CIAC = Canal de inteligencia de Amenazas compartidas

En apoyo a Venezuela 🇻🇪 habilitamos una web temporal y sin fines de lucro tras el terremoto. En ella puedes reportar a una persona o buscar a quienes están desaparecidos o incomunicados. Comparte el enlace: cada reporte ayuda a que más familias vuelvan a encontrarse https://busquedavzla.netlify.app/ Sabemos que otras entidades estan haciendo algo similar y estaremos usando la IA para comparar busquedas Adicionalmente, abrimos nuestro correo electrónico para que puedan reportar campañas de desinformación y asi nuestro equipo pueda analizarlas, reportarlas y neutralizarlas.

📒CIAC Comparte: Harnening para Windows https://github.com/HotCakeX/Harden-Windows-Security

🚨CIAC Alerta: Un actor de amenazas afirma haber obtenido y estar ofreciendo una base de datos integral supuestamente perteneciente al Ministerio de Salud Pública de Guatemala 🇬🇹

📕 CIAC comparte: La falta de estrategia y dirección crea desorden y un sentido de urgencia innecesario.

🚨CIAC Alerta: La historia de Skills: cómo secuestraron 26 mil agentes con un solo anuncio de Instagram https://www.air.security/blog-posts/the-story-of-skills

🚨CIAC Alerta: Un actor de amenazas afirma estar vendiendo una base de datos que contiene más de 110M de registros únicos de usuarios de Notion

🚨CIAC Alerta: Un actor de amenazas motivado financieramente ha desplegado una herramienta personalizada basada en Golang llamada FortigateSniffer en más de 430.000 firewalls FortiGate a nivel global, recolectando silenciosamente más de 110 millones de credenciales desde al menos febrero de 2026, incluyendo una exfiltración confirmada de datos de un contratista de defensa alineado con la OTAN. https://cybersecuritynews.com/fortigatesniffer-tool-fortibleed/

CIAC comparte: CIS Control 8.3 Garantizar un almacenamiento adecuado de los registros de auditoría Cuando pasa un incidente, lo primero que desaparece no es el atacante… es tu evidencia. Y aquí viene el error típico: “los logs están en el servidor”. Ya. Y el servidor es justo lo primero que te van a tocar. Si el atacante compromete un host, puede borrar eventos, puede limpiar rastros, puede parar servicios de logging, puede truncar archivos, puede cambiar timestamps… y cuando tú llegas, ya no hay película. Por eso el 8.3 va de esto: los logs tienen que almacenarse de forma que sean difíciles de manipular, y con capacidad suficiente para no perderlos por volumen. Qué significa “almacenamiento adecuado” en la práctica Primero: centralizado. Los logs no pueden depender solo del host origen. Eso ya lo veníamos viendo en el 8.2. Segundo: con retención y capacidad calculada. Si tú recoges logs y en 7 días se te llena el disco, o el SIEM empieza a dropear eventos, estás ciego sin saberlo. Esto se calcula. Volumen por fuente, picos, y margen. Tercero: con integridad. Lo ideal es que los logs estén protegidos contra modificación. En muchos entornos esto se aterriza como WORM (Write Once Read Many) o como almacenamiento inmutable, o al menos como controles de permisos y separación de roles para que el atacante no lo pueda borrar “con el mismo usuario” que comprometió. Cuarto: con separación de privilegios. Si el mismo admin que administra sistemas administra también el almacenamiento de logs, y esa cuenta cae, pierdes todo. Esto enlaza con el capítulo 5 (cuentas), porque al final todo está conectado: identidad, privilegios y evidencia. Quinto: con copias y redundancia. Porque no solo hay atacante. También hay fallos. Si tu SIEM se cae o tu collector se rompe, y no tienes buffer, pierdes eventos. En logs, perder eventos es perder historia. Dónde se suele romper esto En dos sitios. Uno: en la arquitectura de collectors. Mucha gente manda syslog a un servidor sin redundancia, sin disco, sin colas, sin control. El día que hay un pico o un fallo, se pierden paquetes. Y tú ni te enteras. Dos: en cloud y SaaS. Porque “como está en la nube, ya está”. No. En la nube también hay retención limitada, y muchos audit logs tienen ventanas cortas si no los exportas. Si no los llevas a un almacenamiento tuyo (o a tu SIEM con retención), luego llega el día de la investigación y te faltan días clave. Un detalle que siempre repito: logs sin retención son como cámaras sin grabación. Te dan sensación de seguridad, pero cuando pasa algo no hay nada. Y aquí entra el factor negocio ¿Cuánto tiempo necesitas retener? Depende de regulación, de contratos, de riesgo, de tu capacidad, y de tu estrategia. Pero tiene que estar definido. No vale “lo que venga por defecto”. En empresas, lo normal es tener retención operativa (para detección diaria) y retención forense/archivo (para investigación y cumplimiento). Y ahí es donde el almacenamiento adecuado marca la diferencia: puedes tener hot storage para búsqueda rápida y cold storage para histórico. Lo importante es que exista el plan y que no pierdas evidencia. Fuente: https://www.seguridadsi.com/blog/2026/01/curso-completo-ciberseguridad-gratis_01797540560.html

📕 CIAC comparte: Como Analista SOC (Security Operations Center), ver el modelo OSI no es solo teoría académica; es el mapa de batalla para entender de dónde vienen las alertas y cómo priorizarlas. Mentalidad SOC: El atacante solo necesita una capa; nosotros debemos defender las siete.

NicaHackFest nace con un propósito claro: el visibilizar el talento que existe en Nicaragua y LATAM en ciberseguridad, tecnología e innovación, y abrir mas oportunidades de aprendizaje, conexión y crecimiento de la comunidad. Si alguna organización, empresa, comunidad o persona desea sumarse como sponsor o aliado, pueden completar el siguiente formulario: https://forms.gle/f3az6h85JBUR4FNy6

🚨CIAC Alerta: Atención Colombia 🇨🇴 actores de amenaza crean app que suplanta la identidad de Bancolombia y le agregan la función de enviar sms para hacer más creíble el proceso de fraude financiero

📢 ¡Tu experiencia cuenta! La ciberinteligencia se ha convertido en un pilar fundamental para anticipar amenazas, fortalecer la detección y mejorar la toma de decisiones en materia de ciberseguridad. Sin embargo, ¿cuál es el estado real de la ciberinteligencia en Latinoamérica? ¿Cómo la perciben y utilizan los profesionales de la región? Te invitamos a participar en nuestra encuesta sobre el estado y percepción de la ciberinteligencia en LATAM. Tu aporte nos ayudará a identificar tendencias, desafíos, oportunidades y el nivel de madurez de las capacidades de inteligencia en nuestra comunidad. 🕒 Solo te tomará unos minutos. 📊 Los resultados contribuirán a generar una visión más clara del panorama regional. 🤝 Tu participación es clave para fortalecer el ecosistema de ciberseguridad en Latinoamérica. https://forms.gle/9UBczrnLbXEvmUQG8 ¡Súmate y comparte tu perspectiva! #CyberThreatIntelligence #CTI #Ciberinteligencia #Ciberseguridad #LATAM #ThreatIntelligence #SOC #BlueTeam #CyberSecurity #InfoSec

📕 CIAC comparte: Curso de Certificación en Gestión de Centros de Operaciones de Seguridad (SOC) Inscripción: https://escueladegobierno.es/r/zW

🚨CIAC Alerta: FortiBleed es una campaña a gran escala de pulverización de contraseñas y robo de credenciales dirigida a dispositivos Fortinet, Sophos y MSSQL. Los actores de amenazas están utilizando una lista de contraseñas curada desarrollada a través de brechas y exploits de vulnerabilidades anteriores https://unit42.paloaltonetworks.com/large-scale-credential-attacks/?utm_campaign=u42+research-EN_fortibleed-x

🚨CIAC Alerta: 🇦🇷 Exposición Presunta de Datos de ConsultorioMovil / Grupo Cormos Un actor de amenazas está afirmando ofrecer 1.73 TB de datos presuntamente vinculados a ConsultorioMovil, una plataforma de atención médica y telemedicina asociada con el Grupo Cormos con sede en Argentina

🚨CIAC Alerta: 2.3 TB de datos que comprenden más de 4.5 millones de archivos. Rescate de $400,000. 🤯 🇨🇴 SaludTools Fuga de datos de salud presuntamente anunciada por actor de amenazas Un actor de amenazas afirma poseer y potencialmente vender datos presuntamente robados de SaludTools, una plataforma colombiana de gestión de salud y EMR/EHR.