El panorama semanal de ciberamenazas para la segunda semana de abril de 2026 se caracteriza por una intensa actividad de grupos APT (Amenazas Persistentes Avanzadas) vinculados a estados, la explotación agresiva de vulnerabilidades de día cero y una oleada de ataques de ransomware con impacto directo en servicios esenciales. Desde nuestro puesto de análisis, detectamos que actores iraníes mantienen expuestos miles de dispositivos, mientras que herramientas de desarrollo se convierten en vectores de infección y servicios sanitarios en Europa se ven interrumpidos.
- Actores APT iraníes tienen expuestos más de 5.200 dispositivos, según un escaneo de Censys.
- Explotación en horas de un fallo crítico (CVE-2026-39987) en Marimo, notebooks Python de código abierto.
- Ataque de ransomware contra ChipSoft paraliza historiales médicos electrónicos en hospitales de Países Bajos y Bélgica.
- Uso de controladores (PLCs) Rockwell/Allen-Bradley por parte de actores iraníes para atacar infraestructura crítica estadounidense.
- Botnet Masjesu evoluciona para atacar dispositivos IoT evitando redes de alto perfil.
¿Qué es panorama semanal de ciberamenazas y por qué es relevante?
Amenazas Persistentes Avanzadas (APTs) despliegan tácticas innovadoras
🔍 Anticipa las amenazas antes de que lleguen a tu organización. En Iberia Intelligence aplicamos ciberinteligencia avanzada: seguimiento de actores de amenaza, análisis de TTPs, alertas tempranas y vigilancia en fuentes abiertas y cerradas adaptada a tu sector y geografía.
La actividad de grupos patrocinados por estados continúa siendo el eje central de la ciberinteligencia ofensiva. Esta semana destaca la campaña de actores vinculados a Irán, que según los hallazgos de Censys, mantienen 5.219 dispositivos expuestos a ataques, con una mayoría localizada en Estados Unidos. Estos sistemas, que incluyen servidores y dispositivos de red, podrían ser utilizados como puntos de entrada o para operaciones de compromiso de cadena de suministro.
APT28 y LucidRook: Rusia y China en el punto de mira
Por otro lado, el grupo ruso APT28 (también conocido como Fancy Bear o Pawn Storm) ha desplegado una nueva herramienta, bautizada como PRISMEX, para infiltrarse en infraestructuras ucranianas y de países aliados. Las tácticas reportadas incluyen métodos avanzados para la evasión y la persistencia. En paralelo, se ha observado una nueva campaña contra instituciones con sede en Taiwán, empleando un malware basado en Lua llamado LucidRook (rastreado como UAT-10362), lo que apunta a una sofisticación creciente en los vectores de ataque de actores vinculados a Pekín.
Vulnerabilidades críticas explotadas a velocidad récord
La ventana entre la divulgación de un fallo y su explotación activa se reduce cada vez más. El caso paradigmático de esta semana es el CVE-2026-39987, una vulnerabilidad de ejecución remota de código (RCE) en Marimo, una plataforma de notebooks Python de código abierto. Fuentes del sector reportan que los primeros exploits se detectaron en cuestión de horas tras hacerse pública la información, lo que subraya la crítica necesidad de una aplicación inmediata de parches en entornos de desarrollo.
Fallos en herramientas empresariales amplían la superficie de ataque
Otras vulneraciones destacadas incluyen un fallo en el SDK de EngageLab para Android, que podría haber expuesto datos privados de hasta 50 millones de dispositivos mediante una redirección de intenciones maliciosa. Asimismo, miles de instancias de F5 BIG-IP APM (más de 14.000) permanecen expuestas a un fallo RCE conocido, a pesar de haber parches disponibles. Esta inercia en la remediación es un factor de riesgo sistémico que los atacantes explotan de forma rutinaria.
El ransomware mantiene su impacto disruptivo en infraestructuras críticas
El panorama semanal de ciberamenazas no estaría completo sin el análisis del ransomware, cuya evolución tácticalo sitúa como una amenaza persistente para la continuidad del negocio. El ataque contra ChipSoft, proveedor de software de historiales médicos electrónicos (EHR), ha tenido un efecto dominó, dejando sin servicios críticos a hospitales en Países Bajos y Bélgica. Incidentes de esta naturaleza trascienden lo económico y ponen en riesgo vidas humanas, elevando la categoría de la amenaza.
En Alemania, las autoridades (BKA) han logrado desenmascarar a dos operadores del grupo REvil, vinculándolos con más de 130 ataques en el país. Este éxito en la atribución, aunque tardío, envía un mensaje disuasorio. Mientras, la variante Medusa, distribuida por el grupo Storm-1175, continúa su actividad de alto ritmo, aprovechando nuevos exploits para comprometer activos web vulnerables y desplegar su carga maliciosa.
Interrupción masiva en Rusia y el robo de criptoactivos
Fuera de Europa, Rusia ha sufrido una gran interrupción que ha afectado a aplicaciones bancarias y sistemas de pago del metro a nivel nacional, mostrando la fragilidad de infraestructuras digitales interdependientes. En el ámbito del cibercrimen financiero, el ataque a Bitcoin Depot resultó en el robo de 3,6 millones de dólares en Bitcoin mediante el uso de credenciales robadas, recordando que el factor humano sigue siendo el eslabón más débil.
La convergencia de IA, IoT y guerra de información
Observamos tendencias de fondo que configurarán el futuro del conflicto digital. La aparición de Project Glasswing, un proyecto impulsado por el modelo de IA Claude Mythos de Anthropic, pretende defender el software de forma proactiva, marcando un hito en la aplicación de la inteligencia artificial para la ciberseguridad defensiva. No obstante, esta tecnología también es objeto de apropiación por actores estatales para operaciones de información, como detallan análisis sobre los enfoques chino y ruso.
Botnets sigilosas y dispositivos ICS expuestos
En la capa del Internet de las Cosas (IoT), el botnet Masjesu ha evolucionado para centrarse en dispositivos comerciales mientras evade deliberadamente redes de alto perfil, buscando permanecer bajo el radar. Paralelamente, el escaneo de activos continúa revelando puntos ciegos peligrosos: 179 dispositivos de Sistemas de Control Industrial (ICS) permanecen expuestos en internet, un riesgo inaceptable para los sectores energético, hídrico y manufacturero. La advertencia de agencias estadounidenses sobre el targeting de PLCs por actores iraníes confirma que esta superficie de ataque está bajo activa explotación.
En definitiva, este panorama semanal de ciberamenazas refleja un ecosistema de riesgos complejo y dinámico, donde la velocidad de explotación, la sofisticación de los actores estatales y el impacto tangible en la sociedad civil definen los nuevos desafíos para los equipos de ciberinteligencia y defensa. La vigilancia proactiva y el intercambio de indicadores de compromiso (IOCs) se antojan más cruciales que nunca.
Recursos y fuentes oficiales:
Convierte la inteligencia de amenazas en ventaja estratégica
Nuestro equipo en Iberia Intelligence ofrece servicios de Ciberinteligencia para empresas e instituciones: monitorización de actores, perfiles de adversarios, alertas personalizadas e informes ejecutivos accionables.