Mostrar Mensajes

Información del Perfil

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Dragora

Páginas1 2 3 ... 154

Noticias Informáticas / Detectan malware en PyPI que usa APIs de TikTok e Instagram

Mayo 21, 2025, 11:01:51 AM

Investigadores de ciberseguridad han identificado paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hacían pasar por herramientas legítimas, pero que en realidad servían para verificar direcciones de correo electrónico robadas a través de las APIs de TikTok e Instagram.

Paquetes maliciosos eliminados de PyPI

Los tres paquetes detectados han sido retirados del repositorio, pero durante su tiempo en línea fueron descargados miles de veces:

checker-SaGaF – 2.605 descargas
Steinlurks – 1.049 descargas
Sinnercore – 3.300 descargas

Según la investigadora Olivia Brown de Socket, el paquete checker-SaGaF estaba diseñado para verificar si una dirección de correo electrónico estaba asociada a cuentas en TikTok e Instagram. Lo hacía enviando solicitudes HTTP POST a los puntos finales de recuperación de contraseñas y login de ambas plataformas, validando así la existencia del correo electrónico como cuenta activa.

Riesgos asociados a la validación de correos electrónicos robados

Una vez verificados, los actores de amenazas pueden usar los correos electrónicos válidos para:

Lanzar campañas de spam o doxing
Realizar ataques de "credential stuffing"
Suspender cuentas mediante reportes falsos
Vender listas de correos válidos en la dark web

Brown advierte que "aunque pueda parecer inofensivo crear diccionarios de emails activos, esta información habilita cadenas completas de ciberataques y reduce la probabilidad de detección".

Steinlurks e Instagram: evasión de detección con API falsa

El segundo paquete malicioso, steinlurks, también apuntaba a cuentas de Instagram. Simulaba la aplicación oficial de Instagram para Android con el fin de evadir mecanismos de seguridad, y accedía a múltiples endpoints de la API:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este enfoque sofisticado permitía a los atacantes evitar mecanismos de detección automática de Instagram y verificar cuentas sin levantar alertas.

Sinnercore: objetivo múltiple con foco en Instagram, Telegram y criptomonedas

El paquete sinnercore se centraba en activar el flujo de recuperación de contraseña para usuarios de Instagram a través del endpoint:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Pero además, incluía funcionalidades para extraer datos de usuarios de Telegram, como nombre, ID, biografía y estado premium. También incorporaba utilidades relacionadas con criptomonedas, como:

Consulta de precios en tiempo real desde Binance
Conversión de divisas
Extracción de información detallada de paquetes PyPI, lo que podría usarse para crear perfiles falsos de desarrolladores o suplantación de identidad.

Campañas de puerta trasera en PyPI y conexiones con Phoenix Hyena

En paralelo, ReversingLabs reveló otro paquete malicioso llamado dbgpkg, que se hacía pasar por una herramienta de depuración. Este implante incluía una puerta trasera para permitir ejecución remota de código y exfiltración de datos. Aunque fue retirado tras unas 350 descargas, contenía la misma carga útil que discordpydebug, identificado anteriormente por Socket.

También se detectó un tercer paquete sospechoso: requestsdev, con 76 descargas antes de su eliminación. Se cree que todos forman parte de una campaña coordinada.

El análisis técnico sugiere que estos paquetes utilizaban técnicas avanzadas como:

Uso de GSocket (Global Socket Toolkit) para comunicación encubierta
Envoltura de funciones de Python para persistencia y evasión
Persistencia de largo plazo sin ser detectados

Estas tácticas coinciden con el modus operandi del grupo hacktivista Phoenix Hyena (también conocido como DumpForums o Silent Crow), conocido por atacar objetivos rusos como Doctor Web tras el inicio del conflicto en Ucrania en 2022.

Aunque la atribución no es concluyente, el uso de cargas útiles idénticas y la fecha de publicación de los paquetes refuerzan la hipótesis de una posible conexión con este grupo.

Amenaza también en el ecosistema npm

Además del ecosistema Python, los investigadores han identificado paquetes maliciosos en npm, como koishi-plugin-pinhaofa, que instalan puertas traseras para exfiltrar datos desde chatbots que usan el framework Koishi.

Disfrazado como una herramienta de autocorrección ortográfica, el plugin escaneaba cada mensaje en busca de cadenas hexadecimales de 8 caracteres, que pueden representar:

Hashes de confirmación de Git
Tokens JWT truncados
Credenciales API
CRC-32 o GUIDs

Al detectar una coincidencia, reenviaba el mensaje completo a una cuenta de QQ codificada, potencialmente incluyendo secretos, contraseñas o tokens confidenciales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Chrome ahora cambia tus contraseñas filtradas automáticamente

Mayo 21, 2025, 10:36:30 AM

Google ha anunciado una nueva función en su navegador Chrome que fortalece la seguridad de las cuentas en línea al permitir que su Administrador de contraseñas (Google Password Manager) cambie automáticamente una contraseña comprometida cuando se detecta que ha sido filtrada en una brecha de datos.

Cambio automático de contraseñas: una nueva capa de seguridad en Chrome

Cuando un usuario inicia sesión en un sitio web y Chrome detecta que la contraseña está comprometida, el Administrador de contraseñas de Google ofrece una opción para corregirla automáticamente, según explicaron Ashima Arora, Chirag Desai y Eiji Kitamura, ingenieros de Google.

Citar"En los sitios web compatibles, Chrome puede generar una contraseña segura de reemplazo y actualizarla automáticamente, sin que el usuario tenga que intervenir manualmente", explicaron.

Esta función se basa en las capacidades ya existentes de Google Password Manager, que incluyen:

Generación automática de contraseñas seguras al registrarse en un sitio.
Detección de contraseñas vulneradas en filtraciones de datos públicas.
Almacenamiento seguro y sincronización entre dispositivos.

Objetivo: reducir la fricción y mejorar la seguridad

Con esta nueva funcionalidad de cambio automático de contraseñas, Google busca reducir la fricción del usuario y facilitar la adopción de buenas prácticas de seguridad, sin requerir que el usuario busque configuraciones complejas o abandone el proceso a mitad de camino.

La automatización de este proceso ayuda a los usuarios a responder rápidamente ante una violación de seguridad, sin necesidad de conocimientos técnicos.

¿Cómo pueden los sitios web adoptar esta funcionalidad?

Google ha proporcionado directrices claras para que los administradores de sitios web adopten esta funcionalidad y mejoren la seguridad de sus usuarios:

Usar los atributos autocomplete="current-password" y autocomplete="new-password" en los campos del formulario para habilitar el autocompletado y el almacenamiento de contraseñas.
Configurar una redirección desde https://<dominio>/ .well-known/change-password hacia la página de cambio de contraseña del sitio web.

Esta última medida permite que los administradores de contraseñas como el de Google puedan dirigir automáticamente a los usuarios al formulario de cambio de contraseña.

Citar"Sería mucho más fácil si los administradores de contraseñas pudieran guiar al usuario directamente a la URL de cambio de contraseña", señaló Eiji Kitamura. "Aquí es donde una ruta de URL conocida se vuelve especialmente útil".

Transición hacia claves de acceso más seguras

Este avance en el gestor de contraseñas de Google Chrome ocurre en un momento en que las principales empresas tecnológicas están adoptando claves de acceso (passkeys) como una alternativa más segura a las contraseñas tradicionales.

Recientemente, Microsoft anunció que las claves de acceso serán el método predeterminado para nuevas cuentas de cliente, reforzando así su apuesta por la autenticación sin contraseña y la prevención de ataques de apropiación de cuentas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Filtración del código fuente de VanHelsing

Mayo 21, 2025, 10:26:13 AM

La operación de ransomware como servicio (RaaS) VanHelsing ha filtrado públicamente su código fuente, incluyendo su panel de afiliados, blog de filtración de datos y constructor de encriptadores para Windows, tras un intento de venta no autorizado por parte de un exdesarrollador en el foro de ciberdelincuencia RAMP.

VanHelsing: una nueva amenaza en el ecosistema RaaS

Lanzado en marzo de 2025, VanHelsing RaaS promociona su capacidad para atacar múltiples plataformas, incluidos Windows, Linux, BSD, sistemas ARM y servidores VMware ESXi. Desde su aparición, ha sido responsable de al menos ocho ataques confirmados, según el portal especializado No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Intento de venta en el foro RAMP desencadena la filtración

En la madrugada del 21 de mayo, un usuario bajo el alias 'th30c0der' intentó vender el código fuente de la infraestructura de VanHelsing por $10.000 USD. La oferta incluía:

Claves TOR
Panel web de administración
Sistema de chat y servidor de archivos
Blog de fuga de datos
Constructor de encriptadores para Windows y Linux
Base de datos

El anuncio, publicado en el foro RAMP, provocó una reacción inmediata por parte de los operadores legítimos de VanHelsing, quienes acusaron al vendedor de ser un antiguo miembro del equipo que intentaba estafar a otros actores de amenazas.

Como respuesta, el grupo decidió liberar el código fuente por su cuenta, asegurando que pronto lanzarán una nueva versión, denominada VanHelsing 2.0.

¿Qué incluye el código fuente filtrado?

El sitio de ciberseguridad BleepingComputer analizó el contenido filtrado y confirmó que incluye:

El código fuente del encriptador para Windows.
El panel de afiliados, con su punto final api.php.
Un descifrador y un cargador (loader).

Elementos de un bloqueador de MBR, diseñado para sobrescribir el registro de arranque maestro con un cargador que muestra un mensaje de bloqueo.

No obstante, el material no incluye el constructor para Linux ni bases de datos completas, lo que limita su utilidad para investigadores de ciberseguridad y agencias de aplicación de la ley.

Análisis técnico del constructor de VanHelsing

El código presenta una estructura desordenada, con archivos de proyecto de Visual Studio ubicados en la carpeta "Release", que normalmente se reserva para binarios ya compilados. El constructor de ransomware necesita conectarse al panel de afiliados, previamente alojado en 31.222.238[.]208, para recopilar la información requerida para la compilación de los encriptadores.

Sin embargo, dado que también se filtró el código del panel de afiliados, los actores de amenazas podrían modificar el código fuente o desplegar sus propias versiones funcionales del sistema.

La historia se repite: filtraciones anteriores de código fuente de ransomware

Esta no es la primera vez que se filtra el código fuente de una operación de ransomware. Casos similares han tenido un impacto considerable en la evolución del malware:

Babuk (junio 2021): Su constructor filtrado facilitó la creación de encriptadores para Windows y VMware ESXi, convirtiéndose en una de las bases más usadas por nuevos grupos.
Conti (marzo 2022): La filtración del código tras una brecha interna permitió a otros actores lanzar sus propias variantes de este ransomware.
LockBit (septiembre 2022): Un desarrollador descontento divulgó el constructor de la banda, el cual ha sido reutilizado extensamente por diversos grupos criminales.

Implicaciones de seguridad

La filtración del código fuente de VanHelsing representa una amenaza significativa, ya que reduce la barrera técnica para que ciberdelincuentes menos sofisticados puedan lanzar sus propias campañas de ransomware. También complica la labor de defensa de las empresas, al multiplicarse las variantes de malware basadas en este código.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Vulnerabilidad crítica en tema Motors de WordPress permite secuestro de cuentas

Mayo 21, 2025, 10:20:32 AM

Una vulnerabilidad crítica de escalada de privilegios ha sido descubierta en el popular tema premium de WordPress Motors, desarrollado por StylemixThemes. Esta falla de seguridad permite a atacantes no autenticados tomar el control total de los sitios web afectados, incluyendo el secuestro de cuentas de administrador.

¿Qué es el tema Motors de WordPress?

Motors es uno de los temas automotrices más vendidos en la plataforma de WordPress. Diseñado específicamente para concesionarios de autos, servicios de alquiler de vehículos y portales de venta de autos usados, este tema ha sido adquirido más de 22.300 veces en Envato Market, donde cuenta con cientos de reseñas positivas y una comunidad de usuarios muy activa.

Detalles de la vulnerabilidad: CVE-2025-4322

La falla, identificada como CVE-2025-4322, fue divulgada públicamente por Wordfence, empresa líder en seguridad para WordPress, y registrada en la Base de Datos Nacional de Vulnerabilidades (NVD). Afecta a todas las versiones del tema Motors hasta la 5.6.67 inclusive.

Según Wordfence, el problema reside en que "el tema no valida correctamente la identidad del usuario antes de permitir el cambio de contraseña", lo que habilita a atacantes a:

Cambiar contraseñas de usuarios arbitrariamente, incluso de administradores.
Obtener acceso completo al panel de administración de WordPress.
Instalar malware, robar datos confidenciales y redirigir tráfico a sitios maliciosos.

Actualización de seguridad disponible

El desarrollador StylemixThemes ha lanzado la versión 5.6.68 del tema Motors el 14 de mayo de 2025, corrigiendo la vulnerabilidad crítica. Se recomienda actualizar de inmediato a esta versión para mitigar riesgos de seguridad.

Debido a que los temas de WordPress son componentes esenciales del sitio y no pueden desactivarse fácilmente sin afectar su funcionalidad, es prioritario instalar esta actualización lo antes posible.

¿Cómo actualizar el tema Motors de forma segura?

StylemixThemes proporciona una guía detallada de actualización, con instrucciones para hacerlo a través del panel de administración de WordPress, mediante la API de Envato o manualmente por FTP.

🔒 Recomendación de seguridad: Antes de realizar cualquier actualización del tema, asegúrate de realizar una copia de seguridad completa del sitio web para evitar la pérdida de datos en caso de errores.

¿Quiénes están en mayor riesgo?

Aunque esta vulnerabilidad no afecta a un plugin masivamente instalado, como suele ser el caso en otras brechas de seguridad de WordPress, el impacto sigue siendo considerable. Dado su precio elevado —$79 por la licencia regular y $2.000 por la extendida—, Motors es comúnmente utilizado en sitios comerciales activos, lo que aumenta el potencial de explotación por parte de ciberdelincuentes.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Regeneron compra 23andMe y resurgen dudas sobre la privacidad genética

Mayo 19, 2025, 07:43:12 PM

Durante años, depositar saliva en un tubo fue el primer paso para descubrir el origen de tu ADN, conocer predisposiciones genéticas y hasta encontrar familiares perdidos. Todo desde casa. La empresa pionera en este modelo fue 23andMe, que popularizó el análisis genético como servicio de consumo masivo.

Sin embargo, esta historia ha dado un giro radical. Regeneron Pharmaceuticals anunció la compra de los principales activos de 23andMe por 256 millones de dólares, según su comunicado oficial. Esta adquisición, que aún debe ser aprobada por el tribunal de bancarrota y reguladores de EE. UU., marca el fin de una era y el inicio de una nueva etapa para millones de usuarios cuyos datos genéticos forman parte de la plataforma.

El colapso de 23andMe: de unicornio a venta forzosa

La caída de 23andMe no fue repentina. La empresa pasó de una valoración de más de 6.000 millones de dólares a una lucha desesperada por sobrevivir. Apostó por un modelo más ambicioso que incluía el desarrollo de fármacos, consultas médicas por suscripción y servicios de salud digital, pero no funcionó. Según The Wall Street Journal, la compañía gastó más de 1.000 millones de dólares y terminó vendiendo parte de sus activos en condiciones límite.

La operación de compra por parte de Regeneron no incluye todo el negocio. La farmacéutica se quedará con los activos estratégicos: el servicio de genómica directa al consumidor, su biobanco genético y las divisiones de investigación biomédica. No se incluye Lemonaid Health, la filial de telemedicina adquirida por 400 millones de dólares, cuyo cierre se ejecutará de forma independiente.

La privacidad del ADN, en el centro del debate

Con esta adquisición, el foco vuelve a estar en la privacidad de los datos genéticos. Regeneron ha prometido respetar las políticas actuales de uso de datos y someterse a auditorías independientes como parte del acuerdo legal. Aun así, expertos y defensores de la privacidad expresan su preocupación sobre cómo se gestionará una de las bases de datos genéticos más grandes del mundo.

Este recelo no es infundado. En 2023, 23andMe sufrió una filtración de datos masiva que afectó a 6,9 millones de usuarios. Según TechCrunch, los atacantes accedieron a perfiles habilitados para la función de "familiares genéticos", accediendo a nombres, ubicaciones y porcentajes de ADN compartido. Aunque la compañía atribuyó la filtración a la reutilización de contraseñas, el incidente dejó una gran mancha en su reputación.

Anne Wojcicki: la visión que no se concretó

La figura de Anne Wojcicki, cofundadora y rostro público de 23andMe, es inseparable de esta historia. Su visión era clara: convertir el análisis genético en una herramienta clave para la medicina personalizada. Durante años, lideró la expansión de la empresa y la defendió como una aliada para mejorar la salud global.

Sin embargo, la apuesta no prosperó. Wojcicki intentó recuperar el control cuando comenzaron los problemas financieros, pero perdió poder tras el inicio del proceso judicial. Según WSJ, sus acciones con voto preferente fueron anuladas y sus ofertas rechazadas por la junta directiva.

Regeneron y el futuro de la genómica personal

Con esta operación, Regeneron busca aprovechar el valor estratégico del ADN y avanzar en nuevos enfoques de tratamiento basados en perfiles genéticos. En su comunicado oficial, la farmacéutica aseguró que mantendrá el servicio para los usuarios actuales y seguirá desarrollando aplicaciones clínicas basadas en la enorme base de datos adquirida.

Este movimiento reabre viejas preguntas: ¿Quién debería controlar la información genética de millones de personas? ¿Es seguro entregar datos personales tan sensibles a empresas privadas? ¿Cómo se garantizará la seguridad de los datos genéticos en el futuro?

La venta de los activos de 23andMe a Regeneron no solo representa un cambio de manos, sino también un hito en la historia de la genómica de consumo. Mientras la empresa farmacéutica intenta capitalizar esta valiosa información, los usuarios y defensores de la privacidad seguirán exigiendo respuestas claras sobre el uso, la protección y el futuro de sus datos más íntimos: su ADN.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / RVTools comprometido: distribuye malware en entornos VMware

Mayo 19, 2025, 06:43:59 PM

El sitio web oficial de RVTools, la popular utilidad de generación de informes para entornos VMware, ha sido hackeado para distribuir un instalador malicioso. Esta versión troyanizada se utilizaba para entregar Bumblebee, un conocido cargador de malware, lo que ha encendido las alarmas en la comunidad de ciberseguridad.

Sitios oficiales comprometidos: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En una declaración publicada brevemente antes de que los sitios fueran desconectados, la empresa responsable de RVTools informó:

Citar"Robware.net y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta están actualmente fuera de línea. Estamos trabajando rápidamente para restaurar el servicio y agradecemos su paciencia."

También advirtieron que:

Citar"Robware.net y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta son los únicos sitios web autorizados y compatibles con el software RVTools. No busque ni descargue el supuesto software de RVTools de ningún otro sitio web o fuente".

El instalador malicioso de RVTools descarga Bumblebee

La infección fue descubierta por el investigador de seguridad Aidan Leon, quien identificó que la versión comprometida del instalador de RVTools descargaba una DLL maliciosa, que luego ejecutaba Bumblebee, un cargador de malware utilizado frecuentemente como puerta de entrada a ataques más complejos, incluyendo ransomware.

Aún no se ha determinado cuánto tiempo estuvo disponible la versión maliciosa ni cuántos usuarios llegaron a descargarla antes de que el sitio fuera desconectado.

Recomendaciones para usuarios de RVTools

Se insta a todos los usuarios a:

Verificar el hash del instalador de RVTools descargado recientemente.
Revisar cualquier ejecución sospechosa de version.dll dentro de los directorios de usuario.

Estas medidas pueden ayudar a detectar posibles infecciones asociadas al malware Bumblebee y evitar consecuencias más graves.

Otro caso grave: software de impresoras Procolored con malware XRed y SnipVex

Simultáneamente, se ha revelado que el software oficial incluido con impresoras Procolored también estaba comprometido. En este caso, se descubrieron dos tipos de malware:

XRed, una puerta trasera escrita en Delphi, activa desde al menos 2019.
SnipVex, un clipper malicioso que reemplaza direcciones de criptomonedas en el portapapeles.

Los hallazgos fueron publicados por el youtuber Cameron Coward (Serial Hobbyism) y luego ampliados por el investigador de G DATA, Karsten Hahn.

Funcionalidades del backdoor XRed

XRed es capaz de:

Registrar pulsaciones de teclas.
Recopilar información del sistema.
Propagarse mediante dispositivos USB conectados.
Ejecutar comandos remotos desde un servidor de comando y control (C2).
Tomar capturas de pantalla y manipular archivos.

Aunque el servidor C2 de XRed está inactivo desde febrero de 2024, el malware aún representa una amenaza significativa.

SnipVex: el malware que roba criptomonedas

SnipVex monitorea el portapapeles en busca de direcciones de criptomonedas (por ejemplo, Bitcoin) y las reemplaza por una dirección controlada por los atacantes. De forma alarmante:

La dirección BTC utilizada ha recibido más de 9.3 BTC (unos 974.000 USD).
SnipVex infecta archivos .EXE, insertando un marcador específico (0x0A 0x0B 0x0C) al final, para evitar una reinfección.
Aunque el malware dejó de recibir transacciones desde el 3 de marzo de 2024, las infecciones siguen activas y afectan la integridad del sistema operativo.

Procolored reconoce compromiso en sus paquetes de software

La empresa Procolored confirmó que los paquetes infectados fueron cargados en MEGA en octubre de 2024 a través de unidades USB. En la actualidad, las descargas oficiales están limitadas a los siguientes productos:

F13 Pro
VF13 Pro
V11 Pro

Aunque el servidor de control de XRed ya no está operativo, los archivos comprometidos con SnipVex siguen representando una amenaza para los usuarios.

Verificación y precaución son claves

La reciente oleada de compromisos en software legítimo, desde RVTools hasta Procolored, destaca la necesidad crítica de:

Verificar las fuentes oficiales antes de descargar software.
Analizar los instaladores con herramientas antivirus y hashes de verificación.
Revisar comportamientos sospechosos, como la ejecución de DLLs inesperadas o cambios en el portapapeles.

Tanto administradores de sistemas como usuarios finales deben mantenerse alerta ante estas tácticas de distribución de malware cada vez más sofisticadas, que se aprovechan de herramientas confiables para infiltrarse en entornos corporativos y personales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Mozilla corrige dos vulnerabilidades críticas de día cero en Firefox tras Pwn2Ow

Mayo 19, 2025, 06:29:14 PM

Mozilla ha publicado una actualización de seguridad de emergencia para corregir dos vulnerabilidades de día cero en Firefox, descubiertas recientemente durante la competencia de ciberseguridad Pwn2Own Berlin 2025. Estas fallas afectaban tanto a la versión de Firefox para escritorio como a Firefox para Android, además de las versiones de soporte extendido (ESR).

Las correcciones fueron lanzadas pocas horas después del cierre del evento, el sábado, momento en el que se demostró la segunda vulnerabilidad. Ambas fallas fueron consideradas críticas por Mozilla, debido al potencial impacto en la seguridad de los usuarios.

Detalles de las vulnerabilidades corregidas

La primera vulnerabilidad, identificada como CVE-2025-4918, consiste en un problema de lectura/escritura fuera de límites en el motor JavaScript de Firefox, específicamente al resolver objetos Promise. Este exploit fue demostrado durante el segundo día de la competencia Pwn2Own por los investigadores Edouard Bochin y Tao Yan de Palo Alto Networks, quienes recibieron un premio de 50.000 dólares por su descubrimiento.

Por otro lado, la segunda falla, CVE-2025-4919, también está relacionada con errores de lectura y escritura fuera de los límites en objetos JavaScript. En este caso, el problema se origina en una confusión de los tamaños de los índices de matrices, lo que permitió al investigador Manfred Paul obtener acceso no autorizado al renderizador del navegador. Esta hazaña le valió también un premio de 50.000 dólares.

Mozilla refuerza la seguridad del sandbox

Aunque ambas fallas representaban riesgos importantes para los usuarios de Firefox, Mozilla destacó que ninguno de los participantes logró evadir el sandbox del navegador, lo que refuerza la efectividad de las mejoras arquitectónicas recientes implementadas en su mecanismo de aislamiento.

"A diferencia de años anteriores, ninguno de los grupos participantes pudo escapar de nuestro sandbox este año. Tenemos confirmación verbal de que esto se atribuye a mejoras significativas en la arquitectura de nuestro entorno de sandbox", señaló Mozilla en su comunicado oficial.

Mozilla responde con rapidez tras Pwn2Own

Tras la demostración pública de estas dos vulnerabilidades, Mozilla movilizó rápidamente a un equipo global de expertos que trabajó intensamente para desarrollar, probar e implementar los parches de seguridad en un plazo récord. Esta respuesta ágil busca evitar la posible explotación activa en escenarios reales, especialmente considerando que la exposición pública de las fallas podría incentivar ataques dirigidos.

Los usuarios de Firefox deben actualizar lo antes posible a las siguientes versiones seguras:

Firefox 138.0.4
Firefox ESR 128.10.1
Firefox ESR 115.23.1

Contexto del evento Pwn2Own Berlin 2025

Pwn2Own Berlin 2025 concluyó el sábado con más de un millón de dólares en premios entregados a investigadores de todo el mundo. El equipo STAR Labs SG se consagró con el título "Master of Pwn", al lograr múltiples exploits exitosos durante el evento.

Esta no es la primera vez que Mozilla responde con celeridad ante vulnerabilidades reveladas en Pwn2Own. En la edición de Pwn2Own Vancouver 2024, también se demostraron dos fallas de día cero en Firefox, que fueron corregidas por la compañía al día siguiente.

En fin, la rápida actuación de Mozilla tras las vulnerabilidades CVE-2025-4918 y CVE-2025-4919 evidencia el compromiso de la empresa con la ciberseguridad de los usuarios de Firefox. Si bien no hay evidencia de explotación activa fuera del entorno controlado de Pwn2Own, se recomienda actualizar el navegador de inmediato para evitar posibles riesgos en el futuro.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Falla en O2 UK permitía rastrear ubicación de usuarios

Mayo 19, 2025, 06:20:14 PM

Una grave vulnerabilidad de seguridad en la implementación de las tecnologías VoLTE (Voice over LTE) y WiFi Calling por parte del operador británico O2 UK permitía a cualquier persona rastrear la ubicación aproximada de un usuario y acceder a datos sensibles como el IMSI, IMEI e información de la celda a la que estaba conectado el dispositivo, simplemente realizando una llamada.

El hallazgo de la vulnerabilidad

El fallo fue descubierto por el investigador de seguridad Daniel Williams, quien señala que esta vulnerabilidad estuvo presente en la red de O2 UK desde el 27 de marzo de 2017 y fue finalmente corregida en mayo de 2025.

O2 UK, propiedad de Virgin Media O2, es uno de los principales proveedores de telecomunicaciones del Reino Unido, con cerca de 23 millones de clientes móviles y 5,8 millones de usuarios de banda ancha según datos de marzo de 2025. La empresa lanzó en 2017 su servicio IMS (subsistema multimedia IP) bajo el nombre de "4G Calling", diseñado para mejorar la calidad de audio en llamadas y la estabilidad de la conexión.

Interceptación de datos durante llamadas

Williams descubrió la falla al analizar el tráfico de red generado durante una llamada VoLTE. Detectó que los mensajes SIP (Session Initiation Protocol) intercambiados durante las llamadas contenían información excesivamente detallada, incluyendo:

El servidor IMS/SIP utilizado por O2 (Mavenir UAG)

Números de versión del software
Mensajes de error internos
Datos de depuración
Identificadores únicos del dispositivo como el IMSI y el IMEI
Información de localización basada en la torre celular más reciente

"Las respuestas que recibí de la red eran extremadamente detalladas y largas, nada comparables con otras redes que había analizado", comentó Williams.

Geolocalización precisa con herramientas públicas

Utilizando un teléfono Google Pixel 8 rooteado y la aplicación Network Signal Guru (NSG), Williams logró interceptar los mensajes de señalización IMS sin procesar. A partir de ellos, pudo identificar la última torre celular conectada por el dispositivo del destinatario y, posteriormente, localizarla geográficamente mediante mapas públicos de torres celulares.

En entornos urbanos, donde las torres son más densas, la precisión de localización alcanzaba los 100 m². Incluso en zonas rurales o cuando el objetivo se encontraba en el extranjero (como fue el caso de una prueba en Copenhague, Dinamarca), la vulnerabilidad seguía permitiendo una localización aproximada con alto nivel de fiabilidad.

O2 UK soluciona el fallo de seguridad

Aunque Williams intentó contactar a O2 UK los días 26 y 27 de marzo de 2025 sin obtener respuesta inmediata, la empresa confirmó posteriormente que la vulnerabilidad fue corregida. Pruebas recientes del investigador confirmaron que ya no es posible interceptar la información anteriormente expuesta.

Un portavoz de Virgin Media O2 declaró a BleepingComputer que los equipos de ingeniería llevaban semanas trabajando en una solución, la cual ha sido completamente implementada, sin necesidad de acción por parte de los clientes.

Citar"Nuestros equipos de ingeniería han estado trabajando y probando una solución durante varias semanas. Podemos confirmar que esto ya está completamente implementado y las pruebas sugieren que la solución ha funcionado. Nuestros clientes no necesitan tomar ninguna medida", dijo Virgin Media O2.

Sin embargo, cuando se le consultó a la compañía si esta falla de seguridad en VoLTE y WiFi Calling había sido explotada o si planean notificar a los usuarios afectados, no se obtuvo respuesta.

En fin, este incidente resalta la importancia crítica de implementar correctamente las tecnologías de comunicación modernas como VoLTE y WiFi Calling. Una mala configuración, como se evidenció en el caso de O2 UK, puede comprometer gravemente la privacidad y seguridad de millones de usuarios móviles, incluso sin que estos lo sepan. La transparencia en la comunicación y la rapidez en la respuesta son fundamentales para mitigar los riesgos y reforzar la confianza del consumidor en los servicios de telecomunicaciones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Nobara 42: la distro Linux basada en Fedora que apuesta por el gaming y Brave

Mayo 18, 2025, 06:33:11 PM

Así como tras cada lanzamiento de Ubuntu surgen sus derivadas más populares, en los últimos años cada nueva versión de Fedora es seguida muy de cerca por Nobara, una distribución enfocada en ofrecer la mejor experiencia de juego en Linux. Esta distribución ha captado gran atención en la comunidad gamer, especialmente por su origen.

Nobara Linux está desarrollada por Thomas Crider, ingeniero de Red Hat y colaborador activo en proyectos clave del ecosistema gaming en Linux como Wine, Lutris y el popular Proton GloriousEggroll (Proton-GE), una variante de Proton de Valve ampliamente utilizada en Heroic Games Launcher y otros entornos. Gracias a esto, Nobara no es simplemente "una distro gaming más", sino una propuesta técnica sólida y diferenciada.

Nobara 42: basada en Fedora 42, pero con identidad propia

Lanzada poco después de Fedora 42, la nueva versión Nobara 42 hereda muchas de las mejoras del sistema base:

Kernel Linux 6.14
Mesa 25.1
GNOME 48
KDE Plasma 6.3

Sin embargo, Nobara se aleja en otros aspectos clave. Uno de los más destacados es que prioriza KDE Plasma como entorno de escritorio por encima de GNOME. Aunque ambas opciones están disponibles, KDE Plasma es la edición oficial y viene personalizada por defecto.

Actualmente, Nobara 42 ofrece cinco ediciones diferentes:

Edición oficial con KDE Plasma personalizado
Ediciones estándar con KDE Plasma o GNOME
Ediciones adaptadas para dispositivos como Steam Deck o centros multimedia

Además, cuatro de estas ediciones incluyen soporte para controladores privativos de NVIDIA preinstalados, un punto clave para los jugadores.

Brave sustituye a Firefox en Nobara 42

Una de las decisiones más notables de Nobara 42 es el cambio del navegador por defecto. Brave reemplaza a Firefox, pero no por razones ideológicas como en otros casos (como ocurrió con Zorin OS), sino por motivos técnicos. Según el equipo de desarrollo, tras diversas pruebas con Firefox, Vivaldi y otros navegadores basados en Chromium, Brave fue el único que ofreció una experiencia fluida con la aceleración gráfica y la reproducción de vídeos cortos (como YouTube Shorts o TikTok).

El navegador Brave se integra directamente desde su repositorio oficial, sin modificaciones en el código fuente. No obstante, Nobara aplica una configuración personalizada que desactiva funciones como:

Brave Rewards
Cartera de criptomonedas
VPN integrado
Modo Tor

Esta decisión busca ofrecer un navegador optimizado para rendimiento, seguridad y privacidad, sin características innecesarias.

Flatpost: nueva herramienta para gestionar aplicaciones Flatpak

Otra de las grandes novedades de Nobara 42 es la introducción de Flatpost, una herramienta propia diseñada para gestionar aplicaciones en formato Flatpak. Esta utilidad reemplaza a GNOME Software y Discover, y permite:

Instalar aplicaciones Flatpak fácilmente
Actualizar paquetes
Gestionar permisos desde una interfaz simplificada

Flatpost ha sido desarrollada para funcionar en cualquier entorno de escritorio, incluso en opciones no oficiales como Hyprland o Labwc, lo que la convierte en una solución versátil para usuarios avanzados.

Más novedades: controladores, compatibilidad y rolling release

Nobara 42 también incorpora mejoras importantes en la gestión de controladores gráficos:

Permite elegir entre versiones estables y en desarrollo de Mesa Vulkan Drivers
Soporta selección entre controladores de NVIDIA: versiones de producción, beta o con funciones nuevas
Incluye parches específicos en Mesa para mejorar la compatibilidad con Wine Wayland

Además, Nobara mantiene el enfoque de rolling release iniciado en su versión anterior. Esto significa que los usuarios existentes reciben las actualizaciones automáticamente a través del sistema de actualizaciones, sin necesidad de reinstalar.

Para nuevos usuarios, todas las ediciones de Nobara 42 están disponibles desde la página oficial de descargas.

Nobara 42, la mejor distro Linux para jugar en 2025

Si estás buscando una distribución Linux para juegos en 2025, Nobara 42 es una de las opciones más completas. Basada en Fedora, pero con un enfoque práctico en el rendimiento gráfico, compatibilidad con juegos y controladores preinstalados, Nobara no solo facilita la instalación, sino que optimiza el entorno desde el primer momento.

Con componentes clave como Proton-GE, Brave como navegador por defecto, y Flatpost para gestionar aplicaciones, Nobara se consolida como una alternativa ideal para gamers en Linux que buscan rendimiento, facilidad de uso y actualizaciones constantes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10

Noticias Informáticas / GIMP 3 en Ubuntu: por qué la mejor opción podría ser Snap

Mayo 18, 2025, 05:05:59 PM

En el mundo de Linux, especialmente en Ubuntu, la recomendación general suele ser clara: usar aplicaciones en su formato nativo, es decir, paquetes DEB. Esto se debe a múltiples razones: mejor rendimiento, integración más fluida con el sistema, uso compartido de dependencias, entre otras.

Sin embargo, hay excepciones, y una de ellas se presenta si usas Ubuntu y GIMP es una de tus herramientas imprescindibles. Esta recomendación cobra aún más fuerza si ya has actualizado –o estás considerando hacerlo– a GIMP 3, la nueva y esperada versión del veterano editor de imágenes de código abierto.

¿Por qué no usar el paquete DEB o Flatpak?

En versiones recientes, Ubuntu no ha ofrecido siempre los paquetes más actualizados de ciertas aplicaciones en su repositorio oficial. Esta limitación ha motivado a muchos usuarios a buscar alternativas como PPA en Launchpad o formatos modernos como Flatpak, Snap y AppImage.

Aunque Flatpak se ha convertido en la opción preferida en muchas distribuciones gracias a su enfoque más abierto, lo cierto es que Snap, el formato impulsado por Canonical, puede seguir siendo la mejor alternativa para casos específicos. Y uno de esos casos es, sorprendentemente, GIMP 3 en Ubuntu.

Ventajas de instalar GIMP 3 desde Snap en Ubuntu

El lanzamiento de GIMP 3 ha traído consigo muchas novedades positivas: una interfaz más moderna, mejoras en el rendimiento y una experiencia más pulida. Sin embargo, también ha dejado atrás soporte para una gran cantidad de plugins populares, lo que ha generado ciertos inconvenientes.

En el caso de Ubuntu, una de las pérdidas más notables ha sido el paquete Plugins Registry, que incluía complementos tan utilizados como Save for Web, Liquid Rescale y especialmente G'MIC, uno de los más potentes. Este último no está disponible en la versión Flatpak de GIMP 3, lo que limita seriamente su funcionalidad para muchos usuarios.

Por el contrario, el paquete Snap de GIMP 3 sí incluye soporte para G'MIC, lo que resuelve este importante vacío. Además, ofrece una versión actualizada y estable compatible con todas las versiones de Ubuntu, sin necesidad de configuraciones complejas.

¿Y los demás plugins de GIMP?

Es cierto que algunos complementos presentes en Flatpak aún no han sido empaquetados en Snap, pero la disponibilidad inmediata de G'MIC y otros componentes críticos hacen que valga la pena optar por Snap si buscas la experiencia más completa con GIMP 3 en Ubuntu.

Además, el paquete Snap se actualiza con frecuencia, y aunque es mantenido por Snapcrafters (una colaboración entre comunidad y empleados de Canonical), se ha demostrado eficaz en mantener el ritmo de desarrollo del software.

Si usas Ubuntu, GIMP 3 funciona mejor con Snap

Aunque Flatpak se ha posicionado como la opción más abierta y flexible en muchas distribuciones Linux, en el caso de GIMP 3 en Ubuntu, Snap ofrece una solución más completa, especialmente si dependes de plugins como G'MIC.

Así que, si eres usuario de Ubuntu –sin importar la versión que utilices– y quieres disfrutar de la mejor experiencia con GIMP 3, considera seriamente instalarlo desde Snap Store. Sorprendentemente, es la opción más sólida en este caso.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11

Noticias Informáticas / Wine 10.8 ya disponible: novedades, bugs corregidos y cómo instalar esta versión

Mayo 18, 2025, 04:41:43 PM

El proyecto WineHQ, responsable del conocido software que permite ejecutar aplicaciones de Windows en sistemas operativos como Linux, macOS y Android, ha lanzado oficialmente Wine 10.8, la más reciente versión de desarrollo de su rama estable.

Este lanzamiento se produce dos semanas después de Wine 10.7, en línea con el calendario quincenal de actualizaciones de desarrollo del proyecto. Estas versiones preliminares incorporan mejoras que serán consolidadas en la futura versión estable Wine 11.0, prevista para principios de 2026.

Novedades destacadas en Wine 10.8

Wine 10.8 introduce múltiples mejoras que impactan directamente en el rendimiento y la compatibilidad de aplicaciones de Windows sobre otros sistemas operativos. Entre los principales cambios de esta versión se incluyen:

Implementación de manejadores de usuario en memoria compartida, que optimizan el rendimiento general.
Mejoras en el soporte de imágenes TIFF, ampliando la compatibilidad con programas que utilizan este formato.
Avances significativos en el nuevo backend PDB, parte esencial para la depuración de aplicaciones.
Corrección de errores y ajustes menores que mejoran la estabilidad global del sistema.

En total, Wine 10.8 incorpora 241 cambios en su código base y corrige 18 errores identificados en versiones anteriores.

Lista de errores corregidos en Wine 10.8

A continuación se detallan algunos de los bugs solucionados en esta versión, muchos de ellos reportados por la comunidad de usuarios y desarrolladores:

Defiance no puede conectarse al servidor de inicio de sesión.
UrlGetPart devuelve resultados inconsistentes respecto a Windows.
Git clone falla en msys2/cygwin64 con error 'Socket operation on non-socket'.
Fallo al iniciar la ventana principal en Vegas Pro 14.
Crash en aplicaciones que usan ModernWPF, como Windows.UI.ViewManagement.UISettings.
Script ghidraRun.bat lanza error de sintaxis en cmd,for.
Bloqueo de aplicaciones al mostrar información sobre herramientas.
mintty.exe no muestra correctamente la salida de bash.exe en msys2/cygwin64.
Error de buffer underrun en dmsynth (synth_sink_write_data).
Problema con CoreMIDI al enviar eventos MIDI desde winmm.
Incompatibilidad de compilación con libglvnd <=1.3.3.
Glitches visuales en Final Fantasy XI Online.
Problemas al introducir datos en Adobe Lightroom Classic 10.4 (comctl32/edit).
Fallos en la interfaz de usuario de foobar2000 con DirectWrite.
EXCEPTION_ACCESS_VIOLATION en Hermanos de país con D3D11.
Compilación fallida de pruebas dwrite con mingw-gcc 15.
Problemas de cursor (Caret) en campos de texto largos.
Mal funcionamiento de boost::interprocess::named_mutex.

Cómo descargar e instalar Wine 10.8

Wine 10.8 ya se encuentra disponible para descarga desde la página oficial de WineHQ. En ella encontrarás instrucciones detalladas para instalar Wine en diferentes sistemas operativos:

Distribuciones Linux (como Ubuntu, Debian, Fedora, Arch Linux, etc.)
macOS
Android

Además, se ofrecen repositorios oficiales y paquetes precompilados para facilitar su implementación en entornos de prueba o desarrollo.

Próximas versiones: Wine 10.9 y Wine 11.0 en el horizonte

Si el equipo de WineHQ mantiene su ritmo habitual, la próxima versión de desarrollo, Wine 10.9, se publicará dentro de dos semanas. Estas actualizaciones forman parte del ciclo de mejoras continuas que culminará con el esperado lanzamiento de Wine 11.0 en 2026.

En conclusión, Wine 10.8 representa un paso más en la evolución de esta herramienta esencial para ejecutar aplicaciones de Windows en entornos no nativos. Con más de 240 cambios y 18 errores corregidos, esta versión de desarrollo refuerza el compromiso del equipo de WineHQ con la compatibilidad, estabilidad y mejora constante del software.

Si trabajas con aplicaciones de Windows en Linux, macOS o Android, mantenerte actualizado con estas versiones puede ofrecerte un rendimiento más pulido y nuevas capacidades.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12

Noticias Informáticas / Debian 12.11: Nueva actualización estable con mejoras de seguridad y soporte

Mayo 18, 2025, 04:34:59 PM

La comunidad de desarrollo de Debian ha anunciado el lanzamiento oficial de Debian 12.11, la última actualización puntual de la serie estable "Bookworm" antes de la llegada de Debian 13. Esta nueva versión, sucesora de Debian 12.10, refuerza la estabilidad, seguridad y compatibilidad del sistema operativo GNU/Linux, siendo una opción ideal para quienes desean realizar una instalación limpia sin aplicar cientos de actualizaciones manuales.

Aunque se trata de la undécima versión numerada de Debian 12, es en realidad la décima revisión efectiva, ya que la versión 12.3 fue omitida debido a problemas críticos relacionados con el sistema de archivos EXT4.

Novedades y mejoras en Debian 12.11

Debian 12.11 incorpora un conjunto significativo de correcciones y mejoras de seguridad. Entre los principales cambios destacan:

81 errores corregidos en diversos paquetes del sistema.
45 actualizaciones de seguridad integradas directamente en la imagen de instalación.
Inclusión del kernel Linux 6.1 LTS, que proporciona mayor compatibilidad con hardware moderno y soporte a largo plazo.
Compatibilidad anticipada con futuras versiones de distribuciones como Debian 15 y Ubuntu 25.10, lo que evidencia un compromiso continuo con la actualización y preparación del sistema.

Estas mejoras consolidan a Debian 12.11 como una plataforma segura, estable y lista para entornos de producción exigentes.

Descarga de imágenes ISO y opciones de instalación de Debian 12.11`

Las imágenes ISO de Debian 12.11 ya están disponibles en el sitio web oficial de Debian. Están preparadas para múltiples arquitecturas, lo que garantiza su compatibilidad con una amplia variedad de equipos y servidores:

amd64 (64-bit)
i386 (32-bit)
ppc64el (PowerPC 64-bit Little Endian)
s390x (IBM System z)
mips64el, mipsel
armel, armhf, arm64 (AArch64)

También se ofrecen versiones live que permiten probar Debian sin instalación previa, disponibles con los siguientes entornos de escritorio preconfigurados:

GNOME 43.9
KDE Plasma 5.27.5 LTS
Xfce 4.18
Cinnamon 5.6.8
MATE 1.26.0
LXQt 1.2.0
LXDE 0.10.1

Para usuarios avanzados que prefieren un sistema sin entorno gráfico, también está disponible la imagen estándar sin escritorio.

Actualizar a Debian 12.11 desde versiones anteriores

Si ya estás utilizando Debian 12 "Bookworm", puedes actualizar a la versión 12.11 fácilmente mediante terminal con el siguiente comando:

Código: text

sudo apt update && sudo apt full-upgrade

Alternativamente, puedes utilizar herramientas gráficas como Synaptic para una experiencia visual e intuitiva.

Cambios técnicos y advertencias importantes

La actualización Debian 12.11 incluye modificaciones en paquetes clave como:

bash
busybox
nginx
redis
controladores NVIDIA

Sin embargo, se ha detectado un problema específico en sistemas con arquitectura amd64 relacionado con los módulos de vigilancia por hardware: watchdog y w83977f_wdt no funcionan correctamente. Los usuarios que dependan de estos watchdogs deberían considerar posponer la actualización del kernel o desactivar temporalmente dicha funcionalidad.

Asimismo, algunos paquetes han sido eliminados por obsolescencia o por carecer de soporte externo. Entre ellos destacan:

pidgin-skype
viagee

Este proceso de depuración permite mantener un sistema más limpio, seguro y alineado con las mejores prácticas de mantenimiento de software.

Preparación para Debian 13

Mientras se consolida Debian 12.11 como una versión estable y robusta, la comunidad ya trabaja en el congelamiento de paquetes de Debian 13, que marcará el próximo gran paso en la evolución de la distribución. El desarrollo sigue abierto a colaboradores y se puede seguir a través de los canales oficiales del proyecto.

En conclusión, Debian 12.11 representa una actualización fundamental dentro de la serie Bookworm, ofreciendo una experiencia mejorada en términos de estabilidad, seguridad y compatibilidad con arquitecturas modernas. Ya sea para nuevas instalaciones o para mantener sistemas existentes al día, esta versión consolida a Debian como una de las distribuciones GNU/Linux más confiables del ecosistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13

Noticias Informáticas / Kaleidoscope: el malware que infecta más de 130 apps Android

Mayo 17, 2025, 11:37:12 AM

Un nuevo y peligroso malware llamado Kaleidoscope ha sido detectado en más de 130 aplicaciones Android que circulan fuera de la tienda oficial Google Play Store. Este virus no solo afecta al rendimiento de los dispositivos móviles, sino que también representa un riesgo real para la privacidad y seguridad de millones de usuarios en todo el mundo.

Malware Kaleidoscope: una amenaza que no deja de crecer

Expertos en ciberseguridad han estado alertando sobre Kaleidoscope, un malware para Android que se infiltra en dispositivos a través de aplicaciones aparentemente inofensivas descargadas desde tiendas no oficiales o páginas web externas. Aunque muchas de estas apps no están disponibles en Google Play, el número de afectados sigue creciendo rápidamente.

El gran problema es que muchos usuarios no son conscientes del riesgo al instalar apps de fuentes no verificadas. Este tipo de amenazas demuestra por qué la prevención y el uso responsable de nuestros dispositivos móviles es clave para mantenerlos seguros.

¿Qué hace Kaleidoscope una vez infectado el móvil?

Cuando una de estas aplicaciones infectadas se instala en un dispositivo, el malware Kaleidoscope se ejecuta en segundo plano, realizando actividades maliciosas como:

Mostrar anuncios invasivos sin posibilidad de cerrarlos.
Robar datos personales y credenciales almacenadas.
Permitir la instalación de malware adicional más peligroso.
Afectar el rendimiento del móvil, haciéndolo más lento e inestable.

Esto convierte a Kaleidoscope en una amenaza multifuncional que compromete tanto la experiencia del usuario como su privacidad.

Lista de aplicaciones infectadas con Kaleidoscope

Estas son 40 de las más de 130 aplicaciones infectadas con el malware Kaleidoscope:

• chemistry.chemistry.chemistry
• com.carromboard.friends.game
• com.citiesquiz.nearme.gamecenter
• com.herocraft.game.birdsonwire.freemium
• com.herocraft.game.dragon_and_dracula.free
• com.herocraft.game.free.mig29
• com.herocraft.game.freemium.catchthecandy
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta_ussr_usa
• com.herocraft.game.raceillegal
• com.herocraft.game.treasuresofthedeep
• com.herocraft.game.yumsters.free
• com.JDM4iKGames.Daily86
• com.onetouch.connect
• com.pro.drag.racing.burnout
• com.secondgames.dream.football.soccer.league
• com.shake.luxury.prado.car.parking.simulator
• com.tedrasoft.enigmas
• com.tuneonn.bhoot
• com.tuneonn.lovehindi
• com.tutu.robotwarrior
• com.zddapps.beautytips
• com.zddapps.totke
• com.zombiehunter.offline.games.fps.shooter
• constitution.indian.constitution
• environment.ecology.environment
• formula.math.formulas
• indian.geography.geography
• physics.physics.physics
• com.temperament.nearme.gamecenter
• math.Mathematics.exam.math
• english.idioms.english.phrases
• history.indian.history.hindi
• com.businessquo.nearme.gamecenter
• connect.dots
• english.preposition.english.preposition
• english.conversation.english.conversation
• science.ncert.science
• com.herocraft.game.free.medieval
• biology.biology.biology
• com.herocraft.game.ww2

Según los investigadores, este conjunto de apps acumula más de 2,5 millones de instalaciones mensuales y muchas continúan operativas en tiendas de terceros, donde se disfrazan como herramientas educativas, juegos o apps de entretenimiento.

¿Qué hacer si tienes una app sospechosa en tu móvil?

Si reconoces alguna de estas aplicaciones en tu dispositivo Android, sigue estos pasos para protegerte:

Desinstala inmediatamente cualquier app que figure en la lista o te parezca sospechosa.
Reinicia tu móvil tras eliminar las apps para evitar que sigan ejecutándose en segundo plano.
Revisa los permisos de aplicaciones instaladas, especialmente aquellas con acceso al micrófono, cámara o ubicación.
Identifica apps que consumen mucha batería o datos móviles sin razón aparente.
Presta atención a aplicaciones que se bloquean con frecuencia o generan anuncios fuera de lugar.

Ten en cuenta que esta lista no es definitiva y es probable que existan más apps infectadas aún no detectadas.

Cómo prevenir infecciones de malware en Android

Para mantener tu dispositivo protegido frente a amenazas como Kaleidoscope, ten en cuenta estas recomendaciones:

Instala aplicaciones solo desde Google Play o fuentes verificadas.
Evita descargar APKs desde sitios web no oficiales.
Utiliza un antivirus para Android confiable.
Revisa regularmente los permisos de tus apps.
Mantén actualizado el sistema operativo de tu dispositivo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14

Noticias Informáticas / YouTube prueba anuncios con IA en momentos clave y genera críticas

Mayo 17, 2025, 11:29:59 AM

La publicidad digital es un mal necesario. Aunque muchas veces puede resultar molesta, representa la principal fuente de ingresos para plataformas gratuitas como YouTube. A cambio de contenido sin costo, los usuarios aceptan ver anuncios. Sin embargo, la forma en que se presentan estos anuncios puede marcar la diferencia entre una experiencia aceptable y una frustrante.

La inteligencia artificial transforma la publicidad en YouTube

Recientemente, YouTube ha comenzado a probar una nueva estrategia impulsada por inteligencia artificial que está generando controversia. Se trata de una función llamada "Puntos Clave", que utiliza IA para identificar los momentos más intensos, emotivos o importantes de un video, y colocar anuncios justo en esos instantes.

La lógica detrás de esta técnica es sencilla: si el espectador está completamente involucrado en el contenido, es más probable que preste atención al anuncio. Desde el punto de vista del marketing digital, puede parecer una jugada inteligente. Pero para la experiencia del usuario, el impacto es negativo.

Cortes publicitarios que rompen la experiencia

Imagina que estás viendo una escena icónica como la revelación de Darth Vader en El Imperio Contraataca, el trágico final de Titanic, o la batalla final en Avengers: Endgame, y justo en el momento más climático, el video se detiene para mostrarte un anuncio de seguros o de vuelos baratos.

Estos son momentos diseñados para provocar emociones intensas. Interrumpirlos no solo arruina la narrativa, sino que puede causar rechazo en el espectador. Según reportes de usuarios, ya se han visto ejemplos reales de esta estrategia, como un video de una propuesta de matrimonio que es interrumpido justo después de la gran pregunta.

¿Publicidad dirigida o presión para pagar?

Esta nueva función aún está en fase de pruebas, pero su implementación parece seguir una tendencia preocupante: empeorar la experiencia gratuita para empujar a los usuarios hacia YouTube Premium, la versión de pago sin anuncios. Es una táctica que recuerda a capítulos distópicos de series como Black Mirror, donde se crean problemas artificiales para vender soluciones.

El problema no es que haya anuncios, sino cómo y cuándo se presentan. Colocar publicidad en puntos clave emocionalmente cargados daña la experiencia del usuario, algo que puede traducirse en pérdida de fidelidad a largo plazo. Plataformas como YouTube deben encontrar un equilibrio entre monetización y respeto por la experiencia del espectador.

Alternativas y recomendaciones

Para quienes desean evitar estas interrupciones, la única solución actualmente es pagar por YouTube Premium, lo cual no todos los usuarios están dispuestos a hacer. Como alternativa, muchos recurren a bloqueadores de anuncios, aunque esto afecta directamente los ingresos de los creadores.

Mientras tanto, los expertos en marketing digital y UX recomiendan que las plataformas consideren el contexto emocional del contenido al insertar anuncios. La monetización es clave para la sostenibilidad de los servicios gratuitos, pero no debe ir en detrimento del valor que percibe el usuario.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15

Noticias Informáticas / Chrome: CISA alerta por vulnerabilidad crítica explotada (CVE-2025-4664)

Mayo 17, 2025, 11:18:53 AM

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una alerta urgente dirigida a todas las agencias federales y profesionales de ciberseguridad, advirtiendo sobre ataques en curso que explotan activamente una vulnerabilidad crítica en el navegador Google Chrome.

CVE-2025-4664: Falla de alta gravedad en el componente Loader

La vulnerabilidad, identificada como CVE-2025-4664, fue descubierta por el investigador de seguridad Vsevolod Kokorin de Solidlab. El 5 de mayo de 2025, Kokorin compartió los detalles técnicos de esta falla, la cual afecta al componente Loader de Chrome debido a una aplicación insuficiente de políticas de seguridad.

Google respondió rápidamente con una actualización de seguridad lanzada el miércoles, corrigiendo el fallo que permitía a atacantes remotos filtrar datos de origen cruzado mediante páginas HTML diseñadas con fines maliciosos.

Riesgo de filtración de datos sensibles

Según Kokorin, la vulnerabilidad permite explotar el encabezado link en las solicitudes de subrecursos. Este comportamiento particular de Chrome —diferente de otros navegadores— puede ser aprovechado para definir políticas como unsafe-url y así capturar parámetros de consulta sensibles.

Citar"Los parámetros de consulta pueden incluir datos confidenciales, como tokens en flujos de OAuth. Esto podría facilitar el secuestro de cuentas si un atacante logra interceptarlos mediante una imagen alojada en un recurso de terceros", explicó Kokorin.

Exploit público y alerta de explotación activa

Aunque Google no confirmó si CVE-2025-4664 fue explotado antes de hacerse público, reconoció en su aviso de seguridad que ya existe un exploit disponible públicamente, una señal común de que hay explotación activa.

El jueves siguiente, CISA confirmó oficialmente que esta vulnerabilidad está siendo explotada en ataques reales, agregándola a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV), una base de datos que destaca las amenazas que requieren acción inmediata.

Requisitos de mitigación según la directiva BOD 22-01

En cumplimiento con la Directiva Operativa Vinculante 22-01, todas las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar el parche de seguridad antes del 7 de mayo de 2025, con el fin de mitigar cualquier riesgo de compromiso.

Aunque esta normativa es obligatoria solo para organismos gubernamentales, CISA recomienda encarecidamente a todas las organizaciones públicas y privadas actualizar inmediatamente sus instalaciones de Google Chrome.

Citar"Este tipo de vulnerabilidades representan vectores comunes de ataque para actores cibernéticos maliciosos y suponen un riesgo significativo para la infraestructura federal y empresarial", advirtió CISA.

Segundo día cero de Chrome explotado en 2025

Esta es la segunda vulnerabilidad de día cero en Chrome que ha sido explotada en lo que va de 2025. La anterior, CVE-2025-2783, fue utilizada en ataques dirigidos contra organizaciones gubernamentales rusas, medios de comunicación y centros educativos, como parte de campañas de ciberespionaje avanzado.

En esa ocasión, los investigadores de Kaspersky informaron que los atacantes usaron el exploit para eludir las protecciones de sandbox de Chrome e infectar los sistemas con malware personalizado.

Recomendaciones para proteger tu sistema

Para prevenir la explotación de CVE-2025-4664 en tu entorno, sigue estas recomendaciones:

Actualiza Google Chrome inmediatamente a la última versión disponible.
Implementa soluciones de seguridad perimetral que detecten actividad anómala relacionada con exfiltración de datos.
Supervisa el tráfico saliente para identificar intentos de acceso a recursos maliciosos.
Revisa la política de contenido (CSP) en tus aplicaciones web para limitar cargas de recursos externos.

En fin, la vulnerabilidad CVE-2025-4664 en Google Chrome representa una amenaza real, especialmente debido a su explotación activa en la naturaleza. Tanto organismos públicos como empresas privadas deben actuar con rapidez y aplicar los parches de seguridad correspondientes para prevenir fugas de información y accesos no autorizados.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16

Noticias Informáticas / Error de BitLocker tras actualización KB5058379 en Windows 10

Mayo 17, 2025, 11:14:26 AM

Microsoft ha confirmado que las actualizaciones de seguridad lanzadas en mayo de 2025 están provocando problemas en algunos sistemas con Windows 10 y Windows 10 Enterprise LTSC 2021, los cuales se inician directamente en el modo de recuperación de BitLocker tras aplicar la actualización acumulativa KB5058379.

¿Qué es BitLocker y por qué entra en modo de recuperación?

BitLocker es una función de seguridad integrada en Windows que cifra las unidades de almacenamiento para proteger los datos contra accesos no autorizados. Generalmente, el sistema entra en el modo de recuperación de BitLocker tras detectar cambios significativos en la configuración del equipo, como actualizaciones del TPM (Trusted Platform Module) o modificaciones de hardware.

En este caso, tras instalar la actualización KB5058379, múltiples usuarios han reportado que sus dispositivos requieren la clave de recuperación de BitLocker al iniciar, lo cual impide el acceso normal al sistema operativo.

Confirmación del error por parte de Microsoft

Microsoft ha reconocido públicamente el problema y afirma estar investigando reportes de que "un número limitado" de PCs con Windows 10 presentan la pantalla de recuperación de BitLocker tras instalar la actualización. Según su comunicado:

Citar"En los dispositivos afectados, es posible que Windows no se inicie las veces necesarias para activar una reparación automática. Si BitLocker está habilitado, se solicita la clave de recuperación para continuar."

Señales de error en el Visor de eventos

Los usuarios que examinan el Visor de eventos de Windows pueden identificar los siguientes síntomas:

Errores de LSASS
Mensajes de error con el código 0x800F0845
Entradas fallidas relacionadas con la instalación de la actualización KB5058379

En algunos dispositivos, este comportamiento conduce a un bucle de recuperación de BitLocker. En otros, tras varios intentos fallidos de instalación, el sistema revierte correctamente a una versión previa de la actualización.

Cómo recuperar la clave de BitLocker

Si tu equipo muestra la pantalla de recuperación, puedes recuperar la clave iniciando sesión en el portal de recuperación de BitLocker mediante tu cuenta de Microsoft. Microsoft también ofrece una guía detallada sobre cómo localizar la clave de recuperación de BitLocker en Windows, disponible en su sitio de soporte técnico.

Dispositivos afectados: Dell, HP y Lenovo

Los informes hasta ahora incluyen una amplia gama de configuraciones de hardware, principalmente en equipos de fabricantes como Lenovo, Dell y HP. Esto sugiere que el problema podría no estar vinculado a un modelo específico, sino más bien a una incompatibilidad generalizada entre el software de seguridad de Windows y determinados entornos de hardware.

Comentarios de la comunidad

Los foros de Microsoft y plataformas como Reddit se han llenado de testimonios de usuarios afectados:

Citar"La actualización KB5058379 falló en dispositivos con Windows 10. Tras reiniciar, algunos equipos solicitan la clave de BitLocker", escribió un usuario.

Citar"Tenemos media docena de portátiles con problemas: algunas requieren la clave para iniciar, otras ni siquiera arrancan", señaló un administrador de sistemas.

Soluciones temporales sugeridas

Mientras Microsoft trabaja en una solución oficial, algunos usuarios y técnicos sugieren deshabilitar desde el BIOS ciertas funciones relacionadas con la seguridad, como:

Intel Trusted Execution Technology (TXT)
Secure Boot (Arranque seguro)
Tecnologías de virtualización
Protección de firmware

Estas medidas pueden ayudar a salir del modo de recuperación de BitLocker en algunos casos, aunque deben aplicarse con precaución.

Antecedentes: problemas similares en actualizaciones anteriores
Este no es el primer incidente en el que las actualizaciones de seguridad de Windows desencadenan problemas con BitLocker. En agosto de 2024, Microsoft ya solucionó un error similar que afectaba a Windows 10, Windows 11 y Windows Server tras aplicar las actualizaciones de julio.

Asimismo, en agosto de 2022, la actualización KB5012170 provocó que algunos dispositivos se iniciaran también en la pantalla de recuperación de BitLocker, lo que evidencia una tendencia de incompatibilidades recurrentes en ciertas actualizaciones acumulativas.

En conclusión, el error relacionado con BitLocker y la actualización KB5058379 de mayo de 2025 representa un problema crítico para usuarios y administradores de sistemas que dependen de la seguridad y disponibilidad continua de sus equipos con Windows 10. Mientras Microsoft investiga la causa raíz y desarrolla una solución definitiva, es esencial estar al tanto de los boletines de soporte y utilizar los recursos disponibles para recuperar el acceso al sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17

Noticias Informáticas / openSUSE elimina Deepin Desktop por vulnerabilidades

Mayo 16, 2025, 11:48:03 AM

La distribución openSUSE ha tomado una decisión crucial: eliminar Deepin Desktop Environment (DDE) de sus repositorios oficiales. La causa principal radica en fallos de seguridad críticos detectados en componentes fundamentales del entorno Deepin, según el equipo de seguridad de SUSE.

Entre las vulnerabilidades destacan problemas en D-Bus, Polkit y el módulo dde-api-proxy, que dejaban a los sistemas expuestos a posibles ataques. Además, se denunció la inclusión de un paquete llamado deepin-feature-enable, que permitía la instalación de archivos de configuración sin pasar los controles de seguridad y empaquetado estándar de openSUSE.

Falta de respuesta por parte del equipo de Deepin

Pese a los avisos emitidos, los responsables del entorno Deepin no ofrecieron respuestas adecuadas ni correcciones rápidas, lo que terminó por socavar la confianza de SUSE en la capacidad de mantenimiento del proyecto. Esta situación forzó la retirada total de Deepin en futuras versiones como Leap 16.0 y Tumbleweed.

Qué implica este cambio para los usuarios de openSUSE

Los usuarios actuales de openSUSE Leap 15.6 que tengan instalado Deepin verán cómo el paquete deepin-feature-enable será eliminado automáticamente, aunque otros componentes seguirán funcionando mientras estén presentes. Sin embargo, Deepin Desktop no estará disponible oficialmente en próximas versiones de la distribución.

Para quienes deseen instalar Deepin manualmente, aún podrán acceder al repositorio del empaquetador. No obstante, openSUSE advierte que esta instalación será bajo la entera responsabilidad del usuario y no recibirá soporte ni actualizaciones de seguridad.

Deepin: popularidad, diseño atractivo y desafíos en seguridad

Deepin es uno de los entornos de escritorio más conocidos en el ecosistema Linux, especialmente por su estética moderna y su interfaz inspirada en Windows 11. Su popularidad ha sido notable en distribuciones como UbuntuDDE, Manjaro y versiones comunitarias de openSUSE.

Sin embargo, la calidad del código y los controles de seguridad del entorno Deepin no han estado a la altura de los estándares exigidos por proyectos como openSUSE. Aunque sigue siendo muy utilizado en China, su mantenimiento y transparencia han sido objeto de críticas.

openSUSE Leap 16: seguridad, modernización y gestión web

La decisión de abandonar Deepin coincide con una transformación significativa en openSUSE Leap 16, que apuesta por un modelo de distribución más seguro y moderno:

Wayland reemplaza a Xorg como servidor gráfico por defecto.
YaST cede protagonismo a herramientas como Cockpit y Myrlyn para la gestión del sistema.
Se promueve el uso de sistemas inmutables, que ofrecen mayor protección ante modificaciones accidentales o maliciosas.

Estos cambios representan una evolución hacia una distribución Linux más robusta, segura y adaptada a los nuevos estándares de administración.

openSUSE refuerza su compromiso con la seguridad

Al eliminar Deepin, openSUSE prioriza la seguridad del usuario y la integridad del sistema sobre las preferencias visuales o modas de entornos de escritorio. La comunidad podrá seguir utilizando Deepin por cuenta propia, pero con plena conciencia de los riesgos implicados.

Esta medida subraya el compromiso de la distribución con prácticas responsables, auditables y sostenibles dentro del mundo Linux.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18

Noticias Informáticas / HTTPBot lanza más de 200 ataques DDoS contra sectores de juegos y tecnología

Mayo 16, 2025, 11:40:42 AM

Investigadores en seguridad cibernética han detectado una nueva y peligrosa variante de malware de botnet, llamada HTTPBot, que ha estado dirigiendo ataques DDoS altamente sofisticados contra sectores clave como la industria del videojuego, empresas tecnológicas y centros educativos en China.

De acuerdo con un informe reciente de la empresa NSFOCUS, el malware se ha expandido agresivamente desde agosto de 2024, aprovechando dispositivos comprometidos para lanzar ataques externos de denegación de servicio distribuidos (DDoS). HTTPBot utiliza técnicas avanzadas como floods HTTP simulados y ofuscación dinámica, lo que le permite evadir mecanismos tradicionales de detección basados en firmas y reglas.

¿Qué es HTTPBot y cómo opera este malware de botnet?

HTTPBot es un malware de botnet diseñado para Windows, escrito en el lenguaje de programación Golang, lo que lo convierte en una anomalía dentro del panorama habitual, ya que la mayoría de botnets DDoS están orientadas a Linux o dispositivos IoT.

Su principal vector de ataque son los protocolos HTTP, que utiliza para generar un volumen masivo de tráfico simulando sesiones reales, provocando la saturación de servicios en línea de alto valor como:

Portales de acceso a videojuegos
Plataformas de pago en línea
Interfaces de servicios digitales críticos

Este tipo de ataque ha sido calificado por NSFOCUS como un "ataque con precisión de bisturí", ya que no busca una denegación masiva, sino una interrupción dirigida a servicios clave, lo que representa una nueva generación de amenazas DDoS enfocadas en la estrangulación empresarial de alta precisión.

Técnicas de evasión y persistencia del malware HTTPBot

Una vez que el malware HTTPBot se instala en un sistema Windows, implementa varias técnicas para mantenerse oculto y persistente, como:

Ocultamiento de la interfaz gráfica de usuario (GUI) para evadir la detección manual y de herramientas antimalware.
Manipulación del Registro de Windows para asegurarse de ejecutarse automáticamente al iniciar el sistema.
Establecimiento de conexión con un servidor de comando y control (C2) para recibir instrucciones de ataque.

A partir de abril de 2025, se estima que HTTPBot ha ejecutado más de 200 comandos de ataque DDoS, específicamente dirigidos a infraestructuras digitales en sectores estratégicos como videojuegos, educación, tecnología y turismo.

Módulos de ataque avanzados integrados en HTTPBot

HTTPBot es altamente modular y dispone de diversos métodos de ataque basados en HTTP, diseñados para imitar tráfico legítimo y agotar los recursos del servidor objetivo. Entre sus principales módulos destacan:

BrowserAttack: usa instancias ocultas de Google Chrome para simular navegación real y consumir recursos.
HttpAutoAttack: utiliza cookies para simular sesiones de usuario legítimas.
HttpFpDlAttack: basado en el protocolo HTTP/2, genera respuestas de gran tamaño para saturar el CPU del servidor.
WebSocketAttack: explota conexiones WebSocket (ws:// y wss://) para mantener sesiones persistentes y prolongadas.
PostAttack: ejecuta ataques mediante solicitudes HTTP POST para imitar interacciones legítimas.
CookieAttack: mejora BrowserAttack con un flujo adicional de gestión de cookies para dificultar la detección.

¿Por qué HTTPBot representa una amenaza significativa para la ciberseguridad?

A diferencia de otras botnets DDoS tradicionales, HTTPBot se caracteriza por su capacidad de simular de manera realista el comportamiento de navegadores legítimos, lo que le permite:

Evadir sistemas de defensa basados en la integridad del protocolo
Saturar sesiones activas del servidor utilizando rutas URL aleatorias y mecanismos de renovación de cookies
Minimizar el volumen de tráfico anómalo para evitar ser detectado por soluciones anti-DDoS convencionales

Este enfoque de bajo perfil pero altamente efectivo lo convierte en una herramienta peligrosa para interrumpir operaciones digitales críticas sin levantar alertas tempranas.

Un cambio de paradigma en los ataques DDoS con malware de botnet

HTTPBot representa una evolución alarmante en el arsenal de los ciberdelincuentes, al combinar lo mejor del camuflaje con una arquitectura modular poderosa, orientada a derribar servicios esenciales con precisión quirúrgica.

La aparición de este malware de botnet para Windows indica un cambio estratégico en las tácticas de ataque DDoS, alejándose de los enfoques masivos y orientándose hacia objetivos específicos de alto valor empresarial.

Las organizaciones deben reforzar sus capacidades de defensa con:

Sistemas de detección basados en comportamiento
Monitoreo avanzado de tráfico HTTP
Políticas de ciberseguridad proactiva

El conocimiento de amenazas como HTTPBot es fundamental para mantenerse un paso adelante en la lucha contra el cibercrimen y la protección de infraestructuras críticas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19

Noticias Informáticas / Deepfakes de voz generados por IA dirigidos a funcionarios de EE. UU

Mayo 16, 2025, 11:31:37 AM

El FBI ha emitido una advertencia urgente sobre el uso de deepfakes de audio generados por inteligencia artificial (IA) para lanzar ataques de phishing de voz (vishing) contra funcionarios del gobierno de Estados Unidos. Esta nueva campaña maliciosa, iniciada en abril de 2025, forma parte de una oleada creciente de amenazas que combinan ingeniería social y tecnologías de IA para engañar a las víctimas.

La advertencia fue emitida el jueves como parte de un anuncio de servicio público, que además proporciona recomendaciones clave para detectar y mitigar ataques que emplean deepfakes de voz, también conocidos como clonación de voz generada por IA.

Funcionarios estadounidenses son los principales objetivos del vishing con audio falso

Desde abril, actores maliciosos han estado suplantando la identidad de altos funcionarios del gobierno federal y estatal de EE. UU., tanto en funciones como retirados, para engañar a sus contactos personales y profesionales. Según el FBI:

Citar"Si recibe un mensaje que aparenta provenir de un alto funcionario de EE. UU., no asuma automáticamente que es legítimo", advirtió la agencia.

Estos ataques utilizan una combinación de:

Mensajes de texto maliciosos (smishing)
Mensajes de voz manipulados con IA (vishing)

Ambas técnicas buscan generar una falsa sensación de confianza antes de solicitar información sensible o acceso a cuentas personales.

Cómo operan los atacantes con deepfakes de audio

Los ciberdelincuentes emplean enlaces disfrazados en los mensajes, aparentando que son invitaciones a continuar la conversación en otra plataforma de mensajería (como WhatsApp, Signal o Telegram). Una vez que la víctima accede a estos enlaces:

Se expone a la descarga de malware o troyanos de acceso remoto.
Permite a los atacantes obtener acceso a sus cuentas personales o institucionales.
Los atacantes extraen la lista de contactos, especialmente de otros funcionarios gubernamentales.
Usan esa información para amplificar la campaña de suplantación de identidad, presentándose como figuras legítimas para obtener información confidencial o realizar fraudes financieros.

Este ciclo de manipulación mediante ingeniería social y suplantación con voz sintética representa una amenaza creciente en la ciberseguridad gubernamental.

Deepfakes como herramienta emergente en operaciones cibernéticas

El FBI ya había anticipado este tipo de amenazas en su Notificación a la Industria Privada (PIN) de marzo de 2021, donde alertaba sobre el uso creciente de deepfakes —audio, texto, imágenes y video generados por IA— en operaciones cibernéticas y campañas de influencia extranjera.

En 2022, Europol reforzó esta preocupación, advirtiendo que los deepfakes podrían utilizarse comúnmente en:

Estafas tipo CEO fraud
Pornografía no consentida
Manipulación de pruebas judiciales o legales

Casos recientes de phishing con voz sintética

El uso de deepfakes de voz por parte de ciberdelincuentes no es un fenómeno aislado. En abril de 2024, el Departamento de Salud y Servicios Humanos de EE. UU. (HHS) también advirtió sobre ataques dirigidos a centros de asistencia técnica (IT Help Desks) mediante clonación de voz para engañar a los empleados y obtener acceso a sistemas internos.

Ese mismo mes, la empresa LastPass reveló un incidente grave: un atacante utilizó un deepfake de audio para suplantar a su director ejecutivo, Karim Toubba, durante un intento de phishing de voz dirigido a un empleado de la compañía. Este incidente subraya la verosimilitud de las voces generadas por IA y el alto riesgo que representan incluso en entornos empresariales altamente seguros.

Medidas de prevención ante ataques con audio generado por IA

El FBI recomienda al público y a los responsables de seguridad en empresas e instituciones gubernamentales:

Desconfiar de mensajes de voz o texto no solicitados, incluso si parecen provenir de autoridades conocidas.
Verificar la autenticidad de las comunicaciones a través de canales seguros y directos.
Evitar hacer clic en enlaces de plataformas no oficiales enviados por supuestas figuras públicas.
Implementar controles de autenticación multifactor en todas las cuentas sensibles.
Capacitar al personal en detección de ingeniería social avanzada, especialmente con IA.

En conclusión, la advertencia del FBI sobre el uso de deepfakes de voz en ataques de vishing dirigidos a funcionarios de EE. UU. confirma una preocupante tendencia en el uso malicioso de tecnologías basadas en IA. A medida que los deepfakes de audio se vuelven más sofisticados y difíciles de detectar, la educación en ciberseguridad y la verificación de identidad se convierten en herramientas esenciales para frenar esta forma de suplantación de identidad digital.

Las organizaciones públicas y privadas deben tomar medidas proactivas para blindarse contra ataques de ingeniería social potenciados por IA, que amenazan no solo la integridad de las comunicaciones, sino también la seguridad nacional y financiera.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20

Noticias Informáticas / Skitnet: el malware post-explotación favorito de las bandas de ransomware

Mayo 16, 2025, 11:21:17 AM

Durante 2025, investigadores de ciberseguridad han detectado un aumento en el uso de Skitnet, también conocido como Bossnet, un malware avanzado utilizado por bandas de ransomware para ejecutar actividades post-explotación en redes comprometidas. Este software malicioso está ganando popularidad por su eficacia, bajo costo y capacidades evasivas.

El malware fue identificado por primera vez en foros clandestinos como RAMP en abril de 2024, pero no fue hasta principios de 2025 cuando comenzó a tener una adopción significativa entre actores de amenazas. Según el equipo de Prodaft, varias operaciones de ransomware ya están utilizando activamente Skitnet, incluyendo grupos notorios como BlackBasta, que lo ha empleado en campañas de phishing a través de Microsoft Teams, y Cactus.

¿Cómo funciona Skitnet? Técnicas de infección y persistencia

Skitnet inicia su actividad con un loader programado en Rust, que se ejecuta en el sistema de la víctima y descifra un binario escrito en Nim cifrado con ChaCha20. Esta carga útil se mantiene en la memoria para evitar la detección por parte de soluciones antivirus tradicionales.

Una vez cargado, el binario Nim establece un shell inverso a través de DNS, lo que permite la comunicación con el servidor C2 (comando y control) sin levantar sospechas. Para ello, genera consultas DNS aleatorias como parte del proceso de conexión.

El malware ejecuta tres subprocesos principales:

Envío periódico de consultas de latido DNS.
Monitoreo de la salida del shell y su filtrado.
Escucha activa de comandos cifrados recibidos desde el servidor C2.

Dependiendo de la configuración, Skitnet puede usar tanto protocolo DNS como HTTP para la transmisión de comandos, controlados desde un panel de administración C2 que muestra información sobre la víctima (dirección IP, ubicación geográfica, estado del sistema) y permite la ejecución remota de comandos.

Comandos principales de Skitnet

Skitnet ofrece un conjunto de funciones potentes que permiten a los operadores mantener el acceso y explotar al máximo los sistemas comprometidos. Algunos de sus comandos más destacados son:

inicio: establece persistencia descargando varios archivos, incluyendo una DLL maliciosa, y aprovechando un ejecutable legítimo de Asus (ISP.exe) para realizar un secuestro de DLL y ejecutar un script de PowerShell (pas.ps1) para mantener la comunicación con el C2.
pantalla: captura pantallas del escritorio de la víctima utilizando PowerShell, las sube a Imgur y envía la URL al servidor de control.
anydesk: descarga e instala silenciosamente AnyDesk, una herramienta de acceso remoto legítima, ocultando todos los indicios visuales de su presencia.
rutserv: instala RUT-Serv, otra herramienta de acceso remoto, de forma similar a AnyDesk.
shell: permite la ejecución continua de comandos de PowerShell mediante un bucle que consulta el servidor cada 5 segundos y ejecuta las instrucciones usando Invoke-Expression.
av: enumera las soluciones antivirus y de seguridad instaladas a través de consultas WMI, enviando los resultados al servidor C2.

Capacidades avanzadas con .NET y PowerShell

Además de los comandos estándar, Skitnet cuenta con una función avanzada que permite la ejecución de scripts de PowerShell directamente en memoria usando un cargador .NET independiente. Esto amplía significativamente la personalización y adaptabilidad de los ataques, permitiendo a los operadores realizar acciones más sofisticadas sin dejar rastros en el disco.

¿Por qué las bandas de ransomware eligen Skitnet?

Mientras que muchos grupos de ransomware desarrollan sus propias herramientas personalizadas para evitar la detección, este proceso suele requerir tiempo, inversión económica y desarrolladores especializados. En contraste, Skitnet representa una solución lista para usar, económica y eficaz, accesible incluso para grupos con menos recursos o experiencia técnica.

Además, su uso masivo dificulta la atribución de ataques, ya que múltiples actores pueden operar con el mismo malware, lo que complica los esfuerzos de análisis forense y respuesta a incidentes.

En el panorama actual del ransomware como servicio (RaaS), donde la rapidez de ejecución y la eficiencia son clave, Skitnet se posiciona como una herramienta extremadamente valiosa, adaptable tanto a ataques de alta sofisticación como a campañas masivas menos elaboradas.

Indicadores de compromiso (IoCs) disponibles

Para ayudar a los equipos de seguridad a detectar y mitigar ataques relacionados con Skitnet, Prodaft ha publicado una lista de Indicadores de Compromiso (IoCs) en su repositorio oficial de GitHub. Esta información es crucial para la detección temprana y la protección de infraestructuras vulnerables frente a esta amenaza emergente.

En conclusión, Skitnet es una amenaza en crecimiento que está redefiniendo el panorama de los ataques post-explotación en 2025. Su capacidad para evadir detección, establecer persistencia y ejecutar comandos avanzados lo convierte en una opción preferida por los grupos de ransomware. Estar al tanto de sus técnicas y herramientas asociadas es esencial para cualquier organización que desee fortalecer su postura de ciberseguridad frente a amenazas modernas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Páginas1 2 3 ... 154