La lista suena a jerga técnica, pero es el menú real de las últimas semanas: OAuth Trap, herramientas para tumbar el EDR, phishing a través de Signal, archivos ZIP “zombi” y vulnerabilidades explotadas en equipos de red. El hilo conductor es la discreción. Los ataques se camuflan en inicios de sesión aparentemente normales, tráfico cifrado y acciones que se parecen demasiado a las de cualquier equipo de IT.
El resultado es incómodo: una empresa puede estar “al día” sobre el papel y aun así llevarse el golpe. Los boletines de ciberseguridad apuntan a una tendencia clara: el phishing corporativo es cada vez más difícil de detectar a tiempo porque se apoya en infraestructuras de confianza y recorridos de autenticación legítimos. Y, en paralelo, hay fallos que ya se están explotando en el mundo real, como los que afectan a Cisco Catalyst SD-WAN Manager.
OAuth Trap: robar sesiones sin levantar sospechas con inicios de sesión “limpios”
OAuth Trap aprovecha un reflejo muy humano: clicar, autorizar y seguir. Ya no hace falta enviar un ejecutable sospechoso. Basta con conducir a la víctima a un flujo de autenticación que parece el de siempre: SSO (inicio de sesión único), ventana de permisos, pantalla de consentimiento.
Cuando todo “encaja”, baja la guardia. Y ahí está la clave: el atacante no busca tanto que el usuario “inicie sesión”, sino que “autorice” el acceso. Con ese consentimiento puede obtener un token o un acceso persistente sin que salten alarmas evidentes.
El riesgo va más allá de una contraseña robada. Lo peligroso es el acceso delegado: aunque cambiéis la contraseña, el permiso concedido puede seguir dando entrada. Por eso, los equipos de seguridad insisten en endurecer las políticas de consentimiento y vigilar las aplicaciones de terceros conectadas a las cuentas corporativas.
La defensa no se resuelve con una regla mágica. Funciona mejor una combinación: revisión periódica de apps autorizadas, alertas ante consentimientos anómalos y acceso condicional. Y, sobre todo, un equilibrio: si se mete demasiada fricción, la gente buscará atajos. Limitar los consentimientos por defecto y reservar los permisos sensibles a un circuito de aprobación suele dar mejores resultados.
“EDR killer” y BYOVD: primero apagan la alarma, luego llega el golpe
Otra tendencia al alza es atacar la defensa antes de desplegar el ataque principal. Varias familias de ransomware están incorporando técnicas para desactivar herramientas EDR (detección y respuesta en endpoints), a menudo con enfoques BYOVD (“Bring Your Own Vulnerable Driver”): el atacante introduce o explota un driver vulnerable para ganar privilegios y dejar ciego al sistema de seguridad.
Lo más delicado es que la cadena puede parecer administración legítima: acciones con privilegios, componentes deshabilitados, binarios firmados. En los registros, todo puede tener un aspecto “normal”. Y si el atacante elige bien sus herramientas, incluso un EDR sólido puede perder visibilidad en un tramo crítico.
En la práctica, muchas organizaciones invierten mucho en detectar, pero menos en impedir que les desactiven la detección. Aquí pesan medidas de endurecimiento: bloquear drivers no aprobados, aplicar reglas de reducción de superficie de ataque y vigilar señales de sabotaje. Si desaparece la telemetría, la respuesta se vuelve más lenta y más cara.
Las empresas que mejor aguantan estos escenarios añaden capas: registros centralizados fuera del puesto, controles de integridad y segmentación. Y prueban de verdad qué pasa si el EDR cae. No es una hipótesis: con BYOVD y herramientas “EDR killer”, es cuestión de tiempo.
Phishing en Signal: el engaño salta del correo a la mensajería cifrada
El phishing ya no necesita el email para funcionar. Los atacantes van donde se decide rápido: chats de trabajo, notificaciones constantes y un entorno donde la confianza es mayor. Signal, conocida por su cifrado, ilustra bien el cambio: el cifrado protege el transporte del mensaje, pero no evita la ingeniería social.
El patrón se repite: un falso contacto “interno”, una urgencia, un enlace a una página de acceso o una supuesta validación del departamento de IT. En mensajería se lee más deprisa, se comprueba menos y se responde dentro del flujo. Si el enlace lleva a un inicio de sesión creíble, el usuario cae en la misma trampa que con OAuth.
Esto complica la defensa porque los controles clásicos del correo (filtros, sandbox, DMARC) no ven nada. Aquí mandan reglas simples y operativas: no enviar enlaces de autenticación por chat, no pedir códigos, doble verificación para acciones sensibles y canales oficiales verificados para solicitudes internas.
Prohibirlo todo suele salir mal: la gente se mueve a otro canal. Funciona mejor ordenar el uso, definir procedimientos de verificación de identidad y entrenar con ejemplos reales y recientes. La clave es romper automatismos.
Zombie ZIP: archivos corrientes que esconden la carga maliciosa
Las trampas “de toda la vida” siguen funcionando. Zombie ZIP resume campañas que usan archivos comprimidos para ocultar lo peligroso: estructuras de carpetas que camuflan el ejecutable, nombres que imitan un PDF o una carga que se descarga después mediante tráfico cifrado.
En empresa, los ZIP circulan a diario: adjuntos, exportaciones, repositorios, intercambios con proveedores. Esa normalidad juega a favor del atacante. Y si la parte final del ataque llega más tarde por un canal cifrado, se multiplican los puntos ciegos.
La respuesta pasa por políticas claras en el puesto de trabajo: control de aplicaciones, restricciones a scripts y macros, y vigilancia del comportamiento tras abrir el archivo (procesos nuevos, conexiones salientes, persistencia). No es vistoso, pero corta la cadena cuando empieza a hacerse visible.
También aquí hay que afinar: filtrar en exceso puede bloquear trabajo legítimo, sobre todo en equipos que manejan archivos comprimidos constantemente. Una vía habitual es habilitar zonas de depósito analizadas y descomprimir en servidor en lugar de hacerlo en el PC del usuario.
Cisco Catalyst SD-WAN Manager: dos fallos ya explotados y menos margen para reaccionar
Más allá del phishing, siguen apareciendo vulnerabilidades que pasan de “pendientes de parche” a “incidente” en cuestión de días. Cisco ha advertido de la explotación activa de dos fallos en Catalyst SD-WAN Manager (antes vManage), una pieza crítica para gestionar redes SD-WAN en empresas.
Entre ellas está laCVE-2026-20122, con puntuaciónCVSS 7,1, descrita como una vulnerabilidad que permite a un atacante remoto autenticado sobrescribir archivos arbitrarios en el sistema local. Lo de “autenticado” suele interpretarse como menos grave, pero en la práctica las credenciales se roban, se reutilizan o se obtienen tras un primer compromiso.
Y en un gestor SD-WAN el impacto puede ser mayor: toca conectividad, políticas de red y, en ocasiones, secretos de acceso. Si alguien entra ahí, puede buscar ampliar control o preparar una interrupción.
La realidad no es “parcheadlo todo ya”, sino priorizar con método: inventario fino, exposición real, segmentación y monitorización de señales de explotación en sistemas críticos. Y un plan de actualizaciones que no dependa de la urgencia. Cuando la explotación ya está confirmada, lo último que queréis es descubrir que nadie sabe quién administra ese equipo o dónde está.
Claves para entender el momento: ataques más silenciosos y defensa más organizativa
El patrón que se repite es claro: menos malware “ruidoso” y más abuso de flujos legítimos, permisos y herramientas que parecen normales. Eso obliga a mirar más allá del antivirus y del parche puntual.
En 2026, la ciberseguridad se juega tanto en la tecnología como en la organización: quién puede autorizar qué en OAuth, cómo se valida una petición por chat, qué pasa si el EDR cae y cuánto tardáis en aplicar un parche crítico en infraestructura de red. La ventana entre aviso y explotación se estrecha, y la diferencia la marca la preparación.
Puntos clave
- El phishing moderno imita recorridos legítimos, en particular mediante OAuth y flujos cifrados.
- Las técnicas EDR killer y BYOVD buscan neutralizar la defensa antes del ataque principal.
- Las aplicaciones de mensajería como Signal se están convirtiendo en un canal de ingeniería social por derecho propio.
- Los archivos comprimidos trampa tipo Zombie ZIP siguen siendo eficaces gracias a lo común de estos formatos.
- Vulnerabilidades explotadas activamente, como la CVE-2026-20122 en Cisco, reducen el margen de reacción.
Preguntas frecuentes
¿Por qué OAuth Trap es más difícil de detectar que un phishing clásico?
Porque el ataque se apoya en flujos de autenticación que se parecen a inicios de sesión normales, con páginas creíbles y, a veces, infraestructuras legítimas. La señal débil está en el consentimiento otorgado y en el uso de los tokens, no en un archivo malicioso evidente.
¿Qué es un ataque BYOVD contra un EDR?
BYOVD significa “Bring Your Own Vulnerable Driver”. El atacante aporta o explota un controlador vulnerable para obtener capacidades elevadas en la máquina y luego intenta desactivar o eludir el EDR. El objetivo es reducir la visibilidad e impedir la respuesta automática.
¿El cifrado de Signal protege contra el phishing?
El cifrado protege el transporte de los mensajes, no la decisión del usuario. Si un mensaje te empuja a hacer clic en un enlace o a validar una acción, el riesgo sigue siendo el mismo. La defensa se basa en reglas de uso, verificación de identidad y procedimientos internos.
¿Por qué un archivo ZIP puede ser peligroso en una empresa?
Porque puede ocultar archivos engañosos, estructuras de carpetas que diluyen el elemento peligroso o desencadenar una cadena de ejecución tras abrirlo. Los controles deben cubrir el análisis, la limitación de la ejecución desde carpetas de riesgo y la supervisión del comportamiento.
¿Una vulnerabilidad de “atacante autenticado” es menos urgente de corregir?
No necesariamente. Las credenciales pueden robarse, reutilizarse u obtenerse tras un primer compromiso. En componentes críticos como un gestor SD-WAN, una explotación autenticada puede tener un impacto importante. La prioridad depende de la exposición, los controles de acceso y los indicios de explotación activa.
Fuentes
En tant que jeune média indépendant, The Inquirer 🇫🇷 a besoin de votre aide. Soutenez-nous en nous suivant et en nous ajoutant à vos favoris sur Google News. Merci !
