Boletín — marzo 2026

Marzo concentra tres lecturas. La supply-chain: TeamPCP compromete primero Trivy y desde ahí llega a las credenciales PyPI del mantenedor de LiteLLM para publicar las versiones 1.82.7 y 1.82.8 con payload de tres etapas. La defensiva: Patch Tuesday llega sin zero-days bajo ataque activo, pero el CVSS 9.8 del mes lo firma XBOW, un agente AI autónomo, contra el Microsoft Devices Pricing Program. La ofensiva: MCPwn (CVE-2026-33032) llega como auth bypass en nginx-ui con 2.600 instancias expuestas en Shodan, parche el 15 de marzo, KEV entry detrás. En paralelo, Mandiant M-Trends 2026 publica el dato del trimestre, 22 segundos entre acceso inicial y handoff a ransomware en algunos casos de 2025, y NVIDIA GTC mete NemoClaw como respuesta corporativa al agentic security problem. Cierra el mes con DORA Register of Information entregado por miles de entidades antes del 31-mar y VMware Aria Operations explotada en su CISA KEV add.

Patch Tuesday marzo 2026 — sin zero-days in-the-wild, pero XBOW se lleva el CVSS 9.8

10 de marzo. Microsoft publica el rollup de marzo con 77 CVEs propios (84 con Adobe en paralelo), de los que dos son publicly disclosed sin explotación activa al release:

CVE-2026-21262 — Microsoft SQL Server elevation of privilege (CVSS 8.8). Un usuario autenticado puede escalar a sysadmin. La disclosure pública no vino de un advisory; vino de un artículo técnico (“Packaging Permissions in Stored Procedures”) de Erland Sommarskog que Microsoft acredita como descubridor. Categoría: improper access control en stored procedures con privilegios escalados.
CVE-2026-26127 — .NET denial of service (CVSS 7.5). Out-of-bounds read explotable sobre la red sin autenticación. Sin RCE, solo DoS.

Tres CVEs críticos no zero-day a destacar:

CVE-2026-26110 y CVE-2026-26113 — dos RCEs en Microsoft Office explotables vía preview pane. El patrón “abrir el correo basta” se mantiene como vector.
CVE-2026-26144 — Excel information disclosure con vector de exfil específico hacia Copilot. La cara nueva: bugs en componentes Office que tienen implicación Copilot directa, no solo data-at-rest sino data-en-prompt.

El bug del mes lo descubre un agente:

CVE-2026-21536 — RCE no autenticado en el Microsoft Devices Pricing Program (CVSS 9.8). Unrestricted file upload + ejecución remota sin interacción del usuario y attack complexity baja. Lo descubre XBOW, un agente AI offensive autónomo que ocupa el #1 del leaderboard de HackerOne US tras 90 días de actividad y ~1.060 vulnerabilities reportadas. Microsoft mitigó server-side antes del Patch Tuesday — el cliente no tiene que aplicar nada.

La noticia operativa es doble. Primero, la severity: el RCE de Microsoft del trimestre lo encuentra un agente, no un humano. Segundo, el baseline: si un agente autónomo está cubriendo el espacio de bug bounty público con 85x el ritmo de un pentester senior según benchmarks de XBOW, la curva de bugs descubiertos / mes va a inclinarse hacia arriba durante 2026. El defensor recibe parches; el atacante con presupuesto también puede comprar tooling análogo. Lo único que esto no cambia es el patrón de prioridades: el parche llega, hay que aplicarlo, no hay zero-day in-the-wild este mes.

Fuente: https://msrc.microsoft.com/update-guide/ · https://krebsonsecurity.com/2026/03/microsoft-patch-tuesday-march-2026-edition/ · https://xbow.com/blog/three-rce-vulnerabilities-in-microsoft-identified-xbow

CVE-2026-33032 — nginx-ui MCPwn, takeover en dos requests

15 de marzo. nginx-ui publica la versión 2.3.4 con el parche de CVE-2026-33032 — codename MCPwn, asignado por Pluto Security. CVSS 9.8.

El bug: la integración MCP de nginx-ui expone dos endpoints, /mcp y /mcp_message. /mcp lleva AuthRequired() middleware. /mcp_message lleva solo IP allowlist, sin middleware de auth. Y /mcp_message es el que sirve los 12 tools que ejecutan operaciones destructivas: reload de configs, modificación, exec de comandos.

La cadena de explotación es trivial:

1. Atacante con acceso de red abre SSE contra /mcp
2. Recibe sessionID válido (no requiere auth porque /mcp lo entrega antes
   de chequear nada útil para destructive tools)
3. Llama /mcp_message con el sessionID — sin auth, solo IP allowlist por
   defecto en allow-all
4. Cualquiera de los 12 tools queda disponible: reload nginx, reescribir
   config, exec comandos del sistema

Dos requests HTTP, takeover completo. Shodan reporta 2.600 instancias publicly exposed vulnerables. Pluto Security lo lista entre las 31 vulnerabilities actively exploited durante marzo 2026. La entrada en CISA KEV llega en las semanas siguientes.

El bug es a la vez bug y design choice: el patrón de exponer una shell-equivalent tool API en HTTP sin que el middleware de auth la cubra es la categoría dominante de bugs MCP a Q1 2026 (el técnico de marzo cubre el ecosistema completo). La fix recomendada, añadir middleware.AuthRequired() a /mcp_message y cambiar el allowlist default de allow-all a deny-all, es del orden de cinco líneas en el código de nginx-ui. La gravedad no está en la dificultad del fix; está en la facilidad de hacer el bug.

Fuente: https://www.rapid7.com/blog/post/etr-cve-2026-33032-nginx-ui-missing-mcp-authentication/ · https://www.picussecurity.com/resource/blog/cve-2026-33032-mcpwn-how-a-missing-middleware-call-in-nginx-ui-hands-attackers-full-web-server-takeover

VMware Aria Operations CVE-2026-22719 — CISA KEV el 3 de marzo

3 de marzo. CISA añade CVE-2026-22719 al KEV catalog citando explotación activa. CVSS 8.1. Command injection en VMware Aria Operations explotable por unauth attacker durante el flujo de migración de productos asistida por soporte. La vulnerabilidad la disclosure inicial es del 24 de febrero como parte del VMSA-2026-0001 advisory de Broadcom.

Broadcom matiza que es “aware of reports of potential exploitation” pero “cannot independently confirm their validity”; CISA pasa de la matización y la mete en KEV con deadline 24 de marzo para Federal Civilian Executive Branch.

El workaround para clientes que no pueden parchear inmediatamente: shell script aria-ops-rce-workaround.sh corriendo como root en cada nodo de Aria Operations Virtual Appliance. El patrón “el vendor publica un script que el sysadmin corre como root con curl/bash” sigue siendo aceptable durante incidentes activos en 2026 — lo cual dice más del state of practice que del riesgo del propio script.

Fuente: https://thehackernews.com/2026/03/cisa-adds-actively-exploited-vmware.html · https://www.securityweek.com/vmware-aria-operations-vulnerability-exploited-in-the-wild/

LiteLLM supply chain (TeamPCP) — el AI Gateway como pivote a la infra

24 de marzo, 10:39 UTC. Las versiones litellm==1.82.7 y litellm==1.82.8 aparecen en PyPI con payload malicioso. El grupo TeamPCP — también rastreado como PCPcat / Persy_PCP / ShellForce / DeadCatx3 — había comprometido las credenciales PyPI del mantenedor cinco días antes a través de un compromiso previo del scanner Trivy (19-mar, 17:43 UTC: reescriben tags Git en aquasecurity/trivy-action con la misma carga). Los paquetes maliciosos viven en PyPI ~3 horas antes de que PyPI los cuarentene. El 23 de marzo el mismo cluster ataca Checkmarx KICS con C2 en checkmarx.zone.

La versión 1.82.8 introduce un mecanismo de ejecución evasiva: un fichero litellm_init.pth en site-packages que Python ejecuta automáticamente al iniciar cualquier proceso, esté LiteLLM importado o no. Payload en tres etapas: (1) credential harvester sobre SSH keys, configs AWS/GCP/Azure, wallets cripto y ficheros .env; (2) lateral movement en Kubernetes vía pods privilegiados; (3) backdoor persistente vía systemd con C2 para payloads adicionales.

Lectura estructural: el playbook no es zero-day contra el producto. Es compromiso de productos de seguridad (Trivy, Checkmarx) para usarlos como rampa hacia targets downstream. Las herramientas que un dev instala para defenderse son el vector. El gateway de AI deja de ser solo un proxy con credenciales: es un punto de pivote a la infra que lo aloja. Es la primera operación pública multi-ecosistema documentada que cubre PyPI + npm + Docker Hub + GitHub Actions + OpenVSX en una sola campaña.

Fuente: https://docs.litellm.ai/blog/security-update-march-2026 · https://www.trendmicro.com/en_us/research/26/c/inside-litellm-supply-chain-compromise.html · https://snyk.io/blog/poisoned-security-scanner-backdooring-litellm/ · https://securitylabs.datadoghq.com/articles/litellm-compromised-pypi-teampcp-supply-chain-campaign/ · https://unit42.paloaltonetworks.com/teampcp-supply-chain-attacks/

Mandiant M-Trends 2026 — 22 segundos al handoff de ransomware

Marzo 2026. Google Cloud / Mandiant publica M-Trends 2026, basado en 500.000+ horas de incident response durante 2025. El número que va a circular en presentaciones del Q2:

El initial access → ransomware hand-off medio bajó de >8 horas en 2022 a 22 segundos en 2025 en algunos casos observados.

Está casos, no medio absoluto. Pero la dirección es clara: el atacante operativo va más rápido que en cualquier año previo. La razón es que initial access pasa de “atacante humano explorando” a “operador con playbook industrializado y tooling propio que dispara el handoff a un afiliado de ransomware en cuanto la sesión está caliente”.

Otras piezas del report:

AI-aware malware. Mandiant documenta familias como PROMPTFLUX y PROMPTSTEAL que consultan LLMs en runtime para evadir detección. No es AI-generated malware; es malware que durante su ejecución hace inference para tomar decisiones. La categoría empieza a tener nombre propio.
Distillation attacks. La exfil de IP donde el atacante extrae lógica propietaria y datos de entrenamiento de modelos high-value. Categoría que arXiv venía publicando desde 2024; M-Trends lo formaliza como vector de IP theft en el informe.
Recovery denial como táctica explícita. Operadores como REDBIKE (Akira) y AGENDA (Qilin) atacan deliberadamente la infraestructura que la víctima necesita para recuperarse — backups, identity services, virtualization management — antes de cifrar producción. La consecuencia: incidentes que en 2023 se medían en “horas hasta restore” en 2025 se miden en “días hasta restore + decisión de pagar”.
Iniciar vector — exploitation of vulnerabilities sigue siendo el initial access más común (categoría descrita en el informe), por encima de phishing.

El informe es la primera fuente cuantitativa del 2026 que vamos a citar durante el resto del año.

Fuente: https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2026/ · https://complexdiscovery.com/twenty-two-seconds-to-hand-off-inside-mandiants-m-trends-2026-findings/

NVIDIA GTC 2026 — NemoClaw y agentic security como categoría comercial

16-19 de marzo. NVIDIA GTC San Jose 2026 — keynote de Jensen Huang, anuncios alineados con el ciclo agentic. El bloque AI security:

NemoClaw — stack de seguridad para agentic AI. Combina OpenShell (runtime open source para ejecución sandboxed de agentes), policy enforcement, network guardrails y privacy router. Policy-based security, network and privacy guardrails, monitoring de la reasoning chain del agente para identificar acciones fuera de policy.
NVIDIA OpenClaw — definición de “claw” como autonomous agent, marca paralela al posicionamiento de Anthropic con MCP y de OpenAI con sus Agents. NemoClaw es la primera referencia de implementación.
NVIDIA Nemotron local models en DGX Spark / RTX PCs. Inferencia local con privacy/cost benefits, pensado para hospitales / banks / sectores regulados que no quieren API externa.

Lectura operativa: la agentic security pasa de ser categoría de research y startups (TrueFoundry, AgentSeal, Invariant) a tener producto de la mayor empresa AI del mercado. La hipótesis subyacente, que los agentes en producción necesitan una capa de runtime separada del modelo para hacer policy enforcement, la firman ahora Anthropic con ASL frameworks, NVIDIA con NemoClaw, AWS con Bedrock Guardrails, Microsoft con Copilot Studio governance. Los enfoques son distintos; la convicción de que hace falta esa capa es ya consenso del proveedor.

La pregunta abierta: si el guardrail vive en el wrapper que NVIDIA / AWS / Microsoft venden, el control compensatorio depende del vendor. La alternativa, un open standard for agent guardrails, no existe a Q1 2026. Para CISO planificando 2027, la decisión de cuál stack de agentic security tiene la misma duración que la de cuál SIEM una década atrás.

Fuente: https://blogs.nvidia.com/blog/gtc-2026-news/ · https://www.sdxcentral.com/news/nvidia-details-nemoclaw-security-guardrails-in-wake-of-ai-agent-concerns/

CrowdStrike Global Threat Report 2026 — eCrime breakout 29 minutos, AI ops +89 %

24 de febrero (publicado, eco en marzo). CrowdStrike publica 2026 Global Threat Report. Headline numbers:

eCrime breakout time medio: 29 minutos en 2025. El fastest observado: 27 segundos. La breakout time es el tiempo entre la primera intrusion y el lateral movement — la ventana real que tiene el defensor para detectar y responder antes de que el ataque se expanda.
AI-enabled adversaries +89 % YoY. Operaciones documentadas que usan AI para recon, credential theft, evasión, social engineering. Es el número complementario al 22 segundos de Mandiant — el atacante es más rápido porque automatiza con LLMs.
Adversaries explotando AI systems. Prompt injections inyectadas contra GenAI tools en 90+ organizaciones y abuse de AI development platforms para staging. El atacante no solo usa AI; ataca el deployment de AI del defensor.
Zero-days como vector de initial access: 42 % de las vulnerabilities exploitadas en intrusiones documentadas se usaron antes de la disclosure pública. Es decir, casi la mitad de las explotaciones in-the-wild que CrowdStrike vio en 2025 estaban contra bugs todavía no documentados en NVD.
Cloud intrusions +37 % global y +266 % en operaciones state-nexus apuntadas a cloud para colección de intel.

Conjunto con Mandiant, el headline operativo del Q1 2026 es: la curva de tiempo del atacante se ha colapsado y la curva de uso de AI por el atacante se ha disparado. La curva del defensor, según ambos reports, no se ha movido al mismo ritmo.

Fuente: https://www.crowdstrike.com/en-us/global-threat-report/ · https://www.crowdstrike.com/en-us/blog/crowdstrike-2026-global-threat-report-findings/

DORA — Register of Information con deadline 31-mar y enforcement activo

Marzo 2026. Primer ciclo completo del Register of Information (RoI) bajo DORA tras un año de aplicabilidad. El RoI es el inventario obligatorio que cada entidad financiera tiene que reportar a su NCA con todos los contratos de ICT services con third-party providers (Art. 28 §3 del Reglamento 2022/2554). Reporting period 1-ene a 21-mar (o siguiente working day); reference date 31-dic-2025; formato xBRL-CSV con table-oriented layout.

Las deadlines varían por jurisdicción dentro de marzo. España incluida en el ciclo:

País	Deadline / ventana
Austria (FMA)	16-feb a 13-mar
Luxemburgo (CAA, insurance)	1-mar
Países Bajos (DNB)	20-mar
Alemania (BaFin)	9-mar a 30-mar
Irlanda (CBI)	2-mar a 31-mar
Italia (IVASS)	31-mar
Luxemburgo (CSSF)	11-feb a 31-mar
ESA-level central submission	31-mar

Lo operativo: 2026 marca el inicio del active enforcement real. Las NCAs y las ESAs (EBA, EIOPA, ESMA) pasan de “review paperwork” a “demand proof” — evidencias en tiempo real de resilience, automated reporting, demonstrable control sobre ICT risk. Las primeras formal enforcement actions por reporting failures se esperan durante 2026.

El framework de sanciones: hasta 2 % del global annual turnover o 10 M EUR, lo que sea mayor. Individual fines hasta 1 M EUR. Para ICT third-party providers críticos: hasta 5 M EUR + 1 % del daily global turnover por día de non-compliance hasta seis meses. Más suspensión de servicios, on-site inspections, public disclosure de breaches.

Para entidades financieras españolas con scope DORA, la coordinación con NIS2 (transpuesta en España vía LO X/2025 durante el segundo semestre 2025) y con el ENS sigue siendo trabajo del trimestre. Lo que sí se ve en febrero-marzo: dos tercios de las grandes entidades publicando RoIs incompletos en el primer intento, retornándose para complete. La banca pública (entidades sistémicas) reporta con más estructura que la insurance / pension funds.

Fuente: https://www.dnb.nl/en/sector-news/supervision-2026/dora-reporting-dora-registers-of-information-in-march-2026/ · https://www.regulation-dora.eu/blog/dora-2026-enforcement-what-changes

Anthropic — Claude Dispatch y Agent Teams en Claude Code

Marzo 2026. Anthropic abre Claude Dispatch como research preview en macOS. El producto: remote computer control vía QR-code pairing entre el iPhone y el Mac. El usuario delega una tarea desde el móvil (compilar un report, organizar archivos, browsing); Claude ejecuta autónomamente sobre el ordenador del usuario; el iPhone muestra streaming del progreso. Despliegue inicial a suscriptores Max, después a Pro.

La pieza paralela: Agent Teams en Claude Code. Arquitectura multi-agent con ejecución paralela, agent-to-agent communication vía shared task lists, dependency tracking entre subtareas. El patrón de un agente que coordina subagentes con tools especializados, que existía en research desde 2023 (AutoGen, AgentScope) y en productos puntuales en 2024-2025, entra como feature first-class en el cliente más usado para developer agents.

Lectura cyber: ambos productos amplían el blast radius del agente — Dispatch da control físico al modelo sobre el escritorio del usuario, Agent Teams permite que un agente padre escale a múltiples sub-agentes con tools propios. La superficie de toxic flow y de MCP poisoning que el técnico de marzo describe se aplica con multiplicador a Agent Teams: cada subagente es un host MCP con su propio conjunto de servidores, sus propios tokens, su propio contexto. La sesión deja de ser unidad de aislamiento.

Para CISO con Claude Code en el equipo, las preguntas de Q2 son: ¿cómo limito por subagente los tokens y scopes? ¿Cómo audito entre agentes los tool calls? ¿Cómo cierro el flujo si uno de los subagentes pasa por un MCP server comprometido? Las respuestas no están en la documentación al cierre de marzo.

Fuente: https://anthemcreation.com/en/artificial-intelligence/claude-march-2026-computer-use-dispatch-anthropic-updates/

OpenAI — GPT-5.4 con native computer use y cyber safeguards reforzados

6 de marzo. OpenAI anuncia GPT-5.4 — flagship con mejoras en reasoning, coding y agent workflows sobre GPT-5.3-Codex. Headline number de seguridad: claims individuales 33 % menos likely to be false y respuestas full 18 % menos likely to contain any error vs GPT-5.2. Es la primera vez que OpenAI publica deltas concretos de hallucination en una release principal.

Detalle de seguridad:

Native computer-use capability como primer general-purpose model — el ChatGPT Agent / Operator funcionality queda integrada al modelo base. Implicación: cualquier deployment de GPT-5.4 vía API hereda la capacidad de browsing y action sobre superficies remotas que antes era opt-in.
Cyber safety systems ampliados, monitoring tools, trusted access controls, request blocking sobre Zero Data Retention surfaces para high-risk activity.
Strengthened safeguards while preparing GPT-5.4 for release — lenguaje genérico, no hay framework público equivalente al RSP de Anthropic en granularidad.

La sucesión de modelos en Q1-Q2 2026: GPT-5.4 (mar) → GPT-5.5 + GPT-5.5-Cyber (abr-may) — este último entrenado específicamente para tareas defensive con permisividad ampliada, accesible solo a vetted cybersecurity teams. El patrón “model con un sibling Cyber para uso restringido” es nuevo: replica el modelo de capability gating que Anthropic había sugerido con trusted access en su Responsible Scaling Policy v3.

Fuente: https://www.helpnetsecurity.com/2026/03/06/openai-chatgpt-gpt%E2%80%915-4-model-release/ · https://openai.com/index/gpt-5-5-with-trusted-access-for-cyber/

CISA KEV marzo — añadidos del mes

20 de marzo. CISA añade cinco vulnerabilities a KEV basadas en evidencia de active exploitation:

CVE-2025-31277 — Apple multiple products buffer overflow (publicado en 2025, exploit observado en 2026).
CVE-2025-32432 — Craft CMS code injection. Vector contra sites públicos.
CVE-2025-43510 — Apple multiple products improper locking.
CVE-2025-43520 — Apple multiple products classic buffer overflow.
CVE-2025-54068 — Laravel Livewire code injection.

Sumado a la entry de CVE-2026-22719 (VMware Aria Operations, 3-mar) y la próxima entry de CVE-2026-33032 (nginx-ui MCPwn, llega en abril), el mes acumula explotación pública contra VMware management plane, Apple ecosystem desktop/mobile, PHP application frameworks y WebUI de infraestructura de red. Las cuatro categorías reflejan superficies con baseline de exposición alta y patch hygiene desigual.

El CVE-2025-66376 (Zimbra) también aparece en mid-March KEV adds, atribuido a actor targeting entidades ucranianas — patrón visto en H2 2025 con misma category de target.

Fuente: https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Resto del mes

Apple iOS 18.7 / 19.x patch wave (mediados de marzo). Apple publica supplementary patches sobre la línea iOS 19 con CVEs de la categoría WebKit y kernel. Sin zero-day in-the-wild atribuido del mes, pero la categoría AirPlay vuelve a aparecer en el changelog (patrón de 2025).
Google Chrome 134 → 135 stable con la batch trimestral de seguridad. Sin ForumTroll-tier explotación pública confirmada del mes.
MITRE Hack the Capitol 2026 (mediados de marzo). Evento policy + research. Discusiones públicas sobre AI agent governance, agentic incident response como categoría emergente, y el rol de NIST en frameworks de AI red teaming post-NIST AI 100-1.
Akamai / Cloudflare DDoS reports Q1. Continuación de la curva de AI-augmented DDoS (botnets gestionados por AI) que ENISA empezó a marcar como trend a finales de 2025. Volúmenes pico siguen subiendo; los patrones (multi-vector con rotación adaptativa) no son nuevos, sí la velocidad de respuesta de la botnet a la mitigación del defensor.
EBA / EIOPA / ESMA — Joint Committee report sobre DORA primer año (final de marzo / primeros días de abril). Retrospectiva sobre lecciones del 2025 con foco en TLPT framework, designation de ICT TPPs críticos y gaps de implementación detectados durante las inspecciones de Q3-Q4 2025.

Patrón del mes

Marzo 2026 en una frase: el atacante mide en segundos lo que el defensor mide en sprints. 22 segundos al ransomware handoff (Mandiant), 27 segundos breakout time (CrowdStrike), 2 requests HTTP a takeover (MCPwn), 28 minutos a CVSS 9.8 (XBOW). El tiempo del defensor — Patch Tuesday mensual, RoI anual, sprints de dos semanas, audits trimestrales — no se ha colapsado al mismo ritmo.

Lo que esto cambia para el operador en Q2 2026:

Tiempo medio para parchear high/critical sigue siendo la métrica clave. Si la breakout time del atacante son minutos y la patch SLA del operador son semanas, la asimetría es estructural.
Agentic posture management entra como categoría de control. La velocidad a la que NemoClaw / OpenShell / equivalents se adoptan es la velocidad a la que la superficie agentic deja de ser default-open.
Inventario explícito de MCP servers por equipo y por usuario es lo equivalente a Q1 2026 del inventario de SaaS apps de 2021-2022. Si no sabes qué servidores corre cada developer, no puedes proteger nada de lo que el técnico de este mes describe.
DORA RoI no es un ejercicio de paperwork. Las entidades que pasen el primer ciclo con un RoI completo y consistente van a estar mejor posicionadas en el segundo. Las que ad-hoc el RoI van a recibir requests específicas de las NCAs durante Q2.

Abril sigue con AI Act Annex III prep (cuatro meses para high-risk obligations a 2-ago-2026), Pwn2Own Berlin en mayo, posible spec MCP breakage en la revisión 2026-Hx, y la cola de KEV adds del MCPwn que llega en las primeras semanas.