Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas1 2 3 ... 217

Noticias Informáticas / Ubuntu anuncia el fin del soporte de GNOME en X11

Junio 11, 2025, 03:35:16 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Ahora sí que sí, Ubuntu abraza Wayland para no volver atrás: Ubuntu 25.10 eliminará el soporte de GNOME en X11, por lo que los usuarios se quedan finalmente sin margen para maniobrar. En resumen, o Wayland o nada... Al menos, en lo que a la edición principal de Ubuntu con GNOME se refiere.

La noticia no es, o no debería ser ninguna sorpresa, y es que el fin del soporte de GNOME en X11 estaba previsto desde hace tiempo. Para más datos, será el propio GNOME el que retire dicho soporte con en su próxima versión, GNOME 49, cuyo lanzamiento se espera para la segunda mitad del año. Y, claro, toda distribución dependiente del escritorio se verá arrastrada por el cambio.

La primera en advertirlo fue Fedora y ahora le llega el turno a Ubuntu, punta de lanza del escritorio Linux aún a día de hoy. Aunque el empujón es el mismo: GNOME. Sin embargo, a diferencia de Fedora, Ubuntu siempre fue reacia al cambio por motivos de compatibilidad, al punto de avanzar y retroceder en repetidas ocasiones en en este particular aspecto.

Así, no fue hasta la reciente Ubuntu 24.10 que Ubuntu adoptó la sesión con Wayland por defecto incluso al usar gráficas Nvidia. Algo que ya anunciaron hace años, sin terminar de cumplirlo debido, precisamente, a cuestiones de compatibilidad: desde Ubuntu 17.10 lleva Canonical amagando con dar el paso para acabar reculando de un modo u otro. Pero se han quedado sin más posibilidad que acatar.

«En los últimos ciclos, la experiencia de Wayland ha madurado significativamente, incluido un soporte mejorado para los controladores de Nvidia, ofreciendo un modelo de seguridad más sólido, soporte estable para la mayoría de los flujos de trabajo diarios, mejor aislamiento de la pila de gráficos y soporte táctil y HIDPI mejorado», anuncia Jean Baptiste Lallement, miembro del Canonical Desktop Team en Discourse.

«Mientras tanto, mantener las sesiones X11 y Wayland introduce deuda técnica y aumenta la carga de mantenimiento, lo que limita nuestra capacidad de innovar de manera eficiente», añade. Porque quizás alguien se plantee que Canonical podría haber mantenido por su cuenta este soporte, pero va a ser que no.

Y todo esto significa, en conclusión, que «la pantalla de inicio de sesión (GDM) ya no ofrecerá la opción de Ubuntu en Xorg [...] Todas las sesiones basadas en GNOME Shell y Mutter ahora son exclusivas de Wayland y los usuarios que dependen de comportamientos específicos de X11 no podrán usar el entorno de escritorio GNOME en Xorg».

«Al movernos ahora, brindamos a los desarrolladores y usuarios un ciclo completo para adaptarse antes del próximo LTS», concluye. ¿Y quienes todavía necesiten de X11, «por ejemplo, en configuraciones de escritorio remoto o flujos de trabajo altamente especializados»? Puedes regresar a Ubuntu 24.04 u optar por otro sabor oficial. Por lo demás, el soporte para con la mayoría de aplicaciones seguirá disponible mediante XWayland.

¿Comienza, ahora sí, el despliegue definitivo de Wayland como protocolo gráfico de referencia en el escritorio Linux? De ser así, llega décadas más tarde de lo esperado, pero también de lo deseable. Pero más vale tarde que nunca y, sobre todo, más vale tarde y bien que rápido y mal.

Fuente:
MuyLinux
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Mozilla aprieta el bolsillo y anuncia el cierre de Orbit

Junio 11, 2025, 03:33:22 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Mozilla sigue cerrando el grifo allá donde puede y el último sacrificio es a la postre, una de las iniciativas más recientes de la compañía: Orbit, el asistente de IA de Firefox. Pues bien, si usabas esta extensión, puedes apurar lo que le queda o ir desinstalándola, porque tiene los días contados. Literalmente.

En concreto, Orbit cerrará el 26 de junio de 2025, en apenas un par de semanas. A partir de ese momento «ya no podrás utilizar la extensión Orbit», advierte el sitio oficial del proyecto desde hace unos días. Por qué termina tan abruptamente algo que, en principio, tenía su interés, no se ha explicado por ahora, pero todo apunta a lo mencionado: cortar el gasto todo lo posible.

Cabe recordar a este respecto que Mozilla ha realizado movimientos muy destacados en las últimas semanas, incluyendo el cierre de servicios como Pocket y Fakespot y el traslado del desarrollo de Firefox a GitHub. Todo ello con el objetivo de ahorrar recursos económicos, en el caso de que se termine obligando a Google a vender Chrome y, en consecuencia, la compañía deje de financiar a Firefox tal y como lo hace actualmente.

En cuanto a Orbit, el asistente de IA de Firefox, ya os contamos en su momento de qué se trata: «Ahorra tiempo con Orbit mientras haces malabarismos con correos electrónicos, lees extensos documentos, hojeas artículos o miras videos. Orbit ofrece resúmenes concisos que te ayudan a comprender la información esencial rápidamente sin sacrificar tu privacidad», según su descripción. O sea, algo así como el Copilot o el Leo de Firefox.

Habrá quien guste más o menos de este tipo de herramientas, pero lo cierto es que se están convirtiendo en algo muy apreciado por cada vez más usuarios y el enfoque de Mozilla con Orbit era interesante, al utilizar LLM de código abierto como Mistral y al asegurar un nivel de privacidad muy superior al de la competencia... O eso parecía. Al menos, hasta que les dio por cambiar las condiciones de Firefox y hacer sonar todas las alarmas.

Por otro lado, si eres usuario de Firefox y tener un asistente de IA es importante para ti, el navegador implementó una función que todavía sigue en desarrollo y hay que activar a mano, pero que es realmente interesante ya que te permite elegir el modelo entre una pequeña selección... y algo más. Todo un acierto que, esperamos, conserven. Orbit, por lo pronto, nunca saldrá de beta.

Fuente:
MuyLinux
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Meta ha vuelto a vulnerar tu privacidad

Junio 11, 2025, 01:03:22 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cada vez que creemos haber tocado fondo en la erosión de nuestra privacidad digital, alguna gran tecnológica se encarga de recordarnos que el pozo es más profundo. Y si hay una compañía que se ha ganado, con méritos persistentes, el protagonismo de estas malas noticias, esa es Meta. Hoy, una nueva investigación revela que la empresa ha vuelto a pasar por encima de la voluntad de los usuarios, empleando un sistema que le permite seguir recolectando datos personales aunque estos hayan rechazado explícitamente ser rastreados.

Un nuevo estudio técnico ha desvelado una operación de rastreo que, durante meses, ha permitido a las aplicaciones de Meta —Facebook e Instagram— interceptar información del navegador de los usuarios Android sin que estos dieran su consentimiento explícito. Lo que parecía imposible se ha convertido en una realidad: asociar tu historial de navegación con tu identidad personal en redes sociales, en tiempo real, y sin que pudieras evitarlo. Todo, gracias a una serie de técnicas tan sofisticadas como preocupantes.

El sistema, bautizado como puente de identificación web-a-aplicación, se basa en una particularidad del sistema operativo Android: la posibilidad de que cualquier aplicación con permiso de red escuche conexiones en localhost (127.0.0.1). Meta ha explotado esta característica para hacer que sus apps nativas actúen como receptores en segundo plano, escuchando en puertos específicos. Cuando el usuario visita una web con el script de Meta Pixel incrustado, este script establece una conexión con las aplicaciones activas del mismo dispositivo, compartiendo con ellas identificadores de seguimiento como la cookie _fbp.

Esta cookie, diseñada en teoría como una solución de análisis web de primera parte, se transforma en manos de Meta en una herramienta para desanonimizar usuarios. Su valor, que viaja habitualmente de forma limitada entre páginas de un mismo dominio, es extraído por el JavaScript del navegador y reenviado tanto al servidor de Meta como a las apps nativas. Y ahí está el quid de la cuestión: esas aplicaciones, ejecutándose en segundo plano, cruzan el identificador con el ID persistente del usuario en Facebook o Instagram. En otras palabras: Meta sabe qué has visto, cuándo lo has visto, y quién eres.

El flujo técnico impresiona por su complejidad: el navegador transmite la cookie mediante WebRTC, a través de técnicas avanzadas como SDP Munging, que permite insertar datos arbitrarios en campos de señalización. Las apps nativas escuchan esos paquetes, y posteriormente reenvían la información a los servidores de Meta mediante llamadas GraphQL. Todo esto ocurre sin interacción alguna por parte del usuario, y se activa con la simple carga de una página web con Meta Pixel.

El impacto es abrumador. Se estima que más de 5,8 millones de sitios web integran este script, y en pruebas realizadas con los 100.000 principales sitios web, más del 75% de los que usan Meta Pixel en EE. UU. y Europa intentaron compartir el ID _fbp sin consentimiento. Esta operación elude el borrado de cookies, el modo incógnito, los controles de permisos de Android y la compartimentación entre procesos. Lo hace todo mal. Y lo hace en silencio.

Las implicaciones de privacidad son tan graves que algunos navegadores ya han reaccionado. Chrome ha implementado bloqueos específicos en su versión 137, Firefox hará lo mismo en su versión 139, y navegadores centrados en la privacidad como Brave o DuckDuckGo estaban ya protegidos por sus propios mecanismos. En paralelo, Meta ha desactivado la funcionalidad desde el 3 de junio de 2025 y asegura estar colaborando con Google para resolver "problemas de política". No se ha ofrecido una explicación pública más allá de eso.

Este proceso no depende de cookies ni de identificadores tradicionales. Es más difícil de bloquear con medidas comunes de privacidad, y ha sido diseñado para operar en segundo plano, sin notificación al usuario. Incluso los sistemas de consentimiento basados en el marco TCF de IAB Europe, ampliamente usados en webs europeas para cumplir con la legislación de privacidad, son directamente ignorados si la web ha optado por integrar esta función de forma predeterminada. El resultado es un rastreo sistemático y encubierto que vulnera tanto la legislación vigente como la confianza del usuario.

No es un escándalo aislado. Desde Cambridge Analytica hasta el intercambio de datos entre WhatsApp y Facebook, el historial de Meta es una cronología de vulneraciones a la privacidad. Pero lo que cambia ahora es la sutileza con la que se ejecuta la invasión, y la dificultad que tiene el usuario para detectarla. Esta última revelación confirma que, lejos de buscar una relación más transparente y respetuosa, la empresa sigue explorando nuevas vías para obtener ventaja comercial a costa de nuestros derechos.

Quizá lo más preocupante de todo es que este tipo de abusos apenas provocan ya sorpresa. Nos hemos acostumbrado a que nuestra privacidad sea moneda de cambio, a que las grandes plataformas exploren los límites de la legalidad con el objetivo de obtener un perfil más detallado de quiénes somos. Pero normalizarlo no lo hace menos grave. Y cada vez que aceptamos esta realidad sin consecuencias, cedemos otro fragmento de nuestra autonomía digital. Uno más. Hasta que no quede nada.

Fuente:
MuyComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Problemas entre los motherboard EVGA y las GPU modernas

Junio 11, 2025, 12:50:01 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Informes de r/TEAMEVGA y otros foros indican una creciente preocupación por los problemas de arranque con las nuevas GPU RTX 50 en placas base EVGA. El problema radica en pines SMBUS adicionales en varias placas base EVGA, lo que genera un conflicto al combinarse con GPU Nvidia. Sin soporte oficial, los usuarios han recurrido a una ingeniosa solución: tapar con cinta los pines del conector PCIe de la GPU para silenciar cualquier comunicación no deseada. Hasta el momento, esta solución ha funcionado para varios usuarios.

Alegando conflictos con Nvidia, EVGA se retiró del mercado de GPU en 2022 y redujo considerablemente sus otras operaciones comerciales. Una consecuencia directa de esta contracción se ha manifestado en un soporte de software deficiente, que probablemente sea la causa de estos problemas de arranque reportados. Probablemente no se trate de malas intenciones, sino de la drástica reducción de EVGA, lo que significa que probablemente no tengan suficientes recursos para dedicarlos al software, suponiendo que esos equipos sigan existiendo.

Según el usuario de Reddit, su EVGA Z690 Classified incluye pines SMBUS en la ranura PCIe (pines 5 y 6), que generalmente no están cableados en la mayoría de las alternativas de consumo. SMBUS es una pequeña línea de comunicación que utilizan principalmente los componentes para comunicaciones ligeras, como la gestión de energía y la temperatura. Es muy posible que las GPU RTX 50 de Nvidia no esperen o no puedan gestionar una conexión SMBUS, lo que impide el arranque del sistema.

Naturalmente, los usuarios no están contentos. "EVGA es una sombra de lo que fue y obtener actualizaciones de BIOS por problemas de compatibilidad de hardware es un rollo", se lamentó uno. "Básicamente, han dejado a sus clientes abandonados en lo que respecta a sus placas base". Otros acusaron a EVGA de usar a Nvidia como chivo expiatorio y de descuidar a sus clientes.

Incluso si deshabilitar estos pines mediante el firmware fuera una opción, el soporte de EVGA se ha reducido a los foros de Reddit, probablemente reflejando la situación de sus equipos de software. El usuario de Reddit encontró una solución ingeniosa revisando foros antiguos e identificando el origen del problema en los pines 5 y 6 del dedo dorado de la GPU, responsables de gestionar la conexión SMBUS.

La solución fue romper la conexión con una tira de cinta Kapton de 2 mm de ancho sobre los dos pines del conector PCIe, creando una barrera que impedía que las señales SMBUS llegaran a la GPU. Es un proceso un poco complicado, ya que requiere mucha precisión para asegurar que solo se bloqueen esos pines, pero funciona.

Como requisito previo, el usuario sugiere limpiar el dedo dorado con alcohol isopropílico. Es importante destacar que este no es un problema generalizado, ya que otras placas base EVGA, incluyendo algunos modelos Z690 y la mayoría de los Z790, no se han visto afectadas. No hemos recibido ninguna información oficial de EVGA al respecto, al menos por ahora.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Apple cambia el nombre de sus sistemas operativos

Junio 11, 2025, 12:46:57 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Apple ha anunciado un cambio radical en la forma en que nombra —o, mejor dicho, numera— sus sistemas operativos. En lugar de numerarse por el número de versiones, ahora se nombran según el año. Bueno, el año que viene, para ser exactos.

Así pues, tenemos iOS 26 para los iPhone de este año, y macOS Tahoe 26 para los ordenadores de Apple. iPadOS 26, watchOS 26, tvOS 26 y visionOS 26 completan el conjunto. En los próximos años, los números se acumularán, lo que facilitará determinar si un dispositivo Apple ejecuta la última versión de su software o no.

La nueva numeración es una clara simplificación del sistema anterior de Apple, que incluía iOS 18 al mismo tiempo que watchOS 11 y visionOS 2.

Apple anunció el cambio durante la conferencia inaugural de su Conferencia Mundial de Desarrolladores (WWDC), que se celebra a lo largo de la semana. No es del todo sorprendente; Bloomberg informó a finales de mayo que Apple estaba planeando el cambio.

Fuente:
The Verge
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Hackean la cuenta en X del presidente de Paraguay

Junio 11, 2025, 12:45:39 AM

En otro ataque de alto perfil a una cuenta X, el presidente de un país sudamericano fue víctima de estafadores que intentaban aprovechar la última tendencia en las reservas de bitcoin (BTC). Sin embargo, los delincuentes parecen haberse quedado sin nada.

En una publicación, ya eliminada, de la cuenta X de Santiago Peña, presidente de Paraguay, los estafadores afirmaron que el país legalizó el BTC, mientras que el presidente también "confirmó" una reserva de bitcoin de 5 millones de dólares y "acceso a bonos para ciudadanos con acceso a criptomonedas".

La publicación también decía que "su inversión de hoy determinará la escala de este lanzamiento", instando a los usuarios a "asegurar su participación en bitcoin ahora" y proporcionando un enlace, ahora indescifrable y una dirección de BTC. Según los datos de la blockchain de bitcoin, la dirección estuvo activa por última vez el 19 de mayo de 2025 y, tras recibir 0,0265 BTC (2900 dólares), su saldo total ahora vale 4 dólares.

Algunos medios de comunicación incluso cayeron en la trampa de las noticias falsas, publicando que Paraguay había declarado BTC de curso legal.

Mientras tanto, hace unas horas, Peña agradeció al Equipo de Respuesta a Incidentes de Ciberseguridad de Paraguay del Ministerio de Tecnologías de la Información y las Comunicaciones y al equipo X por su ayuda para recuperar el control de su cuenta.

"La ciberseguridad es clave, y estos eventos nos demuestran que todos debemos contribuir a la construcción de un ecosistema digital seguro, confiable y resiliente", añadió el presidente.

En cualquier caso, el mensaje falso se volvió más creíble por la reciente tendencia de algunos países, inspirados por el ejemplo de EE. UU., de hablar sobre sus propias reservas de BTC. Desde entonces, varias empresas han lanzado sus propias estrategias de reservas de BTC.

Además, Paraguay también alberga grandes operaciones de minería de bitcoin gracias a su abundante energía barata. Mientras tanto, en Centroamérica, El Salvador legalizó el bitcoin en 2021, pero se vio obligado a reducir sus regulaciones y planes debido a la presión del Fondo Monetario Internacional.

En cualquier caso, Santiago Peña no es el único líder latinoamericano en verse envuelto en problemas debido a las controversias relacionadas con las criptomonedas. A principios de junio, la Oficina Anticorrupción de Argentina declaró que el presidente del país, Javier Milei, no violó las leyes al respaldar el token Libra (LIBRA) en febrero de 2025, lo que ayudó a algunos a ganar cientos de millones mientras que otros perdieron más de 200 millones de dólares.

Según se informó, Milei incluso enfrentó cargos de fraude y un posible impeachment tras este fracaso de las criptomonedas.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Nueva falla de Secure Boot permite instalar malware BootKit

Junio 10, 2025, 11:58:01 PM

Investigadores de seguridad han revelado una nueva omisión de Arranque Seguro (Secure Boot), identificada como CVE-2025-3052, que puede utilizarse para desactivar la seguridad en PC y servidores e instalar malware bootkit.

La falla afecta a casi todos los sistemas que confían en el certificado "UEFI CA 2011" de Microsoft, es decir, prácticamente todo el hardware compatible con Arranque Seguro.

El investigador de Binarly, Alex Matrosov, descubrió la falla CVE-2025-3052 tras encontrar una utilidad de actualización de BIOS firmada con el certificado UEFI de Microsoft.

La utilidad se diseñó originalmente para tabletas robustas, pero al estar firmada con el certificado UEFI de Microsoft, puede ejecutarse en cualquier sistema con Arranque Seguro habilitado.

Investigaciones posteriores descubrieron que el módulo vulnerable había estado circulando libremente desde al menos finales de 2022 y posteriormente se publicó en VirusTotal en 2024, donde Binarly lo detectó.

Binarly informó sobre la falla al CERT/CC el 26 de febrero de 2025, y hoy se mitigó la CVE-2025-3052 como parte del martes de parches de junio de 2025 de Microsoft.

Sin embargo, durante este proceso, Microsoft determinó que la falla afectaba a otros 13 módulos, que se añadieron a la base de datos de revocación.

Durante el proceso de triaje, Microsoft determinó que el problema no afectaba a un solo módulo, como se creía inicialmente, sino a 14 módulos diferentes, explica Binarly.

Por esta razón, la dbx actualizada, publicada durante el martes de parches del 10 de junio de 2025, contiene 14 nuevos hashes.

Eludir el Arranque Seguro

La falla se debe a una utilidad legítima de actualización del BIOS firmada con el certificado UEFI CA 2011 de Microsoft, de confianza en la mayoría de los sistemas modernos que utilizan firmware UEFI.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esta utilidad lee una variable NVRAM modificable por el usuario (IhisiParamBuffer) sin validarla. Si un atacante tiene permisos de administrador en un sistema operativo, puede modificar esta variable para que se escriban datos arbitrarios en ubicaciones de memoria durante el proceso de arranque UEFI. Esto se realiza antes de que se cargue el sistema operativo, o incluso el kernel.

Aprovechando esta vulnerabilidad, Binarly creó un exploit de prueba de concepto para anular la variable global 'gSecurity2', que se utiliza para aplicar el Arranque Seguro.

"Para nuestra prueba de concepto (PoC), optamos por sobrescribir la variable global gSecurity2", explica el informe de Binarly.

"Esta variable contiene un puntero al Protocolo Arquitectónico Security2, que la función LoadImage utiliza para aplicar el Arranque Seguro. Al establecerla a cero, desactivamos el Arranque Seguro, lo que permite la ejecución de cualquier módulo UEFI sin firmar".

Una vez desactivada, los atacantes pueden instalar malware bootkit que puede ocultarse del sistema operativo y desactivar otras funciones de seguridad.

Para corregir la vulnerabilidad CVE-2025-3052, Microsoft ha añadido los hashes del módulo afectado a la lista de revocación de archivos dbx de Arranque Seguro. Binarly y Microsoft instan a los usuarios a instalar el archivo dbx actualizado inmediatamente a través de las actualizaciones de seguridad de hoy para proteger sus dispositivos.

También hoy, Nikolaj Schlej reveló otra omisión de Arranque Seguro que afecta al firmware compatible con UEFI basado en Insyde H2O. La falla, denominada Hydroph0bia y identificada como CVE-2025-4275, se informó a Insyde y se corrigió 90 días después de su divulgación.

Binarly ha compartido un vídeo que demuestra cómo su PoC puede deshabilitar el Arranque seguro y hacer que se muestre un mensaje antes de que se inicie el sistema operativo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Martes de parche de Microsoft: corrige 66 vulnerabilidades de día cero explotada

Junio 10, 2025, 11:55:10 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Martes de Parches de junio de 2025 de Microsoft, que incluye actualizaciones de seguridad para 66 vulnerabilidades, incluyendo una vulnerabilidad explotada activamente y otra divulgada públicamente.

Este Martes de Parches también corrige diez vulnerabilidades "críticas": ocho de ellas son vulnerabilidades de ejecución remota de código y dos son errores de elevación de privilegios.

El número de errores en cada categoría de vulnerabilidad se detalla a continuación:

13 vulnerabilidades de elevación de privilegios

3 vulnerabilidades de omisión de funciones de seguridad

25 vulnerabilidades de ejecución remota de código

17 vulnerabilidades de divulgación de información

6 vulnerabilidades de denegación de servicio

2 vulnerabilidades de suplantación de identidad

Este recuento no incluye las vulnerabilidades de Mariner, Microsoft Edge y Power Automate corregidas a principios de este mes.

Dos vulnerabilidades de día cero

El martes de parches de este mes corrige una vulnerabilidad de día cero explotada activamente y una vulnerabilidad divulgada públicamente. Microsoft clasifica una vulnerabilidad de día cero como divulgada públicamente o explotada activamente mientras no haya una solución oficial disponible.

La vulnerabilidad de día cero explotada activamente en las actualizaciones de hoy es:

CVE-2025-33053 - Vulnerabilidad de ejecución remota de código en Autoría y control de versiones web distribuidos (WEBDAV)

Microsoft corrigió una vulnerabilidad de ejecución remota de código descubierta por Check Point Research.

"Existe una vulnerabilidad de ejecución remota de código en Autoría y control de versiones web distribuidos de Microsoft Windows. La explotación exitosa de esta vulnerabilidad podría permitir que un atacante remoto ejecute código arbitrario en el sistema afectado", afirma un aviso de Check Point Research.

El aviso de Microsoft también indica que el usuario debe hacer clic en una URL de WebDAV especialmente diseñada para explotar la vulnerabilidad.

Un nuevo informe de Check Point Research explica que la vulnerabilidad CVE-2025-33053 fue explotada en ataques de día cero por un grupo APT llamado "Stealth Falcon".

"En marzo de 2025, Check Point Research identificó un intento de ciberataque contra una empresa de defensa en Turquía", explicó Check Point.

"Los actores de amenazas utilizaron una técnica no revelada previamente para ejecutar archivos alojados en un servidor WebDAV que controlaban, manipulando el directorio de trabajo de una herramienta legítima integrada en Windows".

"Tras una divulgación responsable, Microsoft asignó la vulnerabilidad CVE-2025-33053 y lanzó un parche el 10 de junio de 2025, como parte de sus actualizaciones del martes de parches de junio".

Microsoft atribuye el descubrimiento de esta vulnerabilidad a Alexandra Gofman y David Driker (Check Point Research).

La vulnerabilidad de día cero divulgada públicamente es:

CVE-2025-33073 - Vulnerabilidad de elevación de privilegios en el cliente SMB de Windows

Microsoft corrige una falla en SMB de Windows que permite a los atacantes obtener privilegios de sistema en dispositivos vulnerables.

«Un control de acceso inadecuado en SMB de Windows permite a un atacante autorizado elevar privilegios en una red», explica Microsoft.

Para explotar esta vulnerabilidad, un atacante podría ejecutar un script malicioso especialmente diseñado para obligar a la máquina víctima a conectarse de nuevo al sistema de ataque mediante SMB y autenticarse. Esto podría resultar en una elevación de privilegios, explica Microsoft.

Microsoft no ha compartido cómo se divulgó públicamente la falla. Sin embargo, Born City informa que DFN-CERT (Equipo de Respuesta a Emergencias Informáticas de la Red de Investigación Alemana) comenzó a difundir advertencias de RedTeam Pentesting sobre la falla esta semana.

Si bien ya hay una actualización disponible, la falla se puede mitigar al aplicar la firma SMB del lado del servidor mediante la directiva de grupo.

Microsoft atribuye el descubrimiento de esta falla a varios investigadores, entre ellos Keisuke Hirata de CrowdStrike, Synacktiv research de Synacktiv, Stefan Walter de SySS GmbH, RedTeam Pentesting GmbH y James Forshaw de Google Project Zero.

Actualizaciones recientes de otras empresas

Otros proveedores que publicaron actualizaciones o avisos en junio de 2025 incluyen:

Adobe publicó actualizaciones de seguridad para InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader y Substance 3D Painter.

Cisco publicó parches para tres vulnerabilidades con código de explotación público en sus productos Identity Services Engine (ISE) y Customer Collaboration Platform (CCP).

Fortinet publicó actualizaciones de seguridad para una vulnerabilidad de comando del sistema operativo ('OS Command Injection') en los productos FortiManager, FortiAnalyzer y FortiAnalyzer-BigData.

Las actualizaciones de seguridad de Google de junio de 2025 para Android corrigen numerosas vulnerabilidades. Google también corrigió una vulnerabilidad de día cero de Google Chrome que se explotaba activamente. Hewlett Packard Enterprise (HPE) publicó actualizaciones de seguridad para corregir ocho vulnerabilidades que afectan a StoreOnce.

Ivanti publicó actualizaciones de seguridad para corregir tres vulnerabilidades clave de alta gravedad, codificadas de forma rígida, en Workspace Control (IWC).

Qualcomm publicó actualizaciones de seguridad para tres vulnerabilidades de día cero en el controlador de la unidad de procesamiento gráfico (GPU) Adreno, que se explotan en ataques dirigidos.

Roundcube publicó actualizaciones de seguridad para una falla crítica de ejecución remota de código (RCE) con un exploit público que ahora se explota en ataques.

SAP publicó actualizaciones de seguridad para varios productos, incluyendo una comprobación de autorización crítica faltante en SAP NetWeaver Application Server para ABAP.

Actualizaciones de seguridad del martes de parches de junio de 2025

A continuación, se muestra la lista completa de vulnerabilidades resueltas en las actualizaciones del martes de parches de junio de 2025.

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas que afecta, puede consultar el informe completo:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Código fuente de mac.c Stealer para macOS a la venta

Junio 09, 2025, 11:45:54 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un sofisticado malware dirigido a macOS de Apple, conocido como "mac.c Stealer", se vende presuntamente en la dark web. La venta incluye el código fuente completo del stealer, su panel de comando y control y el compilador, con un precio inicial de 35.000 dólares.

Este desarrollo representa una amenaza significativa para los usuarios de macOS, ya que la disponibilidad del código fuente podría provocar la proliferación de nuevas variantes personalizadas del malware, lo que dificultaría su detección y defensa.

El vendedor afirma que el proyecto es un negocio ya establecido, con una pequeña base de clientes ya existente.

"mac.c Stealer" es un potente malware de robo de información, diseñado para comprometer sistemas con arquitecturas Intel (x64_86) y Apple Silicon (ARM). Sus capacidades son extensas y se centran en la exfiltración de una amplia gama de datos confidenciales de los equipos infectados.

El malware supuestamente tiene la capacidad de recopilar:

Contraseñas, cookies, historial y datos de autocompletado de navegadores basados en Chromium. Credenciales de monederos de criptomonedas de escritorio y extensiones de criptomonedas para navegador.

Información de la cadena de llaves de macOS.

Sesiones de Telegram.

Archivos del escritorio y carpetas de documentos.

Tokens de autenticación de Google Chrome.

La venta de un ladrón de criptomonedas con tantas funciones como paquete listo para usar es alarmante para la comunidad de ciberseguridad. Reduce las barreras de entrada para que actores maliciosos menos cualificados lancen ciberataques efectivos contra usuarios de macOS.

El incidente subraya la creciente tendencia del malware como servicio (MaaS) y destaca la necesidad continua de medidas de seguridad robustas, incluso en plataformas tradicionalmente consideradas más seguras.

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10

Noticias Informáticas / Google corrige bug que podía revelar los números de teléfono privados

Junio 09, 2025, 11:43:38 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un investigador de seguridad descubrió un error que podría explotarse para revelar el número de teléfono de recuperación privado de casi cualquier cuenta de Google sin alertar a su propietario, lo que podría exponer a los usuarios a riesgos de privacidad y seguridad.

Google confirmó a TechCrunch que corrigió el error después de que el investigador alertara a la compañía en abril.

El investigador independiente, conocido como brutecat y quien publicó sus hallazgos en un blog, declaró a TechCrunch que podían obtener el número de teléfono de recuperación de una cuenta de Google explotando un error en la función de recuperación de cuentas de la compañía:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El exploit se basaba en una "cadena de ataque" de varios procesos individuales que trabajaban en conjunto, incluyendo la filtración del nombre completo para mostrar de una cuenta objetivo y la elusión de un mecanismo de protección antibots que Google implementó para evitar el envío de spam malicioso de solicitudes de restablecimiento de contraseña. Superar el límite de velocidad permitió al investigador recorrer todas las posibles permutaciones del número de teléfono de una cuenta de Google en poco tiempo y obtener los dígitos correctos.

Al automatizar la cadena de ataque con un script, el investigador afirmó que era posible acceder por fuerza bruta al número de teléfono de recuperación del titular de una cuenta de Google en 20 minutos o menos, dependiendo de la longitud del número.

Para probarlo, TechCrunch creó una nueva cuenta de Google con un número de teléfono inédito y proporcionó a brutecat la dirección de correo electrónico de nuestra nueva cuenta.

Poco después, brutecat respondió con el número de teléfono que habíamos configurado.

"¡Bingo! ", dijo el investigador.

Revelar el número de teléfono de recuperación privado puede exponer incluso las cuentas de Google anónimas a ataques dirigidos, como intentos de robo de identidad. Identificar un número de teléfono privado asociado a la cuenta de Google de alguien podría facilitar que hackers expertos tomaran el control de ese número mediante un ataque de intercambio de SIM, por ejemplo. Con el control de ese número, el atacante puede restablecer la contraseña de cualquier cuenta asociada generando códigos de restablecimiento de contraseña que se envían a ese teléfono.

Dado el riesgo potencial para el público en general, TechCrunch acordó reservar esta noticia hasta que se pudiera solucionar el error.

"Este problema ya se ha solucionado. Siempre hemos enfatizado la importancia de colaborar con la comunidad de investigadores de seguridad a través de nuestro programa de recompensas por vulnerabilidades y queremos agradecer al investigador por informar sobre este problema", declaró a TechCrunch la portavoz de Google, Kimberly Samra. "Este tipo de informes de investigadores son una de las muchas maneras en que podemos encontrar y solucionar rápidamente problemas para la seguridad de nuestros usuarios".

Samra afirmó que la compañía no ha encontrado "ningún vínculo directo confirmado con exploits hasta el momento".

Brutecat afirmó que Google pagó 5000 dólares en concepto de recompensa por errores por su hallazgo

Fuente:

brutecat Blog
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11

Noticias Informáticas / Protocolo DeFi de Bitcoin pierde 8 millones en vulnerabilidad

Junio 09, 2025, 11:40:45 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En otro ejemplo de cómo algunos proyectos de criptomonedas explotados buscan compensar a sus usuarios afectados, un proyecto de finanzas descentralizadas (DeFi) impulsado por bitcoin anunció un programa de apoyo tras un exploit multimillonario.

El domingo, el equipo detrás del Protocolo Alex detalló su Programa de Subvenciones del Tesoro, destinado a compensar a los usuarios tras la explotación del protocolo el viernes pasado, que ascendió a unos 8,4 millones de dólares.

El explotador logró extraer varios tipos de tokens, como stacks (STX), monedas estables y versiones tokenizadas de bitcoin (BTC), de los fondos de liquidez del protocolo, donde los usuarios aportan sus fondos para proporcionar liquidez y recibir recompensas.

El equipo afirma que, utilizando la tesorería de la Fundación Alex Lab, cubrirán el 100 % de las pérdidas de cada usuario afectado, pagadas en la moneda estable USDC.

"Para calcular cada reembolso, utilizaremos el promedio de los tipos de cambio en cadena registrados entre las 10:00 UTC y las 14:00 UTC del 6 de junio de 2025", indicaron, y añadieron que los usuarios deben completar el formulario de solicitud y confirmar la dirección de su billetera receptora antes del 10 de junio a las 23:59 UTC.

Se promete que los fondos se distribuirán en un plazo de siete días tras la solicitud. Mientras tanto, dado que los estafadores suelen intentar engañar a las víctimas haciéndose pasar por el proyecto afectado y luego robando sus fondos, Alex recuerda a los usuarios que sean cautelosos y utilicen únicamente el sitio web oficial del proyecto para presentar su solicitud.

Aunque aún no se ha anunciado un análisis posterior más detallado del ataque, el equipo afirmó que se explotó mediante una falla en la lógica de verificación de autolistado, culpando en parte a su blockchain subyacente, Stacks (STX), una de las plataformas de capa 2 de itcoin más populares.

Sin embargo, los comentaristas se apresuraron a desestimar la acusación, enfatizando que el diseño del contrato inteligente de Alex es el culpable, ya que "la lógica de autolistado puede implementarse (y se ha implementado) sin explotación".

Mientras tanto, en una noticia relacionada previamente publicada por No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, otro protocolo DeFi recientemente explotado, Cetus, recibió el apoyo de la comunidad de su blockchain subyacente, Sui (SUI), tras aprobarse con éxito la votación para reembolsar 162 millones de dólares a las víctimas del exploit de Cetus.

"No se conecten a otros sitios ni aplicaciones; desconfíen de quien ofrezca 'ayuda', y proporcione un enlace de Zoom o solicite acceso remoto. No compartan ni introduzcan su frase semilla en ningún sitio. Incluso en los canales oficiales de ALEX, asegúrense de verificar su nombre de usuario con etiquetas oficiales para garantizar su autenticidad", advirtieron.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12

Noticias Informáticas / BreachForums se reinicia bajo un nuevo dominio

Junio 08, 2025, 04:30:28 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Tras una misteriosa baja en abril, uno de los foros de hacking más conocidos de la deep web parece estar resurgiendo con la ayuda de nombres conocidos.

Tras semanas de silencio y especulación, BreachForums, uno de los foros de hacking más popular de la deep web, parece haber resurgido con un nuevo dominio. Cybernews recibió un correo electrónico, supuestamente de ShinyHunters, que indicaba que el foro había regresado con un nuevo dominio: "breach-forums.st".

"El foro está creciendo rapidísimo y ganando mucha popularidad. Además, quiero aclarar que ningún miembro de nuestro equipo ha sido arrestado", escribió ShinyHunters.

Se cree que el conocido grupo de hacking angloparlante ha operado BreachForums desde el arresto en 2023 de su anterior administrador, Pompompurin. ShinyHunters ya ha incluido datos robados de Santander, AT&T y Ticketmaster.

El 3 de junio, apareció una publicación del alias darked321 en el foro rival de la deep web, DarkForums, anunciando el relanzamiento de BreachForums y su acceso, esta vez a través de un dominio de la red limpia (breach-forums[.]st) y una dirección onion.

El anuncio también incluía una declaración de ShinyHunters. Su mensaje afirmaba que el nuevo sitio era legítimo, estaba oficialmente respaldado y se estaba restaurando tras una importante auditoría de infraestructura.

También se detectó a IntelBroker en la nueva función "Shoutbox" del sitio. Este actor de amenazas es otro filtrador de datos prolífico y de alto perfil que ha permanecido prácticamente en silencio desde que el foro dejó de estar disponible el 15 de abril de 2025.

Desactivación y resurrección del foro Breach

BreachForums cerró repentinamente a mediados de abril, lo que desató una oleada de especulaciones en foros de la dark web y canales de Telegram. Algunos sospecharon de acciones de las fuerzas del orden. Otros señalaron a hackers rivales. Un grupo hacktivista llamado Dark Storm incluso se atribuyó la responsabilidad, sin pruebas.

El 28 de abril, ShinyHunters reapareció brevemente para publicar una declaración firmada con PGP en la interfaz del sitio, culpando a una vulnerabilidad de día cero de MyBB y alegando que agencias gubernamentales habían intentado acceder a la base de datos del sitio.

También advirtieron a los usuarios que evitaran los foros falsos que surgieron tras el cierre.

Desde su desaparición, han seguido surgiendo otros dominios Breached, pero según los analistas de ZeroFox, estos clones no lograron consolidarse y muchos de sus dominios están inactivos.

ZeroFox Intelligence cree que es muy probable que breach-forums[.]st sea el verdadero sucesor, operado por actores con acceso a la infraestructura original. Los intentos de registrar nuevas cuentas han fracasado hasta el momento debido a errores de SQL de MyBB, lo que indica que la configuración del backend aún está en proceso.

A pesar de los problemas técnicos, las primeras señales sugieren que esta versión podría ser la auténtica. Ha aparecido contenido histórico que data de 2023 y la interfaz de usuario del sitio se ha renovado notablemente.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13

Debates, Reviews y Opiniones / Re:PODCAST de Héctor López en el canal de MAFIA

Junio 08, 2025, 04:18:57 PM

Según recuerdo, en BreachForums había un hacker mexicano de cierta reputación respaldado en que filtraba bastante bases de datos de LATAM principalmente, que le conocía. Él puso un post en el cual lo exponía, con foto incluida, y mostraba pruebas y argumentos que refutaban precisamente sus intensiones de estrellato como hacker y demás. Tenía sus discordias con él obviamente, y se burlaba de los métodos que empleaba para tratar de localizarlo y atacarlo. Lo tildaba de mediocre entre otras denominaciones muy duras.

En fin, estas "vendettas provincianas", son dadas precisamente por los egos y las presunciones de reconocimiento y ostentación.

Independientemente de si sea o no lo que declara en su marketing y publicidad como es ese vídeo, versa el viejo adagio que: "la buena obra por sí sola se alaba" y hablemos de su cuenta bancaria y los miles que ha conquistado con sus virtudes. El estado de la billetera siempre es muy buen indicativo del éxito o no, y esto lo he aprendido de las chicas que siempre son muy objetivas, realistas y duras, al juzgar el éxito de quién las pretende.

El que realmente es grande, de ingenio y talento No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, no se anda pregonándolo tanto por las esquinas en autoparlantes. Basta entrar a cualquier Foro de ciberdelincuencia y sin mucha publicidad, se consta quiénes realmente son talentosos. También salen en las noticias; si no es el alias, es su trabajo, pero se impone el impacto de su genio y obra.

Ojo, no todos están dedicados a la ciberdelincuencia, hay investigadores muy buenos.

Esto del catalogar "la hojarasca" del "metal precioso" lo da mucho la experiencia. Al instante diferencias "las voces" de "los ecos".

#14

Debates, Reviews y Opiniones / Re:PODCAST de Héctor López en el canal de MAFIA

Junio 07, 2025, 09:44:47 PM

Hola chicos

Me gustaría dejarles mi criterio en base a experiencias de ya tiempo.

Estas técnicas de autopublicidad siempre traen como objetivo crearse un mito o "auto leyenda" que ensalce las habilidades personales e intelectuales.

Por lo general van plagadas de grandes dosis de narcisismo y sensacionalismos. Todo para crearse un curriculum o reputación que le pueda traer ciertos beneficios como posibles contratos por compañías, medios de comunicación masiva, etc. Ni les voy a mencionar nombres.

A día de hoy, ya no es necesario poseer grandes conocimientos para realizar ataques sensacionalistas DDOS, o usar sofisticados malwares, etc. La razón es sencilla, todo se alquila en servicios, si sabes contactar por las vías correctas.

Así pues, realizar un DDOS de impacto, solo se debe contactar a un propietario (o propietarios) de una botnet, y estos le facilitan el cliente para la cometida, o personalmente llevan el ataque.

Esos "softwares personales", mencionados y creados para fines maliciosos y espectaculares, son amarillismos para inflamar la imaginación.

Puede ser que alguien con ingenio, que ya van siendo equipos de desarrolladores, creen un software como se declara (ej: un stealer; o un minero) que se renta con el aquello de monetizar. Explota vulnerabilidades conocidas, o algún cero day descubierto; ambas inclusive.

Vengo yo, pago, y les digo:

- "chicos, mi gato desde el sábado que comió carne asada... está hecho un león con pulgas y no cree en nadie...
Se ha llevado por delante todos los wifis que se ha topado y les ha sacado las claves a todos".

Cuando en realidad ha rentado un servicio y está jugando con el cliente del software.

Esto es lo común. Lo demás es manipulación de la ignorancia y fantasías de los usuarios normales que desconocen cómo funciona el mercado.

#15

Redes y antenas / Nuevo servicio DNS de la UE

Junio 06, 2025, 04:04:16 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Unión Europea ha decidido tomar la iniciativa con el lanzamiento de DNS4EU, un servicio DNS diseñado para mantener los datos de los ciudadanos dentro del territorio europeo (conforme a sus estrictas leyes de protección de datos), pero también para dar un paso clave hacia la 'soberanía digital' al reducir la dependencia de servicios estadounidenses como Google DNS y Cloudflare.

¿Qué es un DNS?

Un servidor DNS (siglas de 'Domain Name System') actúa como una especie de traductor entre las direcciones web que usamos los humanos (como 'www.google.com') y las direcciones IP (como '142.250.184.132') que entienden los ordenadores. Es un componente esencial de Internet, y aunque la mayoría de los usuarios no lo cambian (por defecto, vienen asignados automáticamente por las operadoras), la elección del DNS afecta directamente la velocidad, privacidad y seguridad de la navegación.

Los servicios DNS más populares, como los de Google ( 8.8.8.8 ) o Cloudflare ( 1.1.1.1 ), son gratuitos y rápidos, pero pertenecen a empresas estadounidenses, lo que implica que los datos de navegación de millones de europeos terminan en servidores ajenos de la jurisdicción europea.

Origen y objetivos de DNS4EU

Por todo ello, la Comisión Europea anunció en 2022 la creación de DNS4EU. Este proyecto, liderado por la empresa checa Whalebone y respaldado por un consorcio de nueve organizaciones de países de la UE, se propuso desarrollar un servicio DNS íntegramente gestionado y alojado dentro del continente europeo.

Los supuestos objetivos de este servicio son claros:

• Proteger la privacidad de los usuarios, evitando la recopilación indebida de datos personales.

• Reforzar la seguridad digital, bloqueando amenazas como malware, contenido fraudulento y páginas maliciosas.

• Garantizar la soberanía tecnológica, ofreciendo una infraestructura digital gestionada desde Europa.

• Ofrecer alternativas específicas para ciudadanos, gobiernos e industrias.

Funcionalidades y diferentes niveles de protección de DNS4EU

DNS4EU ofrece cinco configuraciones distintas, adaptadas a diferentes necesidades de los usuarios:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Además de IPv4, estas configuraciones están disponibles también en IPv6, DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT).

Infraestructura en crecimiento

Aunque el servicio aún se encuentra en fase beta, DNS4EU ya ha desplegado 14 servidores por toda Europa, incluyendo uno en Madrid. Gracias al uso de tecnología anycast, cada país puede mantener servidores propios conectados a los puntos de intercambio locales.

Por otro lado, una característica distintiva de DNS4EU es su integración con los CERTs nacionales (los equipos de respuesta a emergencias informáticas), que proporcionan inteligencia de amenazas actualizada por región: esto permite una defensa más eficaz y localizada frente a los riesgos digitales.

¿Cómo empezar a usar DNS4EU?

Cualquier usuario puede empezar a utilizar DNS4EU de forma gratuita, sólo es necesario cambiar los DNS de tu dispositivo o router, eligiendo entre los cinco niveles de protección disponibles. En la página oficial hay instrucciones disponibles para todos los sistemas operativos modernos:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
Genbeta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16

Noticias Informáticas / Nuevas versiones de Chaos RAT apuntan a sistemas Windows y Linux

Junio 06, 2025, 03:26:33 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de Acronis TRU descubrieron nuevas variantes de Chaos RAT dirigidas a Linux y Windows en ataques recientes. Detectado originalmente en 2022, Chaos RAT evolucionó en 2024, con nuevas muestras apareciendo en 2025. TRU también descubrió una falla crítica en el panel web de Chaos RAT que permite la ejecución remota de código. La última variante parece engañar a las víctimas para que descarguen una herramienta falsa de resolución de problemas de red de Linux, lo que amplía aún más sus métodos de infección.

"Desarrollado en Golang, Chaos RAT ofrece compatibilidad multiplataforma con sistemas Windows y Linux, otro claro ejemplo de cómo herramientas legítimas útiles pueden contener vulnerabilidades y ser reutilizadas para actividades cibercriminales", afirma el informe publicado por Acronis. "Si bien su uso general sigue siendo limitado, muestras recientes confirman que Chaos RAT sigue activo. Su bajo perfil de detección crea oportunidades para el espionaje, la exfiltración de datos y el establecimiento de puntos de apoyo para ransomware y otras operaciones posteriores a la vulneración".

Chaos RAT es una herramienta de acceso remoto (RAT) de código abierto desarrollada en Golang, diseñada para funcionar tanto en sistemas Windows como Linux. Este RAT está inspirado en herramientas como Cobalt Strike y Sliver. Incluye un panel de administración donde los atacantes pueden crear cargas útiles, gestionar sesiones y controlar los dispositivos infectados. Si bien el malware basado en Golang suele ser más grande y lento que las versiones en C++, ofrece compatibilidad multiplataforma más sencilla y un desarrollo más rápido, lo que lo hace atractivo para los ciberdelincuentes.

Chaos RAT, inicialmente diseñado para la administración remota legítima, ha sido reutilizado por actores de amenazas debido a su naturaleza de código abierto. Aunque su desarrollo comenzó en 2017, se empleó por primera vez en ataques reales a finales de 2022, principalmente dirigidos a sistemas Linux en campañas de minería de criptomonedas. Su creciente uso resalta la necesidad de comprender su arquitectura, métodos de ataque y cómo detectarlo y defenderse.

El RAT se propaga a menudo mediante correos electrónicos de phishing con enlaces o archivos adjuntos maliciosos. Los primeros ataques utilizaban tareas cron para actualizar las cargas útiles de forma remota, lo que permitía a los atacantes implementar mineros de criptomonedas o Chaos RAT sin volver a acceder al sistema. El RAT se utilizaba principalmente para reconocimiento. En un caso reciente en India, un archivo llamado NetworkAnalyzer.tar.gz contenía el RAT, camuflado como una herramienta de red Linux, lo que sugiere que los atacantes utilizaron ingeniería social para engañar a la víctima.

El Chaos RAT ofrece una serie de comandos para el control del sistema y el robo de datos. Puede recopilar información del sistema operativo y del usuario, tomar capturas de pantalla, reiniciar o apagar el sistema, bloquear o cerrar sesión de usuarios (solo Windows), explorar y administrar archivos (explorar, cargar, descargar, eliminar) y abrir URL en el navegador predeterminado. Es compatible con Windows y Linux, con algunas funciones específicas del sistema operativo. Estas capacidades permiten a los operadores controlar los sistemas infectados y extraer datos de forma remota.

Chaos RAT permite a los atacantes administrar archivos, abrir shells inversos y redirigir el tráfico de red, funciones útiles para espiar, robar datos o preparar el terreno para el ransomware. Al ser de código abierto, los actores de amenazas pueden modificar fácilmente el código para evitar la detección, lo que dificulta el rastreo de ataques o la distinción entre ciberdelincuentes y grupos de estados nacionales que utilizan la misma herramienta.

"Lo que comienza como una herramienta para desarrolladores puede convertirse rápidamente en la herramienta predilecta de un actor de amenazas. Este RAT basado en Go ofrece una interfaz web sencilla y potentes controles de sistema en Windows y Linux, ofreciendo shells inversos, manipulación de archivos y ejecución remota de comandos en sistemas comprometidos", concluye el informe. Se ha detectado en la práctica y representa un problema creciente en ciberseguridad: la instrumentalización del software de código abierto. Con capacidades de implementación rápida, ataques sigilosos contra Linux y una configuración flexible, nos recuerda que el código abierto es un arma de doble filo y, en las manos equivocadas, puede ser muy dañino.

Fuente:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias relacionadas:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17

Noticias Informáticas / Restricciones a tierras raras en China detienen producción automotriz

Junio 06, 2025, 03:12:55 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las industrias automotrices, tanto en EE. UU. como en Europa, podrían paralizarse en cuestión de semanas debido a las restricciones vigentes de China a las exportaciones de tierras raras e imanes. Varios fabricantes europeos de autopartes ya han detenido sus líneas de producción, según la Asociación Europea de Proveedores de Automoción (CLEPA).

China introdujo estrictos controles de exportación sobre tierras raras e imanes a principios de abril como parte de su respuesta recíproca a los nuevos aranceles de Donald Trump. Si bien la mayoría de estos aranceles se han suspendido temporalmente desde entonces, las restricciones a las tierras raras siguen vigentes en todo el mundo, lo cual representa un problema, ya que se estima que China controla más del 90 % de la cadena de suministro de tierras raras.

Las empresas que desean exportar estos materiales ahora requieren una licencia, y esta ha sido difícil de obtener: Nikkei informa que solo se ha aprobado el 25 % de las solicitudes. Según The New York Times, esto ha tenido un impacto negativo, ya que algunos fabricantes de imanes en China han pausado la producción a la espera de que se reanuden las exportaciones, lo que podría causar más escasez en el futuro.

Este problema afecta a múltiples industrias, como la robótica y la defensa, y los fabricantes de automóviles corren un riesgo especial. Los imanes de tierras raras son esenciales para los motores híbridos y eléctricos, pero también se encuentran en todo tipo de productos, desde convertidores catalíticos hasta asientos de coche. The Times informa que los ejecutivos del sector automovilístico estadounidense advierten que la producción podría reducirse en cuestión de semanas, mientras que, tras una primera advertencia la semana pasada, varios proveedores europeos de piezas ya han comenzado a suspender sus actividades.

"Con una cadena de suministro global profundamente entrelazada, las restricciones a la exportación de China ya están paralizando la producción en el sector de proveedores europeos", declaró Benjamin Krieger, secretario general de CLEPA, en un comunicado. "Hacemos un llamamiento urgente a las autoridades de la UE y de China para que entablen un diálogo constructivo para garantizar que el proceso de concesión de licencias sea transparente, proporcionado y se ajuste a las normas internacionales".

Fuente:
The Verge
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18

Noticias Informáticas / Acceso a la red del Gobierno español está presuntamente comprometido

Junio 06, 2025, 02:59:52 AM

Un actor de amenazas presuntamente ha afirmado poseer acceso administrativo al Protocolo de Escritorio Remoto (RDP) de "gob.es", el dominio oficial del gobierno español. Este dominio es una pieza crítica de la infraestructura nacional, que alberga diversos servicios e información gubernamentales.

De confirmarse, la presunta brecha podría representar un incidente de ciberseguridad significativo con implicaciones de gran alcance para la seguridad de los datos y las operaciones gubernamentales.

Según una publicación en un foro de hackers, el individuo afirma tener credenciales de administrador y visibilidad sobre numerosos ordenadores de la red del gobierno español.

Según se informa, el actor está buscando la ayuda de otras personas con experiencia en la escalada de privilegios para obtener acceso a todos los ordenadores de la red.

Este hecho genera serias preocupaciones sobre la posibilidad de acceso no autorizado a información confidencial y la posible interrupción de las funciones gubernamentales. Es probable que la investigación de estas afirmaciones sea una prioridad para las autoridades españolas.

Datos/Acceso presuntamente comprometidos:

Acceso administrativo mediante RDP a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Visibilidad en varios ordenadores de la red gubernamental

Posibilidad de acceso completo a la red y escalada de privilegios (tal como busca el actor)

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19

Noticias Informáticas / Marca minorista española Hacendado presuntamente fue violada

Junio 06, 2025, 02:58:09 AM

Hacendado, una destacada marca española asociada principalmente a Mercadona, una de las mayores cadenas de supermercados de España, ha sido presuntamente víctima de una importante filtración de datos. Un actor no autorizado afirma haber explotado una vulnerabilidad de día cero en un sistema de gestión de inventario y logística de terceros integrado con la infraestructura de backend de Hacendado, lo que ha comprometido una gran cantidad de datos de usuarios.

Hacendado es una marca blanca ampliamente reconocida de Mercadona, que ofrece una amplia gama de productos de alimentación y para el hogar, lo que convierte a Mercadona en un actor clave en el sector minorista español, con millones de clientes en España y Portugal. La magnitud de sus operaciones implica que una filtración de datos podría tener consecuencias generalizadas para su base de clientes.

El autor de la presunta filtración ofrece un conjunto de datos sustancial para su venta privada, que supuestamente contiene información sobre más de 27 millones de usuarios únicos. Los datos comprometidos se describen como sin procesar ni filtrar, extraídos directamente de los sistemas afectados. El actor también afirma poseer los derechos exclusivos sobre la vulnerabilidad de día cero sin parchear, indicando que no se ha notificado ni corregido. El origen de la brecha se atribuye a esta falla previamente desconocida en el software de un proveedor externo, lo que pone de relieve los riesgos persistentes asociados a las vulnerabilidades en la cadena de suministro.

Las siguientes categorías de datos presuntamente están incluidas en la brecha:

Nombres completos, correos electrónicos y contraseñas cifradas

Datos de ubicación e historial de compras

Correos electrónicos y registros operativos de empleados internos

Metadatos de pago fragmentados

Tokens y credenciales de acceso (parcialmente ofuscados)

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20

Noticias Informáticas / Filtran 86 millones de registros de AT&T con números de seguro social descifrado

Junio 06, 2025, 02:46:39 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Hackers han filtrado lo que afirman es la base de datos de AT&T, presuntamente robada por el grupo ShinyHunters en abril de 2024 tras explotar importantes fallos de seguridad en la plataforma de datos en la nube Snowflake. Pero ¿son realmente estos los datos vinculados a Snowflake? Los analizamos con más detalle.

Según el equipo de investigación de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, los datos se publicaron por primera vez en un conocido foro ruso sobre ciberdelincuencia el 15 de mayo de 2025. Se volvieron a subir al mismo foro el 3 de junio de 2025, tras lo cual comenzaron a circular entre otros hackers y foros.

La captura de pantalla muestra los datos filtrados en dos foros de ciberdelincuencia. Si bien los hackers afirman que contiene 70 millones de registros de clientes, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta confirma que en realidad contiene 86 millones de registros de clientes de AT&T.

Tras analizar los datos filtrados, descubrimos que contienen un conjunto detallado de información personal. Cada uno de estos datos representa un grave riesgo para la privacidad por sí solo, pero en conjunto crean perfiles de identidad completos que podrían utilizarse para cometer fraude o robo de identidad. Los datos incluyen:

Nombres completos

Fecha de nacimiento

Números de teléfono

Direcciones de correo electrónico

Direcciones físicas

44 millones de números de la Seguridad Social (SSN) (43.989.219 en total)

Se filtraron texto plano y números de la Seguridad Social (SSN) completos

Lo preocupante es que el atacante afirma que tanto la fecha de nacimiento como los números de la Seguridad Social (SSN) estaban originalmente cifrados, pero que posteriormente se han descifrado por completo y ahora se incluyen en los datos filtrados como texto plano. En resumen, si eres cliente de AT&T, tu SSN podría formar parte de esta filtración.

Captura de pantalla de los datos filtrados

No es que cambie mucho; sus números de seguro social probablemente ya estuvieron expuestos en la filtración de datos públicos nacionales de agosto de 2024, donde un hacker, ahora arrestado, que usaba el alias USDOD, filtró más de 3200 millones de números de seguro social y otros datos personales en línea.

Antecedentes de la filtración de datos de AT&T Snowflake

AT&T tiene un largo historial de filtraciones de datos a gran escala, así que, si esto le resulta familiar, no se lo está imaginando. Abróchese el cinturón, esta es solo la última de una lista creciente.

En abril de 2024, según informó No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, AT&T sufrió una importante filtración de datos cuando hackers accedieron a su entorno en la nube Snowflake, comprometiendo los metadatos de llamadas y mensajes de texto de casi 110 millones de clientes.

La filtración duró de mayo a octubre de 2022 e incluyó algunos registros de enero de 2023, exponiendo números de teléfono, recuentos de interacciones y duración de las llamadas, aunque no el contenido de las comunicaciones ni la información personal identificable.

El ciberataque formó parte de una campaña a gran escala dirigida a más de 160 clientes de Snowflake. Los hackers aprovecharon credenciales robadas sin autenticación multifactor para infiltrarse en estos entornos.

Los datos comprometidos de AT&T fueron robados por un hacker asociado con el grupo ShinyHunters. Los informes indican que AT&T pagó un rescate de aproximadamente 370.000 dólares en Bitcoin para eliminar los datos robados, una transacción facilitada a través de un intermediario conocido como Reddington.

Cabe destacar que el grupo ShinyHunters también se atribuyó la importante filtración de datos de Ticketmaster relacionada con la falla de seguridad de Snowflake, en la que se pusieron a la venta en línea los datos de 560 millones de usuarios.

En respuesta a la filtración, AT&T inició un proceso de respuesta a incidentes con expertos en ciberseguridad externos, cerró el punto de acceso no autorizado y notificó a los clientes afectados. La compañía declaró que no cree que los datos estén disponibles públicamente.

La filtración provocó el escrutinio de los legisladores estadounidenses, y los senadores Richard Blumenthal y Josh Hawley exigieron explicaciones a AT&T y Snowflake sobre las fallas de seguridad que provocaron el incidente. Expresaron su preocupación por el uso indebido de los datos comprometidos por parte de actores maliciosos.

¿Es esta la base de datos de AT&T de la filtración de Snowflake? ¡No tan rápido!

El actor de amenazas responsable de la última filtración afirma que la base de datos contiene 70 millones de registros de clientes de AT&T, robados en abril de 2024 mediante la explotación de la vulnerabilidad de Snowflake.

"Originalmente, una de las bases de datos de la filtración de Snowflake, aquí está la copia de seguridad que creé", declaró la fuente de la filtración de datos. ¿Pero es cierta esta afirmación? No del todo.

El análisis de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta revela que el conjunto de datos incluye en realidad más de 88 millones (88.320.018) de registros. Tras eliminar los duplicados, la cifra se reduce a más de 86 millones (86.017.090) de entradas únicas, una cifra muy superior a los 70 millones declarados.

Hay otro problema. El contenido de la base de datos no coincide totalmente con lo informado en la filtración de datos de AT&T relacionada con Snowflake. Dicha filtración supuestamente expuso casi 110 millones de registros de clientes, incluyendo metadatos de llamadas y mensajes de texto; ninguno de los cuales aparece en esta filtración. Entonces, ¿es esta una base de datos parcial de AT&T proveniente de la filtración de Snowflake? Quizás sí, quizás no. Pero a menos que AT&T lo confirme oficialmente, no hay forma de saberlo con certeza.

Pero hay más

En agosto de 2021, el conocido grupo de hackers ShinyHunters afirmó poseer una base de datos con la información personal de más de 70 millones de clientes de AT&T. Puso estos datos a la venta en el mercado Raid Forums, ahora confiscado, por un precio inicial de 200.000 dólares.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta revisó registros de muestra proporcionados por el grupo en 2021, que incluían nombres completos, direcciones, códigos postales, fechas de nacimiento, direcciones de correo electrónico y números de la Seguridad Social (SSN) cifrados. AT&T respondió afirmando que, según su investigación, la información no parecía provenir de sus sistemas.

Sin embargo, en abril de 2024, tras casi dos años de negación, AT&T reconoció la filtración de datos de agosto de 2021 cuando ShinyHunters filtró la base de datos completa en BreachForums. "Según nuestro análisis preliminar, el conjunto de datos parece ser de 2019 o anterior, y afecta a aproximadamente 7,6 millones de titulares actuales de cuentas de AT&T y 65,4 millones de extitulares de cuentas", admitió la empresa.

Similitudes y diferencias entre la filtración de AT&T de abril de 2024 y la más reciente

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta ha detectado varias similitudes y diferencias entre la filtración de AT&T de abril de 2024 y la más reciente. La filtración de abril de 2024 fue un caos mal estructurado. Los datos aparecían en un formato poco organizado, delimitado por barras verticales, sin etiquetas de campo, lo que dificultaba su interpretación o análisis sin un esquema correspondiente que explicara cada valor.

La más reciente está bien estructurada, tiene un formato claro y está dividida en tres archivos CSV, lo que facilita la comprensión de la representación de cada campo. Curiosamente, la mayor similitud, y diferencia, entre ambas filtraciones es el manejo de los números de la Seguridad Social (SSN). En la filtración de 2024, los SSN estaban cifrados. Sin embargo, en la más reciente, esos mismos SSN parecen haber sido descifrados.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta realizó un análisis detallado y descubrió que todos los SSN previamente cifrados de la filtración anterior se han descifrado cuidadosamente y mapeado en el nuevo conjunto de datos, lo que los hace más accesibles para uso malicioso.

También encontramos coincidencias en los nombres, direcciones de correo electrónico, direcciones físicas y números de teléfono de clientes en ambas filtraciones. Sin embargo, mientras que la filtración de 2024 contenía alrededor de 73 millones de registros, el conjunto de datos más reciente incluye 86 millones.

Esto no aclara si la nueva filtración se refiere simplemente a la base de datos de 2024 con valores descifrados o si proviene de la brecha de seguridad más reciente relacionada con Snowflake. Dicho esto, los datos parecen legítimos, especialmente porque AT&T ya ha reconocido la brecha de seguridad y la fuga de datos anteriores.

"La filtración original de registros confidenciales de AT&T fue suficiente para preocupar a sus clientes; ahora representa un riesgo significativo para sus identidades", declaró Thomas Richards, Director de Práctica de Seguridad de Infraestructura de Black Duck.

"Con la fecha de nacimiento y los números de seguro social comprometidos, los actores maliciosos tienen toda la información necesaria para cometer fraude y suplantar la identidad de los clientes de AT&T. Si aún no lo han hecho, los usuarios afectados deben ser notificados y deben monitorear activamente su crédito para detectar cualquier indicio de fraude".

Nuestra conclusión

En este momento, es difícil determinar con certeza si la base de datos recién filtrada es una versión descifrada de la filtración de Snowflake de 2024, un volcado independiente o una combinación de ambas. Sin embargo, lo que sí está claro es que una cantidad masiva de datos altamente sensibles de clientes de AT&T está circulando de nuevo, esta vez de forma más organizada y potencialmente más peligrosa.

Con números de la Seguridad Social descifrados, información personal completa y un patrón creciente de exposición repetida, los riesgos para los usuarios afectados son mayores que nunca. Si bien AT&T ha reconocido filtraciones anteriores, la compañía aún no ha confirmado si este último conjunto de datos forma parte del mismo incidente o es algo completamente nuevo.

Hasta que se emita una respuesta formal, lamentablemente, los clientes desprevenidos no tendrán información, y dependerán de nuestro informe y de los foros para comprender el alcance de su exposición. No obstante, nos hemos puesto en contacto con AT&T y este artículo se actualizará en consecuencia.

ACTUALIZACIÓN (4 de junio de 2025 – 22:49 GMT):

AT&T ha respondido a la consulta de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta con la siguiente declaración oficial:

"No es raro que los ciberdelincuentes reutilicen datos previamente divulgados para obtener beneficios económicos. Acabamos de enterarnos de que se están vendiendo datos de AT&T en foros de la dark web, y estamos llevando a cabo una investigación exhaustiva".
AT&T

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Páginas1 2 3 ... 217