SEC·REPORT — Junio 2026

📖 ¿Cómo leer este reporte? — Guía rápida

▼

📖 ¿Qué es un CVE?

CVE (Common Vulnerabilities and Exposures) es un catálogo público y estandarizado que identifica fallos de seguridad conocidos en software y hardware.

Funciona como una "matrícula universal": cada fallo recibe un código único para que todos los expertos en TI se refieran exactamente al mismo problema.

CVE - AÑO - NÚMERO
Ejemplo: CVE-2026-0257

Mantenido por MITRE Corporation, puntuado por NVD (NIST), con explotación activa monitoreada por CISA KEV.

📊 Escala CVSS 0–10

El CVSS mide qué tan grave es una vulnerabilidad. No es una opinión: es un cálculo basado en factores técnicos.

0.0 – 3.9 BAJO Muy difícil de explotar, requiere acceso físico o condiciones específicas.

4.0 – 6.9 MEDIO Explotable con condiciones: usuario debe hacer clic, o atacante ya está en la red.

7.0 – 8.9 ALTO Explotable de forma directa. Puede comprometer datos o tomar control de un sistema.

9.0 – 10.0 CRÍTICO Desde internet, sin credenciales, sin interacción del usuario. Parche inmediato.

🚨 Niveles de riesgo — ¿cómo se asignan?

El nivel de riesgo no es solo el CVSS. Combina cuatro criterios para reflejar el riesgo real para la empresa:

Puntuación CVSS — la severidad técnica de los CVEs activos

Explotación activa — si hay evidencia de ataques in-the-wild

Exposición empresarial — qué tan crítica es la app y qué información maneja

Historial del proveedor — madurez en seguridad, certificaciones y velocidad de respuesta

CRÍTICO

CVSS ≥ 9.0 o explotado activamente in-the-wild

Acción requerida en menos de 24–72h.

ALTO

CVSS 7.0–8.9 o app crítica para el negocio con CVEs no parcheados

Parchear esta semana.

MEDIO

Sin CVEs activos de alta severidad, pero con riesgos de privacidad, configuración o cumplimiento

Revisar en 30 días.

BAJO

Sin CVEs conocidos, sin superficie de ataque local significativa

Monitoreo rutinario mensual.

Fuentes del catálogo CVE: cve.org (MITRE) NVD — NIST CISA KEV Catalog CVEdetails.com

📬 Bandeja de Correo — Indicadores de Seguridad

Correos del 20 may – 10 jun 2026 · infraestructura@ia.com.mx · licencias@ia.com.mx (on-premises, no accesible vía M365 API)

3 Amenazas activas

4 Avisos

1 Spam

⚡ AMENAZA ACTIVA 10 jun 2026 · 15:34 UTC

[Passbolt Alert] ALARM: "passbolt-sqli-attempts" in US East (N. Virginia)

De: alertas-passbolt@ia.com.mx → infraestructura@ia.com.mx

AWS CloudWatch detectó 12 intentos de SQL injection en 5 minutos contra el servidor de Passbolt Producción (AWS Account: 456069886882), superando el umbral crítico de 5. Este evento se disparó en 3 ocasiones: 23:40 del 9 jun, 01:17 y 15:34 del 10 jun. ModSecurity está bloqueando los intentos, pero la actividad sostenida indica una campaña activa.

⚡ Acción recomendada: Revisar logs de ModSecurity en el servidor Passbolt de producción. Verificar si algún intento tuvo éxito. Considerar bloqueo de IPs de origen en WAF. Rotar contraseñas del vault si hay indicios de acceso exitoso.

⚡ AMENAZA ACTIVA 10 jun 2026 · múltiple (20:04, 20:43, 21:26, 23:35 UTC)

ALARM: "awscloudfront-AWS-CloudFront-High-5xx-Error-Rate" in US East (N. Virginia)

De: no-reply@sns.amazonaws.com → infraestructura@ia.com.mx

AWS CloudWatch detectó una tasa de error HTTP 5xx del 100% en CloudFront (distribución en US East N. Virginia). El umbral es cualquier datapoint ≥ umbral configurado. La alarma se disparó 4 veces en ~3 horas esta tarde, indicando una interrupción de servicio sostenida o ataque de denegación de servicio.

⚡ Acción recomendada: Verificar estado de los orígenes detrás de CloudFront (EC2, ALB, S3). Si el origen está sano, revisar reglas de WAF y patrones de tráfico para descartar DDoS. Revisar AWS Shield Advanced si está activo.

⚡ AMENAZA ACTIVA 09 jun 2026 · 23:40 UTC

[Passbolt Alert] ALARM: "passbolt-sqli-attempts" in US East (N. Virginia) — 1er disparo

De: alertas-passbolt@ia.com.mx → infraestructura@ia.com.mx

Primer disparo de la alarma de SQLi en Passbolt Producción. El patrón de 3 activaciones en ~16 horas sugiere una campaña de ataque sostenida contra el servidor de gestión de contraseñas corporativo. ModSecurity está activo, pero la frecuencia requiere atención inmediata.

⚡ Acción recomendada: Correlacionar IPs de origen entre los 3 disparos. Si son las mismas IPs, implementar bloqueo permanente en el Security Group o WAF. Si son IPs distintas (botnet), evaluar geo-bloqueo o rate limiting agresivo.

⚠ AVISO DE INFRAESTRUCTURA 10 jun 2026 · 00:10 UTC

Important notice: AWS VPN Connection vpn-ea899f8b — Tunnel Redundancy Loss

De: health@aws.com (Amazon Web Services) → infraestructura@ia.com.mx

AWS reemplazó temporalmente un endpoint del túnel de la VPN Site-to-Site vpn-ea899f8b (IP: 54.89.8.114, us-east-1). El reemplazo fue iniciado por AWS (no por un atacante). Ambos túneles están operando normalmente. Sin interrupción si el Customer Gateway usaba ambos túneles.

ℹ Acción recomendada: Verificar que el Customer Gateway esté configurado para usar ambos túneles de la VPN. Confirmar que no hubo interrupción de conectividad durante el replacement window (23:55 UTC del 9 jun).

⚠ ACCIÓN REQUERIDA — AZURE AD 10 jun 2026 · 22:19 UTC · vence 25 jun

Acción requerida: Solicitud de consentimiento admin para "Slack Connector for Excel"

De: MSSecurity-noreply@microsoft.com → infraestructura@ia.com.mx

Jesús Rafael Martínez Jiménez solicitó permisos de admin en Azure Entra ID para la aplicación Slack Connector for Excel. Requiere aprobación antes del 25 jun 2026. Revisar los permisos solicitados antes de aprobar — asegurarse de que la app sea legítima y que los permisos OAuth sean los mínimos necesarios.

ℹ Acción recomendada: Revisar en entra.microsoft.com → Enterprise Applications → Admin Consent Requests. Validar que los permisos sean solo los necesarios. Aprobar/denegar antes del 25 jun.

⚠ ACCIÓN REQUERIDA — AZURE AD 10 jun 2026 · 17:42 UTC · vence 10 jul

Acción requerida: Solicitud de consentimiento admin para "Polly"

De: MSSecurity-noreply@microsoft.com → infraestructura@ia.com.mx

Alejandro Montoya Costilla solicitó permisos de admin para la app Polly en Azure Entra ID. Vence el 10 jul 2026. Polly es una app de encuestas/votaciones para Slack — verificar que sea la aplicación oficial antes de aprobar.

ℹ Acción recomendada: Validar identidad del solicitante y necesidad de negocio. Revisar permisos OAuth en el portal de Entra antes de aprobar.

⚠ AVISO DE SERVICIO 10 jun 2026 · 07:46 UTC

Cuenta de Google Workspace (ID: ia.com.mx) vencida — Acción requerida

De: GSuite-customers-noreply@google.com → infraestructura@ia.com.mx

Google reporta un saldo pendiente en la cuenta de Google Workspace para el dominio ia.com.mx. Si no se ha pagado recientemente, el acceso a servicios de Google Workspace podría ser suspendido. Verificar en admin.google.com si el aviso es legítimo.

ℹ Acción recomendada: Verificar directamente en admin.google.com el estado de facturación. No hacer clic en links del correo — navegar directamente. Si ya se pagó, ignorar.

🚫 SPAM SOSPECHOSO 10 jun 2026 · 17:52 UTC

🤯Claude Opus 4.8 AI Builds, Runs & Scales Your YouTube Channels on Autopilot (40 Off!)

De: customercare@gotowebinar.com → infraestructura@ia.com.mx

Correo de spam que usa el nombre de Claude/Anthropic como gancho. Contiene enlace sospechoso al dominio offer.lifetime-deals.online. El dominio gotowebinar.com puede estar siendo abusado para spam o puede ser un correo legítimo de GoToWebinar usado como relay de spam.

ℹ Acción recomendada: No hacer clic en el enlace. Reportar como spam. Considerar agregar el dominio lifetime-deals.online a la lista de bloqueo del filtro de correo. Revisar si el equipo se registró a algún webinar legítimo de GoToWebinar.

ℹ licencias@ia.com.mx — Este buzón está alojado on-premises (Exchange local) y no es accesible vía Microsoft Graph API. Para incluirlo en futuros reportes, migrarlo a Exchange Online o configurar un conector híbrido.

Vulnerabilidadesde las herramientasdel equipo

Vulnerabilidades
de las herramientas
del equipo