría sido compartido con fines de exposición y no existe verificación independiente sobre su autenticidad o alcance. La información difundida incluiría presuntos registros internos, aunque su validez permanece sin confirmar.
Tras la publicación de la vulnerabilidad CVE-2025-58034, múltiples servicios Fortinet FortiWeb aparecieron expuestos en escaneos recientes dentro de México, incluyendo instancias ubicadas en CDMX, Guadalajara y Ramos Arizpe. La falla, un posible OS Command Injection, permitiría a un atacante autenticado ejecutar comandos no autorizados mediante solicitudes HTTP manipuladas. Escaneos OSINT muestran al menos 3 servicios FortiWeb detectados en territorio nacional, distribuidos en puertos 443, 8443 y 80. La evaluación oficial de NVD permanece en proceso.
El usuario odessa habría publicado en foros clandestinos un enlace que supuestamente contiene documentos internos relacionados con Pro Agro Seguros, incluyendo pólizas agrícolas, anexos técnicos y datos operativos. Entre los archivos compartidos se observan presuntas pólizas de seguro agropecuario y anexos asociados a productores, cultivos y coberturas, con información sensible como nombres completos, domicilios, teléfonos, vigencias y montos asegurados.
Después de casi un mes sin actividad, el actor c4t habría reaparecido con supuestos ataques dirigidos a distintos portales gubernamentales de México. Entre los dominios mencionados aparecen sitios del INAH, la Policía Municipal de Tijuana (Baja California) y un portal institucional del Gobierno de San Luis Potosí, además de otras plataformas federales y estatales. Todos los registros están fechados el mismo día, aunque la veracidad y alcance de estos presuntos incidentes aún no han sido confirmados.
😱1
CrowdStrike confirmó que un colaborador interno habría compartido supuestas capturas de pantalla de sistemas internos con el grupo denominado Scattered Lapsus$ Hunters. Según la empresa, no hubo acceso indebido a infraestructura ni compromiso de datos de clientes, pero el incidente apunta a un posible caso de amenaza interna que podría implicar exposición no autorizada de información operacional.
Supuestamente, el actor Eternal publicó en foros clandestinos una base de datos atribuida al Registro Civil de Nuevo León, señalando que contendría más de 3.5 millones de registros relacionados con actas de nacimiento. De acuerdo con la publicación, los archivos incluirían nombres completos, fechas y horas de nacimiento, datos de padres, testigos y metadatos de documentos civiles.
Un actor identificado como ResearcherX habría ofrecido en la dark web un presunto exploit full-chain zero-click contra iOS 26, supuestamente capaz de comprometer dispositivos mediante mensajes maliciosos y evadir protecciones recientes. La información aún no está verificada y expertos advierten que podría tratarse de un listado falso, aunque presenta similitudes con campañas previas atribuidas a actores avanzados.
En foros clandestinos se estaría ofreciendo una supuesta base de datos atribuida al padrón fiscal de Banorte, presuntamente con 4.8 millones de registros que incluirían nombres completos, RFC, direcciones, correos, teléfonos y datos fiscales. El actor BreachLaboratory afirma que la información está depurada y segmentada para fines financieros, aunque su autenticidad continúa sin verificación independiente.
Investigadores reportan que un paquete malicioso publicado en npm emplea un “prompt oculto” y un script ofuscado para engañar scanners de seguridad impulsados por IA, lo que permitiría evadir detecciones automáticas y distribuir código malicioso sin levantar alertas tempranas. El hallazgo ha sido publicado por la comunidad de ciberseguridad.
En foros clandestinos se habría puesto a la venta un paquete que supuestamente contiene información completa del personal de la Fiscalía General de Justicia del Estado de México (FGJEM). Como evidencia, se muestran presuntas identificaciones laborales con datos sensibles como nombre completo, unidad asignada, puesto, CURP, RFC, clave ISSEMYM, fotografías y estatus laboral. También se mencionan documentos internos recientes y una presunta vulnerabilidad utilizada para obtener acceso ilícito al sistema. La oferta incluiría alrededor de 5 mil registros y 1.65 GB de información, cuyo alcance y autenticidad aún requieren verificación.
😱1