Mostrar Mensajes

Información del Perfil

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Dragora

Páginas1 2 3 ... 153

Noticias Informáticas / Steam niega filtración de datos tras acusaciones de actor de amenazas

Hoy a las 11:20:07 AM

Un presunto incidente de ciberseguridad ha sacudido el ecosistema de Steam, la plataforma de videojuegos para PC más grande del mundo, después de que un actor de amenazas afirmara haber accedido a más de 89 millones de registros de usuarios, incluyendo códigos de acceso de un solo uso (OTP). Sin embargo, tanto Twilio, proveedor de servicios de comunicación en la nube, como Valve Corporation, propietaria de Steam, han negado rotundamente haber sido comprometidos.

Actor de amenazas afirma tener datos sensibles de Steam

El ciberatacante, que opera bajo el alias Machine1337 (también conocido como EnergyWeaponsUser), aseguró haber obtenido los datos a través de un ataque a la infraestructura de Steam. Ofreció vender el supuesto tesoro de información por 5.000 dólares, lo que generó preocupación inmediata entre los usuarios y expertos en ciberseguridad.

Análisis preliminar de los datos filtrados

Según el medio especializado BleepingComputer, los archivos proporcionados por el atacante contenían alrededor de 3.000 registros, donde se podían ver mensajes SMS con códigos de autenticación de un solo uso (OTP) enviados a usuarios de Steam, incluyendo números de teléfono asociados.

Estos códigos suelen usarse para:

Acceder a cuentas protegidas por autenticación de dos factores (2FA).
Asociar números de teléfono a cuentas Steam.
Confirmar transacciones dentro de la plataforma.

Algunos de los mensajes estaban fechados en marzo de 2025, lo que sugiere que los datos son recientes.

¿Comprometida la cadena de suministro? La posible implicación de Twilio

El periodista independiente MellowOnline1, creador del grupo comunitario SteamSentinels, que monitorea fraudes y abusos en la plataforma, propuso que el ataque podría tratarse de un compromiso en la cadena de suministro, apuntando directamente a Twilio.

Citar"Los datos contienen entradas de registro de sistemas backend en tiempo real de Twilio", indicó, sugiriendo la posible comprometida de una cuenta de administrador o abuso de claves API.

Twilio, que ofrece soluciones de comunicación como mensajería SMS, llamadas de voz y verificación 2FA, es ampliamente utilizado por aplicaciones como Steam para autenticar a sus usuarios.

Twilio niega violación de seguridad

Consultada por BleepingComputer, Twilio emitió un comunicado inicial confirmando que investigaban el incidente, pero más tarde aclararon que no habían sido víctimas de una violación.

Citar"No hay evidencia que sugiera que Twilio fue violado. Hemos revisado una muestra de los datos encontrados en línea, y no vemos ninguna indicación de que estos datos se hayan obtenido de nuestros sistemas", indicó un portavoz de la compañía.

Este comunicado sugiere que, de haber existido una filtración, esta podría haberse originado en un proveedor de servicios de SMS intermediario, ajeno tanto a Twilio como a Steam directamente.

Steam también niega haber sido hackeado

Valve Corporation, propietaria de Steam, también negó categóricamente cualquier acceso no autorizado a sus sistemas en una actualización publicada el 15 de mayo de 2025.

Citar"El conjunto de datos filtrado parece contener códigos SMS de un solo uso válidos solo durante 15 minutos. Estos códigos ya no pueden ser utilizados", dijo Steam en su comunicado oficial.

Steam aseguró que no se requiere ninguna acción por parte de los usuarios, y que las cuentas permanecen seguras.

Posible origen de los datos y brecha en proveedores de SMS

Aunque la filtración aún está bajo investigación, los expertos coinciden en que una posible explicación es una brecha de seguridad en un proveedor de servicios SMS externo, utilizado para enviar códigos 2FA entre Steam y sus usuarios, probablemente a través de Twilio o plataformas similares.

Este tipo de ataque encaja en lo que se conoce como "compromiso de terceros" o "ataques a la cadena de suministro", donde el objetivo no es directamente la empresa principal, sino los proveedores de servicios que manipulan datos sensibles de forma indirecta.

Medidas de protección recomendadas para usuarios de Steam

Ante la incertidumbre, se recomienda a los usuarios de Steam seguir buenas prácticas de ciberseguridad para evitar accesos no autorizados a sus cuentas. Entre ellas:

Activar el Steam Guard Mobile Authenticator para proteger las cuentas con autenticación en dos pasos.
Supervisar regularmente la actividad de la cuenta.
Estar atentos a mensajes SMS sospechosos o códigos no solicitados.

Steam también ofrece métodos adicionales de seguridad, como contraseñas temporales (TOTP), autenticación por push, y verificación silenciosa de dispositivos confiables, a través de servicios como Twilio Verify API.

En conclusión, aunque el actor de amenazas afirma haber comprometido los sistemas de Steam o Twilio, las pruebas disponibles apuntan a un posible problema de seguridad en un intermediario de servicios SMS. Ni Steam ni Twilio han confirmado violaciones directas, y ambos han tomado medidas para tranquilizar a los usuarios y reforzar su postura de seguridad.

El caso refuerza la importancia de fortalecer la ciberseguridad en la cadena de suministro digital, especialmente en servicios de autenticación, donde una aparente brecha menor puede tener consecuencias masivas si se explota de forma adecuada.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Nucor sufre incidente de ciberseguridad que afecta su producción en EE. UU.

Hoy a las 11:04:50 AM

Nucor Corporation, el mayor productor de acero de Estados Unidos, confirmó haber sido víctima de un incidente de ciberseguridad que obligó a la compañía a desconectar partes de su red y suspender temporalmente la producción en varias de sus instalaciones.

El ataque, del cual aún se desconocen los detalles técnicos, ha generado preocupación sobre la seguridad en la infraestructura crítica y su impacto potencial en sectores estratégicos como la construcción, el transporte y la energía.

Acceso no autorizado y respuesta inmediata de Nucor

La compañía reveló el incidente en una presentación 8-K ante la Comisión de Bolsa y Valores de EE. UU. (SEC), en la que describió que detectó acceso no autorizado por parte de terceros a sistemas de tecnología de la información.

Citar"Nucor Corporation identificó recientemente un incidente de ciberseguridad que involucra el acceso no autorizado de terceros a ciertos sistemas de tecnología de la información utilizados por la Compañía", indica el informe presentado a la SEC.

Al identificar la amenaza, la empresa activó su plan de respuesta a incidentes, desconectando proactivamente los sistemas afectados y aplicando medidas de contención, mitigación y recuperación para frenar posibles daños adicionales.

Interrupción en la producción y operaciones

Como consecuencia del ataque, Nucor se vio obligada a detener parcialmente la producción en múltiples ubicaciones, aunque señaló que ya se encuentra en proceso de reiniciar sus operaciones de manera gradual.

La compañía no ha especificado el tipo de ciberataque, ni ha confirmado si se trata de un ransomware, un robo de datos confidenciales o una violación de integridad en sus sistemas.

Hasta el momento de redactar este artículo:

No se ha identificado públicamente al autor del ataque.
Ningún grupo de ransomware ha asumido la responsabilidad.
No se ha confirmado si los datos de clientes o empleados fueron comprometidos.

Nucor: infraestructura crítica y objetivos de alto valor

Nucor no solo es el mayor fabricante de acero en EE. UU., sino también uno de los principales recicladores de chatarra metálica en América del Norte. La empresa emplea a más de 32,000 personas en sus plantas ubicadas en Estados Unidos, México y Canadá, y reportó ingresos por $7.83 mil millones en el primer trimestre de 2025.

Entre sus productos clave se encuentran las barras de refuerzo, fundamentales en la construcción de infraestructura crítica como puentes, carreteras y edificios. Esto convierte a Nucor en un objetivo atractivo para actores de amenazas que buscan interrumpir cadenas de suministro esenciales.

Investigación en curso y apoyo externo

Nucor ha informado a las autoridades competentes y está colaborando con expertos en ciberseguridad externos para determinar el origen y el alcance del ataque. La compañía continúa monitoreando la situación y ajustando sus protocolos de seguridad según los hallazgos preliminares.

La falta de información pública sobre la naturaleza del ataque ha generado especulación en la comunidad de ciberseguridad, especialmente ante el contexto de incremento en los ataques a empresas manufactureras y de infraestructura en 2025.

Relevancia del incidente en el panorama actual de amenazas

Este incidente se suma a una creciente lista de ataques cibernéticos dirigidos a sectores industriales, donde la convergencia de la tecnología operativa (OT) con la tecnología de la información (TI) crea superficies de ataque críticas y vulnerables.

Los ciberataques a fabricantes de acero, aluminio, energía y transporte han mostrado un aumento significativo, con actores maliciosos utilizando técnicas avanzadas como:

Ransomware dirigido a sistemas SCADA
Exfiltración de propiedad intelectual
Sabotaje de líneas de producción
Accesos persistentes a entornos industriales híbridos

En conclusión, el incidente de ciberseguridad en Nucor Corporation pone de relieve los riesgos crecientes en la industria manufacturera y la importancia de contar con estrategias robustas de ciberdefensa, especialmente en sectores que conforman la infraestructura crítica de los Estados Unidos.

Mientras continúa la investigación, se espera que Nucor y otras compañías del sector refuercen sus medidas de prevención, monitoreo y respuesta ante amenazas cibernéticas que pueden tener repercusiones económicas y geopolíticas significativas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Google Chrome corrige vulnerabilidad crítica CVE-2025-4664 con exploit activo

Hoy a las 10:53:20 AM

Google ha lanzado una actualización crítica de seguridad para su navegador Chrome, abordando cuatro vulnerabilidades, incluida una falla de alta severidad que ya está siendo explotada activamente en el entorno real.

La vulnerabilidad, identificada como CVE-2025-4664 y con una puntuación CVSS de 4.3, se debe a una aplicación insuficiente de políticas en el componente Loader de Chrome. Esta falla podría permitir a un atacante remoto filtrar datos de origen cruzado utilizando una página HTML especialmente diseñada.

Detalles técnicos de la vulnerabilidad

Según la descripción oficial, esta vulnerabilidad afecta a versiones de Google Chrome anteriores a la 136.0.7103.113 y podría ser utilizada para robar información sensible mediante solicitudes HTML maliciosas.

"La aplicación insuficiente de políticas en Loader en Google Chrome antes de 136.0.7103.113 permitió a un atacante remoto filtrar datos de origen cruzado a través de una página HTML diseñada", señala el informe de seguridad de Google.

El descubrimiento fue atribuido al investigador de seguridad Vsevolod Kokorin (conocido como @slonser_), quien detalló la falla en una serie de publicaciones en X (anteriormente Twitter) el pasado 5 de mayo de 2025.

Cómo se explota CVE-2025-4664

Kokorin explicó que, a diferencia de otros navegadores, Chrome interpreta el encabezado "Link" en las solicitudes de subrecursos, lo que permite establecer una política de referencia peligrosa como unsafe-url. Esta configuración puede permitir que un atacante capture los parámetros de consulta completos, los cuales a menudo contienen datos sensibles como tokens de autenticación, identificadores de sesión o direcciones de correo electrónico.

CitarEn palabras del investigador:

"Podemos especificar unsafe-url y capturar los parámetros de consulta completos. Esta información puede contener datos confidenciales que pueden llevar a una toma de control de cuenta."

Además, Kokorin demostró cómo esta fuga de datos puede ser ejecutada mediante una simple imagen alojada en un recurso de terceros, facilitando la explotación sin necesidad de JavaScript ni interacción del usuario.

CVE-2025-4664: Exploit activo y riesgos

Lo más preocupante es que Google ha confirmado la existencia de un exploit en la naturaleza que aprovecha esta vulnerabilidad. Si bien aún no se ha verificado su uso en ataques reales fuera de la demostración del investigador, el hecho de que haya un exploit activo eleva el nivel de riesgo considerablemente.

Esta es la segunda vulnerabilidad de Chrome en 2025 que está siendo explotada en el mundo real, después de CVE-2025-2783, lo que subraya la necesidad urgente de mantener actualizado el navegador.

¿Qué versiones corrigen el fallo?

Para protegerse de ataques que aprovechen CVE-2025-4664, Google recomienda actualizar inmediatamente a las siguientes versiones:

Windows y macOS: 136.0.7103.113 / 136.0.7103.114
Linux: 136.0.7103.113

Los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, también deben aplicar las actualizaciones tan pronto como estén disponibles, ya que comparten la misma base de código y son potencialmente vulnerables.

Recomendaciones de seguridad

Para mitigar los riesgos asociados con esta vulnerabilidad:

Actualiza tu navegador Chrome inmediatamente a la última versión disponible.
Si utilizas navegadores derivados de Chromium, revisa sus canales de actualizaciones.
Evita interactuar con enlaces sospechosos o páginas HTML no verificadas.
Revisa la actividad de tus cuentas en caso de haber visitado sitios dudosos recientemente.

En conclusión, la vulnerabilidad CVE-2025-4664 en Google Chrome representa un riesgo real, ya que se ha confirmado un exploit activo que puede conducir al robo de datos sensibles o incluso a la toma de control de cuentas. La rápida respuesta de Google destaca la gravedad de la amenaza, y la actualización inmediata del navegador es esencial para garantizar la seguridad del usuario.

Mantener Chrome y otros navegadores basados en Chromium siempre actualizados es una de las mejores defensas frente a las amenazas emergentes en internet.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Descubren paquete malicioso "os-info-checker-es6" en npm con técnica oculta

Hoy a las 10:34:25 AM

Investigadores de ciberseguridad han identificado un nuevo paquete malicioso en el repositorio npm, llamado os-info-checker-es6, que simula ser una herramienta legítima para obtener información del sistema operativo. Sin embargo, su verdadero propósito es instalar una carga útil maliciosa en los sistemas comprometidos.

Según un informe de la firma de seguridad Veracode, este paquete emplea una técnica avanzada de esteganografía basada en Unicode para ocultar su código malicioso inicial. Además, se vale de enlaces cortos de Google Calendar como mecanismo dinámico para descargar cargas útiles adicionales, haciendo más difícil su detección y análisis.

Un ataque disfrazado de utilidad npm legítima

El paquete os-info-checker-es6 fue subido al registro npm el 19 de marzo de 2025 por el usuario "kim9123", y ha sido descargado más de 2.000 veces hasta la fecha. Este mismo actor publicó otro paquete llamado skip-tot, que incluye a os-info-checker-es6 como dependencia. Aunque este segundo paquete ha tenido menos alcance (94 descargas), forma parte de la misma campaña maliciosa.

Inicialmente, las primeras cinco versiones del paquete no mostraban señales evidentes de comportamiento malicioso. Sin embargo, una actualización publicada el 7 de mayo de 2025 incorporó un archivo preinstall.js con código ofuscado. Este código analiza caracteres Unicode privados para extraer y ejecutar una segunda etapa del malware.

Uso de Google Calendar como cuentagotas de malware

Una de las tácticas más llamativas de esta campaña es el uso de eventos de Google Calendar para entregar la carga útil final. El código malicioso se conecta a URLs del tipo No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.]google/<string>, donde el título del evento contiene una cadena codificada en Base64 que apunta a un servidor remoto controlado por los atacantes, con dirección IP 140.82.54[.]xxx.

Esta técnica convierte a Google Calendar en un intermediario encubierto (dead drop resolver), ofuscando la infraestructura del atacante y dificultando su detección mediante herramientas de seguridad convencionales.

No obstante, al momento de la investigación, no se ha observado la distribución activa de cargas útiles adicionales, lo que sugiere que la campaña puede estar en desarrollo, inactiva o incluso finalizada. También es posible que el servidor de comando y control (C2) esté configurado para responder únicamente a sistemas que cumplan ciertos criterios específicos.

Más paquetes implicados en la campaña

Además de skip-tot, los investigadores han identificado al menos tres paquetes adicionales en npm que incluyen a os-info-checker-es6 como dependencia:

vue-dev-serverr
vue-dummyy
vue-bit

Veracode señala que estos paquetes probablemente forman parte de la misma campaña maliciosa, cuyo objetivo es comprometer desarrolladores desprevenidos mediante técnicas de typoquatting y dependencia encadenada.

Una amenaza en evolución en el ecosistema npm

"El paquete os-info-checker-es6 representa una amenaza sofisticada y en constante evolución dentro del ecosistema npm", afirmó Veracode. "El atacante ha pasado de pruebas encubiertas a la implementación de un malware en múltiples etapas".

La divulgación de esta amenaza coincide con un informe reciente de la empresa Socket, especializada en seguridad de la cadena de suministro de software. En él se destacan las principales técnicas empleadas por actores maliciosos en 2025:

Typosquatting
Slopsquatting
Ofuscación de código
Abuso del almacenamiento en caché en repositorios como Go
Ejecución en varias etapas
Uso malicioso de herramientas legítimas como Google Calendar

Recomendaciones para desarrolladores y equipos de seguridad

Frente a este tipo de amenazas, los expertos en seguridad Kirill Boychenko y Philipp Burckhardt recomiendan adoptar medidas proactivas para mitigar riesgos, como:

Detectar scripts inesperados en procesos post-instalación
Monitorear tráfico de red no autorizado
Validar exhaustivamente los paquetes de terceros
Aplicar análisis estático y dinámico del código
Implementar la fijación de versiones
Revisar cuidadosamente los registros en pipelines CI/CD

En conclusión, el caso de os-info-checker-es6 demuestra cómo los atacantes están evolucionando rápidamente y utilizando técnicas cada vez más sofisticadas para comprometer sistemas a través de repositorios de software confiables como npm. El uso de Google Calendar como cuentagotas de malware representa una estrategia creativa y preocupante, subrayando la necesidad de auditorías constantes y una mayor concienciación sobre los riesgos de las dependencias maliciosas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Xinbi Guarantee: el mercado negro en Telegram que ha lavado millones

Mayo 14, 2025, 06:52:31 PM

Un informe reciente de la firma de análisis de blockchain Elliptic ha revelado que Xinbi Guarantee, un mercado negro chino operando en Telegram, ha facilitado más de 8.400 millones de dólares en transacciones con criptomonedas desde 2022. Esta cifra lo posiciona como el segundo mayor mercado ilícito descubierto después de HuiOne Guarantee.

Xinbi Guarantee: el ecosistema delictivo digital en Telegram

Xinbi Guarantee es una plataforma de comercio ilícito basada en Telegram que conecta a ciberdelincuentes con una amplia gama de productos y servicios ilegales. Según el análisis de Elliptic:

Citar"El principal método de pago es la stablecoin USDT, y se han registrado transacciones que podrían estar relacionadas con fondos robados por Corea del Norte".

Este mercado clandestino ha evolucionado como una ventanilla única de actividades ilegales, incluyendo:

Venta de tecnología prohibida
Datos personales robados
Servicios de lavado de dinero
Documentos de identidad falsificados
Equipos de Internet satelital Starlink
Tráfico humano y explotación sexual
Donación y subrogación de óvulos

Enlace con estafas románticas y ciberdelincuencia del sudeste asiático

Xinbi, al igual que HuiOne Guarantee, ofrece sus servicios a redes de fraude digital en el sudeste asiático, incluyendo los notorios esquemas de "cebo romántico" (también conocidos como pig butchering). Estas estafas han generado miles de millones de dólares en pérdidas a víctimas de todo el mundo, convirtiéndose en una de las formas más lucrativas de ciberdelincuencia global.

Estructura del mercado y tipos de servicios ilegales

Con una base de aproximadamente 233.000 usuarios activos, Xinbi Guarantee organiza a sus vendedores en categorías como:

Lavadores de dinero
Hackers y proveedores de herramientas técnicas
Distribuidores de bases de datos personales
Servicios de vigilancia, intimidación y coerción

Estos servicios no solo facilitan fraudes financieros, sino que también habilitan crímenes físicos y violaciones a los derechos humanos, especialmente dentro del territorio chino.

Crecimiento acelerado y volumen de transacciones

Elliptic destaca el rápido crecimiento del mercado, señalando que:

Citar"Durante el cuarto trimestre de 2024, Xinbi Guarantee superó por primera vez los USD 1.000 millones en transacciones en un solo trimestre".

En conjunto con HuiOne, estos mercados en chino superan ampliamente a la primera generación de mercados darknet que operaban a través de la red Tor, tanto en volumen como en alcance.

Legalidad y fachada empresarial en EE. UU.

Un dato especialmente inquietante es que Xinbi Guarantee afirma estar registrado como una empresa legal en Colorado, EE. UU., bajo el nombre "empresa de grupo de inversión y garantía de capital". El registro está vinculado a un individuo identificado como Mohd Shahrulnizam Bin Abd Manap. Sin embargo, la entidad fue marcada como "morosa" por no presentar los informes requeridos desde su creación en agosto de 2022.

Relación con Corea del Norte y el caso WazirX

Xinbi Guarantee también está vinculado al lavado de criptomonedas robadas por actores norcoreanos, como en el hackeo al exchange indio WazirX en julio de 2024. Elliptic rastreó USD 220.000 en USDT que fueron transferidos a billeteras controladas por Xinbi el 12 de noviembre de ese año.

Estos movimientos indican que plataformas como Xinbi y HuiOne están siendo utilizadas para canalizar fondos obtenidos a través de ciberataques patrocinados por estados, lo que añade una dimensión geopolítica a su operación criminal.

Telegram y medidas de contención

En respuesta a las investigaciones, Telegram ha cerrado miles de canales relacionados con Xinbi y HuiOne Guarantee, interrumpiendo temporalmente sus actividades. No obstante, la magnitud del impacto de estas plataformas sigue siendo motivo de preocupación.

Citar"Estas plataformas también ofrecen una ventana a un sistema bancario clandestino con base en China, apoyado por stablecoins como USDT, que facilita el lavado de dinero a gran escala", señaló Elliptic.

Acción internacional: el caso HuiOne y la FinCEN

Este hallazgo llega pocas semanas después de que la Red de Ejecución de Delitos Financieros (FinCEN) del Departamento del Tesoro de EE. UU. designara a HuiOne Group como una "preocupación principal de lavado de dinero", buscando limitar su acceso al sistema financiero estadounidense.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Samsung corrige vulnerabilidad crítica en MagicINFO 9 Server

Mayo 14, 2025, 06:44:59 PM

Samsung ha lanzado una actualización de seguridad urgente para solucionar una vulnerabilidad crítica en su software MagicINFO 9 Server, la cual ha sido explotada activamente en ataques reales. Identificada como CVE-2025-4632 y con una puntuación CVSS de 9.8, esta falla representa un riesgo grave para los servidores vulnerables.

¿Qué es la vulnerabilidad CVE-2025-4632 en Samsung MagicINFO?

La vulnerabilidad CVE-2025-4632 es una falla de recorrido de directorio (path traversal) que afecta a las versiones de MagicINFO 9 Server anteriores a 21.1052. Según el aviso oficial:

Citar"La limitación incorrecta del nombre de ruta permite a los atacantes escribir archivos arbitrarios con privilegios de sistema."

Esto significa que un actor malicioso puede manipular rutas de archivos para escribir y ejecutar código malicioso como SYSTEM, lo que puede dar lugar a la comprometida total del servidor.

CVE-2025-4632: una omisión de parche de una falla anterior

Cabe destacar que esta vulnerabilidad es una omisión de parche (patch bypass) de la CVE-2024-7399, una falla similar también relacionada con el cruce de rutas (directory traversal) en MagicINFO, que Samsung había corregido en agosto de 2024. Sin embargo, el parche resultó incompleto, y CVE-2025-4632 emergió como una versión más severa y aún sin mitigar hasta ahora.

Explotación activa y relación con la botnet Mirai

El exploit comenzó a circular poco después de que SSD Disclosure publicara una prueba de concepto (PoC) el 30 de abril de 2025, lo que facilitó a los atacantes aprovechar esta falla para comprometer sistemas. Según la firma de ciberseguridad Huntress, algunos ataques han incluido la distribución de la botnet Mirai, conocida por convertir dispositivos comprometidos en parte de una red zombi utilizada para ataques DDoS y otras actividades maliciosas.

Inicialmente se creyó que los ataques estaban dirigidos a la vulnerabilidad CVE-2024-7399. Sin embargo, tras investigar incidentes recientes en sistemas totalmente actualizados, Huntress descubrió que los atacantes estaban explotando una nueva vulnerabilidad aún sin parches: CVE-2025-4632.

Detalles de los ataques registrados

En un informe publicado el 9 de mayo de 2025, Huntress documentó tres incidentes separados en los que actores no identificados ejecutaron el mismo conjunto de comandos maliciosos:

Descarga de archivos como srvany.exe y services.exe en dos sistemas diferentes.
Ejecución de comandos de reconocimiento en otro servidor afectado.

Este comportamiento sugiere un patrón organizado de ataque y explotación activa de la vulnerabilidad en entornos productivos.

¿Qué versiones de Samsung MagicINFO están afectadas?

La falla afecta a todas las versiones entre MagicINFO v8 y v9 hasta la versión 21.1050.0. Samsung confirmó que la versión 21.1052.0 mitiga completamente la vulnerabilidad CVE-2025-4632. Sin embargo, el proceso de actualización no es directo.

Citar"Actualizar de MagicINFO v8 directamente a la versión 21.1052.0 no es posible sin pasar antes por la versión intermedia 21.1050.0", advirtió Jamie Levy, director de tácticas de adversarios en Huntress.

Recomendaciones para mitigar el riesgo

Samsung y expertos en ciberseguridad recomiendan encarecidamente a todos los usuarios de MagicINFO Server tomar las siguientes medidas para proteger sus sistemas:

ctualizar inmediatamente a la versión 21.1052.0 de MagicINFO 9 Server.
Verificar que no se encuentren ejecutando versiones vulnerables (v8 - v9 hasta 21.1050.0).
Revisar logs de actividad sospechosa, especialmente descargas no autorizadas y cambios en archivos del sistema.
Implementar controles de acceso y segmentación de red para minimizar el impacto de posibles intrusiones.
Aplicar parches de seguridad de manera regular y revisar los boletines de vulnerabilidades de Samsung.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Microsoft soluciona error de arranque en sistemas Linux-Windows dual boot

Mayo 14, 2025, 06:30:43 PM

Microsoft ha solucionado un problema crítico que impedía el arranque de sistemas Linux en configuraciones de arranque dual con Windows, cuando el arranque seguro (Secure Boot) estaba habilitado. Este error surgió tras las actualizaciones de seguridad de Windows publicadas en agosto de 2024, y afectó a una amplia variedad de dispositivos, tanto de escritorio como de servidores.

¿Qué causó el error de arranque en sistemas dual boot Linux-Windows?

El origen del fallo está en una actualización de Secure Boot Advanced Targeting (SBAT), implementada como medida de protección frente a la vulnerabilidad CVE-2022-2601. Esta vulnerabilidad afectaba a GRUB2, el cargador de arranque utilizado por muchas distribuciones de Linux, y permitía evadir el arranque seguro mediante métodos de explotación conocidos.

Aunque Microsoft indicó en su aviso de seguridad que la actualización SBAT no se aplicaría a sistemas con arranque dual Linux-Windows detectado, posteriormente reconoció que su método de detección no identificó configuraciones personalizadas, lo que llevó a que la actualización se aplicara incluso en sistemas incompatibles.

Distribuciones de Linux afectadas

Usuarios de múltiples distribuciones de Linux, incluyendo Ubuntu, Zorin OS, Linux Mint y Puppy Linux, reportaron que sus sistemas dejaron de arrancar tras instalar las actualizaciones de Windows de agosto de 2024. El error más común en pantalla era:

Citar"Algo ha salido muy mal: SBAT autoverificación falló: violación de la política de seguridad"

Este mensaje hacía referencia a una falla de autoverificación de SBAT, que impedía la ejecución del cargador de arranque GRUB2 debido a políticas de seguridad más estrictas impuestas por Secure Boot.

Solución definitiva: parche de seguridad de mayo de 2025

Después de nueve meses de problemas, Microsoft finalmente ha lanzado una solución permanente en las actualizaciones de seguridad del Patch Tuesday de mayo de 2025, publicadas el 13 de mayo.

Citar"Este problema se resolvió con las actualizaciones de Windows publicadas el 13 de mayo de 2025 y posteriores. Recomendamos instalar la última actualización disponible, ya que incluye importantes mejoras y soluciones", indicó Microsoft.

La empresa ya había ofrecido una solución temporal en agosto de 2024, que consistía en eliminar manualmente la actualización SBAT para restaurar la funcionalidad del sistema. Además, en septiembre, Redmond dejó de aplicar automáticamente dicha actualización al firmware y ofreció una manera de bloquear futuras instalaciones de SBAT con el siguiente comando de registro:

Código: text

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD

Microsoft aclara el alcance del problema

Microsoft confirmó que este fallo solo ocurrió tras instalar las actualizaciones de seguridad y vista previa de agosto de 2024. Las actualizaciones de seguridad de septiembre de 2024 y posteriores no incluyeron la configuración que provocó el conflicto con GRUB2, por lo que no deberían reproducir el error.

Recomendaciones para usuarios con arranque dual

Si tienes una configuración de arranque dual Linux-Windows con Secure Boot habilitado, es altamente recomendable actualizar tu sistema a la versión más reciente de Windows, publicada el 13 de mayo de 2025 o después. Esto garantizará que el problema de arranque quede completamente solucionado y se evitarán conflictos con futuras actualizaciones de seguridad.

Además:

Revisa tu BIOS/UEFI y asegúrate de que Secure Boot esté configurado correctamente.
Monitorea si tu distribución de Linux ofrece actualizaciones de GRUB2 compatibles con la política SBAT.
Si el error persiste, considera desactivar temporalmente Secure Boot hasta aplicar los parches.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Ransomware ataca SAP NetWeaver

Mayo 14, 2025, 06:18:57 PM

Las bandas de ransomware se han unido a una oleada de ataques dirigidos contra servidores SAP NetWeaver, aprovechando una vulnerabilidad crítica recientemente identificada que permite la ejecución remota de código (RCE) sin necesidad de autenticación. Esta falla de seguridad, registrada como CVE-2025-31324, afecta directamente al componente NetWeaver Visual Composer, y está siendo explotada activamente por múltiples actores de amenazas.

CVE-2025-31324: Vulnerabilidad de carga de archivos no autenticados

El pasado 24 de abril, SAP lanzó parches de emergencia para mitigar esta falla, que permite a los atacantes cargar archivos maliciosos sin necesidad de credenciales. Esta vulnerabilidad fue inicialmente identificada como objetivo de ataques reales por la firma de ciberseguridad ReliaQuest.

Una explotación exitosa de CVE-2025-31324 puede derivar en el compromiso total del sistema SAP afectado, lo que representa una amenaza crítica para organizaciones que dependen de esta plataforma para operaciones empresariales clave.

Participación de grupos de ransomware: RansomEXX y BianLian

En una actualización reciente, ReliaQuest reveló que los operadores de ransomware RansomEXX y BianLian han comenzado a explotar esta vulnerabilidad, aunque sin lograr desplegar cargas útiles efectivas hasta el momento.

Citar"El análisis continuo ha descubierto evidencia que sugiere la participación del grupo de ransomware ruso BianLian y de los operadores de RansomEXX (identificados por Microsoft como Storm-2460)", explicó ReliaQuest.

La firma también vinculó con "confianza moderada" a BianLian con un incidente previo basado en direcciones IP asociadas a servidores de comando y control (C2). Por su parte, en los ataques atribuidos a RansomEXX, se desplegó la puerta trasera modular PipeMagic, y se aprovechó la vulnerabilidad CVE-2025-29824 en Windows CLFS, usada en ataques anteriores.

Citar"El malware fue implementado pocas horas después de la explotación, utilizando los webshells helper.jsp y cache.jsp. Aunque el intento inicial fracasó, un ataque posterior desplegó el marco Brute Ratel C2 a través de tareas en línea con MSBuild", agregó ReliaQuest.

Interés de actores estatales: grupos APT chinos también están involucrados

Los ataques contra SAP NetWeaver no se limitan a bandas de ransomware. Según investigaciones de Forescout Vedere Labs, un grupo de ciberespionaje chino, etiquetado como Chaya_004, también está explotando la vulnerabilidad CVE-2025-31324. Además, EclecticIQ informó que otras tres APT chinas —UNC5221, UNC5174 y CL-STA-0048— están participando en la campaña.

Forescout detectó evidencia de que estos actores ya han comprometido 581 instancias de SAP NetWeaver, muchas de ellas pertenecientes a infraestructuras críticas en países como Reino Unido, Estados Unidos y Arabia Saudita, y tienen planes de atacar otros 1.800 dominios adicionales.

Citar"El acceso persistente mediante puertas traseras en estos sistemas proporciona un punto de apoyo para operaciones de inteligencia, espionaje económico o ventaja militar por parte de la República Popular China", advirtió Forescout.
"Los sistemas SAP comprometidos están profundamente integrados con redes de control industrial (ICS), lo que eleva el riesgo de movimientos laterales y posibles interrupciones operativas a largo plazo".

Segunda vulnerabilidad crítica: CVE-2025-42999

Además de la falla principal, SAP también ha parcheado una segunda vulnerabilidad crítica en NetWeaver: CVE-2025-42999, la cual fue explotada como día cero en marzo de 2025. Esta nueva falla permite la ejecución remota de comandos arbitrarios y fue utilizada en cadena con CVE-2025-31324 en algunos ataques.

Medidas de mitigación urgentes para administradores SAP

Para proteger los entornos corporativos frente a estas amenazas cibernéticas, se recomienda:

Aplicar de inmediato los parches de seguridad proporcionados por SAP.
En caso de no poder actualizar, deshabilitar el servicio Visual Composer de SAP NetWeaver.
Restringir el acceso a los servicios de carga de metadatos.
Implementar monitoreo continuo y análisis de comportamiento ante actividades sospechosas en los servidores.

Adicionalmente, la Agencia de Ciberseguridad e Infraestructura (CISA) de EE.UU. ha incluido CVE-2025-31324 en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Según la Directiva Operativa Vinculante BOD 22-01, todas las agencias federales deben aplicar las mitigaciones necesarias antes del 20 de mayo de 2025.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Arrestan a hombre en Moldavia por ataques de ransomware a empresas holandesas

Mayo 13, 2025, 12:11:13 PM

Las autoridades de Moldavia han arrestado a un hombre extranjero de 45 años, buscado internacionalmente por su presunta participación en múltiples ataques de ransomware contra empresas holandesas, incluyendo una agresión cibernética de alto perfil contra la Organización Holandesa para la Investigación Científica (NWO) en 2021.

Sospechoso vinculado al grupo de ransomware DoppelPaymer

El individuo, cuyo nombre no ha sido revelado por las autoridades, enfrenta acusaciones por delitos cibernéticos graves, incluyendo ataques de ransomware, extorsión digital y lavado de dinero. Está vinculado al grupo de ciberdelincuencia conocido como DoppelPaymer, una familia de ransomware activa desde 2019 y relacionada con el malware BitPaymer, debido a similitudes en su código fuente y sus métodos de operación.

Según el comunicado oficial emitido por las fuerzas del orden moldavas el lunes, el sospechoso fue arrestado tras un registro domiciliario en el que se incautaron diversos elementos de interés para la investigación:

Más de 84.000 euros en efectivo (aproximadamente 93.000 dólares)
Una billetera electrónica
Dos computadoras portátiles
Un teléfono móvil
Una tableta
Seis tarjetas bancarias
Dos dispositivos de almacenamiento externo
Seis tarjetas de memoria

Estas evidencias sugieren un nivel de organización y sofisticación característico de grupos de ransomware profesionales que operan a nivel internacional.

Ataque a la Organización Holandesa para la Investigación Científica (NWO)

Uno de los delitos más relevantes atribuidos al detenido ocurrió en febrero de 2021, cuando fue perpetrado un ataque de ransomware contra la NWO, institución clave en el ecosistema científico de los Países Bajos. Durante el incidente, los atacantes:

Bloquearon el acceso a las unidades de red internas
Hicieron inaccesibles documentos esenciales
Robaron archivos confidenciales

Al negarse la NWO a pagar el rescate exigido, parte de los documentos robados fueron filtrados públicamente. Las pérdidas materiales se estimaron en unos 4,5 millones de euros, según información proporcionada por la misma organización.

Citar"El atacante bloqueó unidades de red, hizo que los documentos fueran inaccesibles y robó algunos de nuestros archivos", declaró la NWO en su momento. "A raíz de una demanda de rescate, que la organización no aceptará por principios, parte de los archivos robados fue publicada en línea".

DoppelPaymer: una amenaza cibernética internacional

DoppelPaymer es una variante de ransomware que apareció en junio de 2019 y rápidamente se consolidó como una de las familias más agresivas del panorama cibernético. Sus operadores suelen apuntar a grandes organizaciones y gobiernos, exigiendo rescates multimillonarios a cambio de no filtrar información robada.

En marzo de 2023, una operación conjunta entre las autoridades de Alemania y Ucrania se centró en miembros clave del grupo DoppelPaymer. Como resultado, Alemania emitió órdenes de arresto contra tres personas consideradas los principales responsables del grupo:

Igor Olegovich Turashev
Igor Garshin (también conocido como Igor Garschin)
Irina Zemlianikina

Estos individuos están acusados de coordinar numerosos ataques cibernéticos de alto impacto a nivel global.

Avance contra la ciberdelincuencia internacional

La detención en Moldavia de un actor clave vinculado a DoppelPaymer representa un avance significativo en la lucha contra el ransomware internacional y refuerza la importancia de la cooperación transfronteriza en materia de ciberseguridad.

Los ataques dirigidos contra instituciones como la NWO demuestran cómo los grupos de ransomware organizados son capaces de causar daños económicos, reputacionales y operativos considerables. Este arresto sienta un precedente en la búsqueda de justicia internacional para las víctimas de la ciberdelincuencia y representa un golpe importante a una de las redes más activas delictivamente en Europa.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10

Noticias Informáticas / Konni APT: Campaña de Phishing Norcoreana Apunta a Ucrania con Malware Avanzado

Mayo 13, 2025, 12:06:03 PM

El actor de amenazas vinculado al gobierno de Corea del Norte, conocido como Konni APT, ha sido identificado como responsable de una reciente campaña de phishing dirigida a entidades gubernamentales en Ucrania. Este nuevo frente indica que el grupo norcoreano ha ampliado sus objetivos, apuntando ahora más allá de Rusia, en el contexto del conflicto geopolítico actual.

Objetivo estratégico: inteligencia sobre la invasión rusa

Según un informe publicado por la firma de ciberseguridad empresarial Proofpoint, la campaña tiene como fin principal recopilar información estratégica relacionada con la evolución de la invasión rusa en territorio ucraniano. Los investigadores Greg Lesnewich, Saher Naumaan y Mark Kelly señalan que el grupo busca inteligencia política y militar de alto nivel, similar a campañas anteriores contra objetivos rusos.

¿Quién es Konni APT?

También conocido por otros alias como Opal Sleet, Osmium, TA406 y Vedalia, Konni APT es un grupo de ciberespionaje norcoreano activo desde al menos 2014. Ha dirigido operaciones previas contra gobiernos y entidades en Corea del Sur, Estados Unidos y Rusia. Sus campañas suelen incluir phishing dirigido (spear phishing), uso de malware especializado y recolección de credenciales mediante técnicas de ingeniería social.

Técnicas de ataque empleadas por Konni APT

En esta campaña específica, los atacantes enviaron correos electrónicos falsificados que aparentaban ser enviados por un miembro ficticio de un grupo de expertos llamado "Royal Institute of Strategic Studies", una organización inexistente. El correo contenía un enlace a un archivo RAR protegido por contraseña, alojado en el servicio en la nube MEGA.

Dentro del archivo comprimido se incluía un archivo CHM que mostraba un documento señuelo relacionado con el excomandante ucraniano Valeriy Zaluzhnyi. Al hacer clic en cualquier parte del documento, se ejecutaba PowerShell embebido en HTML, el cual iniciaba una conexión remota y descargaba una carga útil maliciosa adicional.

Esta carga útil basada en PowerShell recopilaba información del sistema de la víctima, la codificaba en Base64 y la enviaba a un servidor controlado por los atacantes.

Variantes del ataque: HTML, archivos LNK y malware en cadena

Proofpoint también detectó otras variantes del ataque. En una de ellas, el archivo malicioso venía directamente adjunto como HTML, con un enlace incrustado que redirigía a un archivo ZIP. Este contenía un PDF legítimo y un archivo LNK (acceso directo de Windows). Al ejecutar el LNK, se activaba un script PowerShell que extraía y ejecutaba un archivo Javascript malicioso (.JSE).

El archivo JSE se conectaba a una URL controlada por Konni APT, desde la cual descargaba comandos remotos para ejecutar en el equipo de la víctima. La naturaleza de estas cargas útiles aún no se ha identificado completamente.

Recolección de credenciales con ingeniería social

Además de la entrega de malware, TA406 (Konni APT) fue observado enviando correos con alertas falsas de seguridad de Microsoft, desde direcciones de correo como ProtonMail. Estos mensajes advertían de supuestos accesos no autorizados desde EE. UU. y solicitaban verificar la identidad a través de un enlace, que llevaba a una página de recolección de credenciales. El dominio usado en estos ataques ya había sido empleado en campañas similares para robar credenciales de cuentas Naver.

Conexiones con otros grupos APT norcoreanos

Konni APT no actúa en solitario. Otros grupos como Kimsuky y APT37 (ScarCruft) han sido vinculados a campañas similares. En particular, Kimsuky ha sido asociado con la distribución del malware PEBBLEDASH, detectado por la firma surcoreana AhnLab. Este malware se entrega mediante spear-phishing y ejecuta un script de PowerShell para establecer persistencia mediante tareas programadas, utilizando servicios como Dropbox para establecer comunicaciones C2 (Command and Control).

En marzo de 2025, APT37 fue relacionado con una campaña llamada Operation ToyBox Story, dirigida contra activistas centrados en Corea del Norte. Utilizando archivos LNK maliciosos, activaban el malware RoKRAT, capaz de capturar capturas de pantalla, robar archivos y establecer conexiones con servicios en la nube como Yandex, pCloud y Dropbox.

Una amenaza creciente y sofisticada

Las campañas recientes del grupo Konni APT reflejan una evolución en las tácticas de ciberespionaje norcoreano, que combina técnicas de spear-phishing, malware modular y explotación de servicios legítimos para evadir detección. El uso de señuelos geopolíticos, como figuras militares ucranianas, y la capacidad de operar de forma sigilosa mediante scripts sin archivos, representa un riesgo serio para entidades gubernamentales en Europa del Este.

Organizaciones en Ucrania y otras regiones objetivo deben extremar la precaución ante correos sospechosos, especialmente los que contienen archivos adjuntos comprimidos, enlaces a servicios de almacenamiento en la nube o archivos LNK, ya que podrían ser parte de operaciones avanzadas de ciberespionaje patrocinadas por el Estado norcoreano.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11

Noticias Informáticas / Microsoft elimina el bloqueo de Windows 11 24H2 causado por Safe Exam Browser

Mayo 13, 2025, 11:51:24 AM

Microsoft ha levantado recientemente un bloqueo de actualización que impedía a ciertos usuarios instalar Windows 11 24H2 si tenían instalado Safe Exam Browser, una herramienta ampliamente utilizada en entornos educativos y de certificación. Esta restricción se debía a un problema de incompatibilidad de software con versiones anteriores del navegador seguro.

¿Qué es Safe Exam Browser y por qué causó un bloqueo?

Safe Exam Browser (SEB) es un software de código abierto diseñado para transformar cualquier computadora en un entorno seguro para exámenes en línea. Es utilizado por escuelas, universidades, organismos de certificación y empresas para evitar trampas, restringiendo el acceso a recursos del sistema, aplicaciones y sitios web no autorizados durante evaluaciones.

El bloqueo de compatibilidad fue implementado por Microsoft en septiembre de 2024, tras detectarse problemas críticos al ejecutar Safe Exam Browser versión 3.7 o anterior en sistemas actualizados a Windows 11 24H2. Estos problemas comprometían la estabilidad del sistema y la funcionalidad de SEB durante su uso en exámenes.

Solución implementada: actualización a SEB 3.8 o superior

Microsoft ha confirmado que los desarrolladores de Safe Exam Browser han solucionado el problema de incompatibilidad. Por ello, se recomienda encarecidamente a los usuarios que actualicen a la versión 3.8 o posterior de SEB antes de intentar instalar Windows 11 24H2.

Citar"Si su dispositivo aún encuentra esta retención de seguridad 48 horas después de actualizar a la última versión de la aplicación, deberá comunicarse con el soporte del navegador Safe Exam para obtener más información sobre la resolución", indicó Microsoft en una actualización oficial del estado de Windows.

Además, si se utiliza la herramienta de creación de medios para instalar Windows 11 24H2, será posible continuar con la instalación siguiendo las instrucciones que aparecen en la interfaz durante el proceso.

Windows 11 24H2: despliegue progresivo con algunas restricciones vigentes

Aunque Windows 11 24H2 está oficialmente disponible para todas las PC compatibles, algunos dispositivos siguen estando bloqueados debido a retenciones de seguridad o problemas de compatibilidad. En abril de 2025, Microsoft también solucionó un error conocido que impedía la entrega de la actualización a través de Windows Server Update Services (WSUS) tras instalar los parches de seguridad mensuales.

Otro problema corregido recientemente fue un "código latente" que provocaba la instalación de Windows 11 en dispositivos gestionados por políticas de Intune que debían evitar actualizaciones mayores.

Otras incompatibilidades que aún bloquean Windows 11 24H2

Microsoft ha mantenido bloqueos de actualización para una serie de configuraciones de hardware y software incompatibles. Entre ellas se incluyen:

Dispositivos ASUS con componentes específicos de hardware.
Usuarios que ejecutan AutoCAD o el videojuego Asphalt 8: Airborne.
Cámaras integradas con firmware no compatible.
Software de mejora de audio Dirac.
Aplicaciones como Easy Anti-Cheat, que pueden interferir con procesos del sistema operativo.

Estas restricciones buscan evitar errores durante la instalación o el uso posterior de Windows 11 24H2, asegurando una experiencia estable y segura para el usuario final.

Disponibilidad general de Windows 11 24H2

La versión 24H2 de Windows 11 comenzó a implementarse en mayo de 2024 para pruebas internas mediante el canal de vista previa de Windows Insider y se lanzó oficialmente en octubre de 2024 para dispositivos elegibles que ejecutan Windows 11 22H2 o 23H2.

Microsoft continúa ampliando su despliegue de forma gradual, levantando restricciones a medida que se solucionan los problemas de compatibilidad. Se recomienda a los usuarios verificar regularmente el estado de compatibilidad de sus dispositivos y asegurarse de que todos los controladores y aplicaciones estén actualizados antes de intentar instalar la nueva versión del sistema operativo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12

Noticias Informáticas / Vulnerabilidad crítica en ASUS DriverHub permite ejecución remota de código

Mayo 13, 2025, 11:46:17 AM

Una vulnerabilidad crítica en ASUS DriverHub, la herramienta de administración de controladores preinstalada en ciertas placas base ASUS, permitía a atacantes ejecutar código de forma remota mediante sitios web especialmente diseñados. Este fallo de seguridad fue descubierto por el investigador independiente de ciberseguridad de Nueva Zelanda conocido como MrBruh (Paul), quien detectó una deficiente validación de comandos en el servicio local de DriverHub.

Fallas identificadas: CVE-2025-3462 y CVE-2025-3463

El problema de seguridad radica en cómo DriverHub valida el origen de las solicitudes HTTP entrantes en el puerto local 53000. Aunque el servicio está diseñado para aceptar comandos solo del dominio oficial No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, la validación era superficial y permitía solicitudes con encabezados de origen que contenían simplemente esa cadena, como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Esta debilidad permitió la creación de una cadena de exploits que, combinando dos vulnerabilidades críticas rastreadas como CVE-2025-3462 y CVE-2025-3463, posibilitaba la ejecución remota de código (RCE) en sistemas con ASUS DriverHub instalado.

¿Qué es ASUS DriverHub y por qué representa un riesgo?

ASUS DriverHub es una herramienta oficial que se instala automáticamente al iniciar por primera vez sistemas con placas base ASUS compatibles. Su función es detectar y actualizar automáticamente los controladores del chipset correspondiente.

El problema es que esta utilidad se ejecuta permanentemente en segundo plano, abriendo un servicio local que escucha en el puerto 53000, sin que la mayoría de los usuarios sean conscientes de ello. Este servicio realiza comprobaciones constantes en busca de actualizaciones, aceptando comandos que provengan —supuestamente— del dominio oficial de ASUS.

No obstante, el fallo de validación de origen permitía que sitios maliciosos enviaran comandos como si fueran de ASUS, lo que exponía a los usuarios a ataques sin interacción adicional.

Punto de entrada: el endpoint UpdateApp

Otro vector crítico fue el endpoint UpdateApp, que permite a DriverHub descargar y ejecutar archivos .exe desde URLs que contengan ".asus.com" sin requerir autorización del usuario. Esta funcionalidad, combinada con la validación débil de origen, abre la puerta a ataques dirigidos.

Un atacante solo necesitaba engañar al usuario para visitar un sitio web malicioso. Desde allí, el sitio enviaba solicitudes al servicio de DriverHub en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, utilizando encabezados falsificados como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Esto bastaba para que DriverHub aceptara las instrucciones y descargara archivos potencialmente maliciosos.

Prueba de concepto: instalador legítimo como vector de ataque

En su prueba de concepto, MrBruh demostró que es posible instruir a DriverHub para que descargue el instalador legítimo AsusSetup.exe desde el sitio oficial, junto con un archivo .ini manipulado y una carga útil .exe maliciosa.

El instalador legítimo, firmado por ASUS, se ejecuta silenciosamente como administrador. Al usar el archivo .ini malicioso como configuración, el instalador ejecuta la carga útil maliciosa sin que el usuario lo note. Este comportamiento fue posible porque DriverHub no elimina archivos descargados que no superan las verificaciones de firma, manteniéndolos activos en el sistema.

Respuesta de ASUS y medidas de mitigación

ASUS fue notificada del fallo el 8 de abril de 2025 y lanzó un parche correctivo el 18 de abril, tras validar la solución con el investigador. Sin embargo, la empresa no ofreció compensación a MrBruh por su descubrimiento.

En las descripciones de las vulnerabilidades (CVE), ASUS indicó que el problema afectaba solo a placas base, excluyendo portátiles, PCs de escritorio u otros endpoints. Esta afirmación es cuestionable, ya que DriverHub también puede instalarse en otros dispositivos compatibles, por lo que el alcance real podría ser más amplio.

ASUS fue más claro en su boletín de seguridad oficial, instando a los usuarios a actualizar DriverHub inmediatamente:

Citar"Esta actualización incluye importantes mejoras de seguridad y se recomienda encarecidamente actualizar a la última versión de ASUS DriverHub".

La actualización puede aplicarse directamente desde la aplicación seleccionando la opción "Actualizar ahora".

¿Se ha explotado esta vulnerabilidad?

Según MrBruh, no se han detectado indicios de explotación activa en el entorno real. Tras monitorear los registros de transparencia de certificados TLS, no encontró evidencias de otros certificados que utilizaran el dominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, lo cual indica que la vulnerabilidad no fue explotada masivamente.

Recomendaciones de seguridad

Si bien ASUS ha solucionado la vulnerabilidad, los usuarios preocupados por su privacidad y seguridad pueden optar por desactivar ASUS DriverHub desde la configuración de la BIOS, especialmente si no desean que un servicio en segundo plano descargue archivos automáticamente al visitar sitios web.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13

Noticias Informáticas / Bass OS: Sistema operativo modular y personalizable para ARM, x86 y dispositivos

Mayo 12, 2025, 02:48:21 PM

Bass OS es un sistema operativo de código abierto, altamente personalizable, basado en Bliss OS, que ofrece una solución versátil para dispositivos con arquitectura ARM, x86/x86_64, tablets, terminales POS y más. Diseñado para ser modular, adaptable y eficiente, Bass OS se presenta como una alternativa sin Google (Google-Free) por defecto, compatible con MicroG y con múltiples opciones de branding y licencias para entornos profesionales.

¿Qué es Bass OS y por qué destaca como sistema operativo alternativo?

Bass OS es una plataforma Android personalizada enfocada en permitir configuraciones específicas para una amplia gama de dispositivos. A diferencia de sistemas más generalistas como Windows, macOS o incluso distribuciones tradicionales de Linux, Bass OS está pensado para ofrecer control granular, compatibilidad extendida y personalización avanzada.

Desarrollado por Bliss Co-Labs, el mismo equipo detrás de Bliss OS, este sistema operativo se construye sobre una base sólida y confiable, heredando la estabilidad de Android y sumando herramientas modulares para integradores, fabricantes y desarrolladores.

Principales características de Bass OS

Las funcionalidades de Bass OS están orientadas a ofrecer una experiencia eficiente y controlada, especialmente en entornos donde la flexibilidad y la privacidad son clave:

✔ Soporte multiplataforma
Compatible con arquitecturas ARM, x86 y x86_64, ideal para tablets, PC, terminales POS y dispositivos embebidos.

✔ Sistema Google-Free con soporte MicroG
Privacidad por defecto al no incluir GMS. Integra MicroG para quienes necesiten compatibilidad con apps dependientes de Google.

✔ Modularidad y eficiencia
Incluye solo los drivers y códecs necesarios, reduciendo la carga del sistema y mejorando la gestión de recursos.

✔ Personalización total
Permite modificar launcher, barras de estado, hotseats, iconos, animaciones de arranque, menú de GRUB y más.

Desarrollo y licencias: software libre con opciones profesionales

La base de Bass OS es open source bajo licencia GPL 3.0. Sin embargo, existen complementos y herramientas avanzadas disponibles mediante licencias comerciales. Esto permite a empresas y fabricantes acceder a funcionalidades premium sin perder los beneficios del software libre.

Para compilar una build personalizada se requiere un entorno robusto: Ubuntu 22.04 LTS (recomendado), Docker para otros entornos, 16 núcleos de CPU, 32GB de RAM, mínimo 16GB de swap y hasta 700GB de almacenamiento.

Instalación, compilación y scripts de gestión

Bass OS utiliza scripts automatizados para compilar, actualizar y personalizar builds. El más destacado es unfold_bliss.sh, que sincroniza el código fuente y aplica módulos y parches. Para funciones premium, basta con añadir los archivos correspondientes en carpetas como private/addons o private/manifests.

Opciones de personalización en Bass OS

Algunas opciones avanzadas de personalización incluyen:
Interfaz gráfica (barra de navegación, estado, launcher)
Paquetes y apps preinstaladas o de terceros
Configuración de hardware específico (input, periféricos)
Modo root y depuración para builds de prueba
Claves privadas automáticas por proyecto
Soporte para Grub y animaciones de arranque
Capa de vendor adaptable a distintos fabricantes

Esta capacidad de adaptación lo convierte en un sistema ideal para dispositivos de consumo, entornos corporativos, proyectos educativos o productos OEM.

Variantes de Bass OS y casos de uso

Bass OS cuenta con diferentes versiones optimizadas para múltiples escenarios:

Bass Desktop: para equipos de escritorio con multitarea avanzada (SmartDock).
Bass Restricted: ideal para entornos educativos o empresariales, con control de apps.
Bass POS: versión para terminales de punto de venta con integración en comercios.
Bass Tablet Go: optimizada para tablets de gama baja con Android Go.

Estas variantes demuestran la escalabilidad del sistema operativo y su enfoque práctico hacia soluciones verticales.

Requisitos técnicos y proceso de compilación

Para integradores que buscan crear builds personalizadas:

CPU: mínimo 16 núcleos
RAM: al menos 32 GB
Swap: 16 GB
Almacenamiento: entre 500–700 GB
SO de compilación: Ubuntu 22.04 LTS o Docker

El código fuente se gestiona con repo y claves SSH. Las builds generadas se ubican en directorios como iso/ o aosptree/out/target/product/x86_64/.

Branding, personalización visual y experiencia de marca

Bass OS facilita la personalización del branding del producto, permitiendo:

Fondos de pantalla, overlays y menús gráficos propios
Animaciones de arranque personalizadas
Pantalla de arranque GRUB con identidad de marca

Esto permite a fabricantes lanzar productos con identidad visual única sin necesidad de modificar el código fuente.

Comunidad y documentación técnica

La comunidad de Bass OS es activa y está respaldada por una excelente documentación, con guías para:

Integrar addons y scripts
Gestionar parches
Resolver errores comunes
Crear builds desde cero

Este entorno colaborativo favorece el desarrollo rápido de soluciones personalizadas.

Comparativa: Bass OS vs Bliss OS

Aunque Bass OS se basa en Bliss OS, su enfoque es distinto. Mientras Bliss se enfoca en llevar Android a PCs, Bass OS proporciona modularidad extendida y funciones específicas para dispositivos de nicho.

Además, soporta hardware como Microsoft Surface y dispositivos especializados con parches dedicados (por ejemplo, linux-surface).

Aclaración sobre el nombre "Bass OS" en instrumentos musicales

Es importante no confundir este sistema operativo con productos como el Fender Player Plus Meteora Bass OS, donde "Bass OS" hace referencia a un bajo eléctrico, no a software. El sistema operativo Bass OS no guarda relación alguna con hardware musical.

Licencias, privacidad y soporte profesional

Bass OS ofrece un equilibrio entre libertad y soporte empresarial. Aunque la base es libre, funciones como branding avanzado, módulos premium o asistencia profesional requieren licencia. Esta combinación lo hace ideal para entornos empresariales, educativos y de producción.

¿por qué elegir Bass OS?

Bass OS es más que un sistema operativo alternativo. Es una plataforma modular, libre, eficiente y altamente adaptable, ideal para desarrolladores, fabricantes y usuarios que buscan una solución sin dependencias de Google, con soporte multiplataforma y branding personalizado.

Ya sea para tablets, terminales POS, PC de escritorio o dispositivos integrados, Bass OS se posiciona como una de las alternativas más completas del mercado actual de sistemas operativos basados en Android.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14

Noticias Informáticas / Shotcut 25.05: soporte HDR mejorado y actualización a Qt 6.8.3

Mayo 12, 2025, 02:40:39 PM

Shotcut 25.05 ya está disponible como la última versión del popular editor de vídeo gratuito y de código abierto, compatible con Windows, macOS y Linux. Esta actualización, publicada dos meses después de la anterior entrega, incorpora importantes avances técnicos y nuevas funcionalidades pensadas para creadores de contenido de todos los niveles.

Principales novedades en Shotcut 25.05

Nuevos filtros y herramientas para edición creativa:

Alpha Strobe: nuevo filtro de vídeo que permite generar efectos de parpadeo en transparencias, ideal para animaciones o clips con alta carga visual.
Congelación de fotogramas: ahora puedes capturar una imagen estática desde cualquier punto de la línea de tiempo sin herramientas externas.
Cabeceras de pista ajustables: permite modificar el ancho de cada cabecera para mejorar la organización de pistas.
Contador de clips: se muestra la cantidad exacta de elementos añadidos a la lista de reproducción.
Generador desde barra de herramientas: facilita la inserción de clips generados (color, texto, ruido) directamente desde la interfaz principal.
Submenú de nuevo proyecto: mejora la experiencia al diferenciar entre creación de proyecto y de clips generados.
Reejecución del análisis de filtros: útil para refinar efectos aplicados sin necesidad de rehacer todo el proceso.

Mejoras técnicas: Qt 6.8.3, MLT 7.32.0 y soporte HLG HDR

Shotcut 25.05 integra Qt 6.8.3 como base del entorno gráfico, junto a otras actualizaciones críticas como MLT 7.32.0, Rubberband 4.0 y SVT-AV1 3.0. Estas bibliotecas ofrecen mayor rendimiento, compatibilidad y estabilidad para los sistemas operativos modernos.

Cambios en la interfaz y el flujo de trabajo

El botón "Subir" del panel de archivos se ha reubicado en la esquina superior izquierda para adaptarse a los estándares de exploradores de archivos.
Nueva opción de previsualización a 1080p, optimizando el rendimiento en equipos con recursos limitados.
Mejores configuraciones para monitores externos DeckLink, compatibles con flujos SDR y HLG HDR.

Compatibilidad HDR en Shotcut: primeros pasos con HLG

Aunque Shotcut todavía no implementa un flujo HDR completo, la versión 25.05 incluye soporte preliminar para transferencia de color HLG y gamma en efectos GPU. Este avance técnico establece las bases para futuras versiones que permitirán trabajar de forma nativa con contenido HDR, optimizando la edición para pantallas y televisores de alto rango dinámico.

Corrección de errores en Shotcut 25.05

Esta versión también resuelve varios errores reportados por la comunidad:

Solucionado el arrastre incorrecto de clips cortos en la línea de tiempo.
Mejoras en la estabilidad de los presets de texto enriquecido.
Corrección de fallos en filtros como "Obscure With Blur", "Obscure With Mosaic" y "Mask: Apply", importantes para la ocultación de información sensible.
Solución a problemas en la creación de proxies en espacio de color BT.2020.
Eliminación de distorsiones de audio al grabar desde la línea de tiempo en macOS.
Compatibilidad mejorada con las capturas HDMI/SDI de Blackmagic Design.
El programa ahora pide confirmación antes de añadir archivos con duración desconocida o sospechosamente extensa.

Descarga de Shotcut 25.05: multiplataforma y fácil instalación

Shotcut 25.05 está disponible para su descarga en múltiples formatos:

Windows: instalador nativo actualizado.
macOS: versión adaptada a los últimos sistemas de Apple.
Linux: incluye binarios para sistemas x86_64 y un paquete AppImage universal que no requiere instalación.

También se puede compilar desde código fuente, disponible en los repositorios oficiales del proyecto.

Visita la página oficial de Shotcut para obtener los enlaces de descarga, notas de lanzamiento completas y documentación técnica.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15

Noticias Informáticas / Alemania desmantela eXch: Exchange cripto acusado de lavado de dinero

Mayo 12, 2025, 02:27:04 PM

La Oficina Federal de Policía Criminal de Alemania (Bundeskriminalamt o BKA) ha llevado a cabo un importante operativo contra el crimen financiero al incautar la infraestructura del exchange de criptomonedas eXch. Esta plataforma ha sido acusada de facilitar el lavado de dinero y operar en el comercio de actividades ilegales a través de Internet, incluyendo la web oscura.

Incautación de eXch por lavado de dinero y delitos cibernéticos

La operación se realizó el 30 de abril de 2025, según informó la BKA. Durante el procedimiento, las autoridades alemanas confiscaron más de 8 terabytes de datos digitales y activos en criptomonedas valorados en 34 millones de euros (aproximadamente 38,25 millones de dólares). Entre los activos incautados se encuentran Bitcoin (BTC), Ether (ETH), Litecoin (LTC) y Dash (DASH), todos utilizados en transacciones dentro de la plataforma.

Según la investigación, eXch[.]CX operaba desde 2014 y ofrecía servicios de intercambio de criptomonedas tanto en la clearnet como en la dark web, permitiendo el anonimato total de sus usuarios. La BKA señaló que el exchange publicitaba abiertamente en foros clandestinos que no aplicaba medidas contra el lavado de dinero ni requería procesos de verificación de identidad (KYC). Esta falta de controles convirtió a eXch en una herramienta ideal para ocultar flujos financieros ilícitos.

Volumen sospechoso y vínculos con amenazas globales

Se estima que desde su fundación se transfirieron más de 1.900 millones de dólares en activos cripto a través de eXch. Entre estos fondos figuran ganancias obtenidas por actores de amenazas norcoreanos involucrados en el hackeo a Bybit a principios de 2025, lo que refuerza las preocupaciones sobre el uso de exchanges opacos en operaciones internacionales de financiamiento ilegal.

El 17 de abril, días antes del cierre oficial, los administradores de eXch anunciaron la clausura del servicio a través del foro BitcoinTalk. Afirmaron haber recibido información sobre una "operación transatlántica activa" destinada a cerrar el proyecto y presentar cargos por lavado de dinero y financiación del terrorismo.

CitarEn su declaración, los operadores del exchange negaron rotundamente las acusaciones:

"Nunca tuvimos como objetivo permitir actividades ilícitas. No tiene sentido para nosotros operar un proyecto en el que somos vistos como criminales".

Investigación internacional y actividades relacionadas con CSAM

Tras el cierre, TRM Labs, una firma especializada en inteligencia blockchain, publicó un informe el 2 de mayo revelando que eXch estaba vinculado a transacciones relacionadas con material de abuso sexual infantil (CSAM). Según el informe, la plataforma había sido expuesta directamente a más de 300.000 dólares en fondos asociados a esta actividad criminal.

La empresa también destacó que, a pesar de proclamarse como un exchange enfocado en la privacidad, eXch adquirió una reputación negativa por obstruir la trazabilidad y la cooperación con otras plataformas. Esto quedó en evidencia cuando se negó a colaborar con Bybit para congelar fondos robados tras un ciberataque.

Reacción internacional y mensaje de las autoridades

Tras el desmantelamiento de eXch, el Servicio de Información e Investigación Fiscal de los Países Bajos (FIOD) confirmó que está investigando activamente a las personas involucradas en actividades ilegales a través del exchange. En un comunicado, reiteraron que la acción no es un ataque a la privacidad legítima, sino una respuesta a su abuso sistemático con fines criminales.

Citar"Respetamos el derecho a la privacidad en la era digital. Pero cuando los servicios son utilizados para cometer delitos graves, actuaremos. Instamos a todos los implicados en actividades ilícitas a que cesen de inmediato", afirmó el FIOD.

Criptomonedas, privacidad y responsabilidad

El caso de eXch evidencia la creciente vigilancia global sobre plataformas de intercambio de criptomonedas que promueven el anonimato absoluto. Si bien la privacidad sigue siendo un derecho fundamental, el uso indebido de la tecnología con fines criminales está bajo el radar de las autoridades internacionales. Este precedente demuestra que incluso en el mundo descentralizado de las criptomonedas, existen límites legales que no pueden ser ignorados.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16

Noticias Informáticas / Google paga $1.375 millones a Texas por rastreo ilegal y violaciones de privacid

Mayo 12, 2025, 02:20:03 PM

Google ha acordado pagar 1.375 millones de dólares al estado de Texas para resolver dos demandas por violaciones graves de privacidad, que incluían el rastreo de la ubicación personal de los usuarios y la recopilación de datos biométricos sin consentimiento. Esta cifra posiciona al acuerdo como uno de los más grandes hasta la fecha en Estados Unidos por temas de privacidad de datos, superando con creces otras sanciones impuestas anteriormente al gigante tecnológico.

El caso, presentado originalmente en 2022, acusaba a Google de prácticas invasivas relacionadas con la geolocalización, el seguimiento en modo incógnito y la recopilación no autorizada de datos biométricos como huellas de voz y geometría facial. La demanda también alegaba que la empresa continuó monitoreando la ubicación de los usuarios incluso cuando la configuración del historial de ubicaciones estaba desactivada.

CitarEl fiscal general de Texas, Ken Paxton, declaró:

"Durante años, Google rastreó en secreto los movimientos de las personas, las búsquedas privadas e incluso sus huellas de voz y geometría facial a través de sus productos y servicios. Este acuerdo de 1.375 millones de dólares es una gran victoria para la privacidad de los tejanos y una advertencia clara para las empresas tecnológicas: deben respetar la privacidad de los ciudadanos o pagar las consecuencias."

Este nuevo acuerdo eclipsa otras sanciones previas impuestas a Google por prácticas similares. En noviembre de 2022, la empresa pagó 391 millones de dólares a un grupo de 40 estados. Posteriormente, en enero de 2023, acordó pagar 29,5 millones de dólares a los estados de Indiana y Washington. Más tarde, en septiembre del mismo año, Google desembolsó 93 millones de dólares como parte de un acuerdo con California por casos similares.

Además, el pago se encuentra a la par con una multa récord de 1.400 millones de dólares que Meta, empresa matriz de Facebook, pagó también a Texas por recopilar ilegalmente datos biométricos de millones de usuarios sin su consentimiento, evidenciando un patrón de escrutinio creciente hacia las big tech en Estados Unidos.

En respuesta a las críticas y demandas, Google anunció en 2024 nuevas medidas de protección de la privacidad, incluyendo el almacenamiento local de los datos del historial de Maps Timeline en los dispositivos de los usuarios, en lugar de en sus cuentas de Google. También se implementaron controles automáticos para eliminar la información de ubicación, siempre que el historial de ubicaciones esté habilitado.

Este acuerdo legal se produce en un contexto de presión regulatoria cada vez mayor sobre Google y otras grandes tecnológicas tanto en Estados Unidos como en Europa. La empresa enfrenta múltiples investigaciones antimonopolio y demandas por prácticas de monopolio, con llamados a dividir algunas de sus divisiones comerciales para mitigar su poder de mercado.

Impacto del caso Google-Texas en la industria tecnológica

Este nuevo precedente marca un hito en la defensa de los derechos de privacidad de los usuarios y refuerza el mensaje de que incluso las empresas tecnológicas más grandes deben rendir cuentas por sus prácticas de recolección de datos. Además, subraya la creciente importancia del consentimiento informado en el uso de tecnologías de seguimiento y reconocimiento facial.

Con regulaciones como el RGPD en Europa y leyes estatales en Estados Unidos como la CCPA en California, se espera que aumenten las acciones legales y regulatorias contra compañías que infringen la privacidad digital. El caso de Google en Texas podría influir en futuras decisiones judiciales y políticas de privacidad a nivel global.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17

Noticias Informáticas / WhatsApp gana juicio contra NSO Group: $168 millones por espionaje con Pegasus

Mayo 07, 2025, 08:46:59 PM

Un jurado federal de EE. UU. ha ordenado al controvertido desarrollador israelí NSO Group pagar más de 168 millones de dólares a WhatsApp, propiedad de Meta, por el uso no autorizado del software espía Pegasus a través de sus servidores. Esta decisión llega cuatro meses después de que un juez determinara que NSO violó las leyes federales y estatales estadounidenses.

Pegasus: espionaje global mediante WhatsApp

La demanda, presentada originalmente por WhatsApp en 2019, acusaba a NSO Group de aprovechar una vulnerabilidad crítica de día cero (CVE-2019-3568, CVSS 9.

en la función de llamadas de voz de la app para instalar Pegasus sin interacción del usuario. El fallo se ejecutó 43 veces desde servidores con sede en California durante mayo de 2019.

Más de 1.400 víctimas en 51 países

Los documentos judiciales revelan que más de 1.400 personas fueron espiadas en todo el mundo. Entre los afectados se encuentran:

456 personas en México
100 en India
82 en Bahréin
69 en Marruecos
58 en Pakistán

La lista de víctimas incluye periodistas, defensores de derechos humanos, disidentes políticos y figuras de la sociedad civil.

Veredicto histórico contra el software espía

Citar"Nuestro caso contra NSO sentó un precedente cuando el tribunal determinó que violaron la ley", afirmó Will Cathcart, director de WhatsApp en Meta. "El veredicto del jurado es un elemento disuasorio clave para toda la industria del spyware".

Meta buscará ahora una orden judicial permanente para impedir que NSO Group vuelva a atacar a WhatsApp. Además, la compañía anunció que donará parte de la compensación a organizaciones de derechos digitales que luchan contra el espionaje tecnológico.

Daños punitivos y compensatorios

El jurado federal otorgó a WhatsApp:
167.254.000 dólares en daños punitivos
444.719 dólares en daños compensatorios, por el trabajo de los ingenieros que neutralizaron los vectores de ataque

La sentencia representa un triunfo importante para la privacidad digital y los derechos humanos, sectores que han denunciado reiteradamente a NSO Group por permitir el uso abusivo de Pegasus.

NSO Group bajo creciente escrutinio internacional

NSO Group argumentó que no es responsable de cómo sus clientes utilizan Pegasus. Sin embargo, la jueza Phyllis J. Hamilton refutó esa defensa, afirmando que no pueden "alegar luchar contra el terrorismo mientras se desentienden del uso real que se le da a su tecnología".

Meta añadió que NSO invierte decenas de millones de dólares anuales en nuevas técnicas de infección de dispositivos, incluyendo ataques a través de:

Aplicaciones de mensajería
Navegadores web
Sistemas operativos como iOS y Android

Desde 2021, el Gobierno de EE. UU. ha sancionado a NSO Group por actividades cibernéticas maliciosas, lo que ha intensificado la presión internacional sobre la empresa.

Apple retiró una demanda similar

En contraste, Apple retiró una demanda contra NSO Group en septiembre de 2024, alegando que continuarla podría exponer detalles sensibles sobre su programa de seguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18

Noticias Informáticas / Europol desmantela servicios de ataques DDoS de alquiler utilizados en ataques

Mayo 07, 2025, 08:41:10 PM

Europol ha anunciado el cierre de múltiples servicios ilegales de denegación de servicio distribuido (DDoS) de alquiler, utilizados para lanzar miles de ciberataques a nivel mundial entre 2022 y 2025. La operación forma parte de una ofensiva más amplia contra el cibercrimen organizada en el marco de la Operación PowerOFF.

Arrestos e incautación de dominios vinculados a ataques DDoS

Como resultado de la operación conjunta, las autoridades polacas arrestaron a cuatro sospechosos, mientras que Estados Unidos incautó nueve dominios web asociados con las plataformas de ataques DDoS, ahora fuera de línea.

Según Europol, los detenidos estarían detrás de seis servicios de estrés/booter, identificados como:

cfxapi
cfxsecurity
neostress
jetstress
quickdown
zapcut

Estas plataformas permitían a los usuarios lanzar ataques DDoS por tan solo 10 euros, afectando a escuelas, organismos gubernamentales, empresas y plataformas de videojuegos.

Servicios de estrés DDoS: cómo funcionaban

Los servicios de estrés o booter DDoS se comercializaban abiertamente en foros clandestinos, camuflados como herramientas legales de pruebas de estrés para redes. Sin embargo, su propósito real era facilitar ataques de denegación de servicio, inundando servidores y sitios web con tráfico falso hasta volverlos inaccesibles.

Citar"Estos servicios ofrecían interfaces amigables que permitían a usuarios sin conocimientos técnicos realizar ataques con solo ingresar una IP, seleccionar el tipo de ataque y pagar una tarifa", explicó Europol.

A diferencia de los botnets tradicionales que requieren infectar dispositivos, estos servicios utilizaban infraestructura centralizada y alquilada, haciendo que los ataques DDoS fueran fácilmente accesibles y escalables.

Detalles sobre los servicios cerrados: cfxsecurity y QuickDown

Uno de los servicios destacados, cfxsecurity, operaba en los dominios cfxsecurity[.]bet y cfxsecurity[.]cc, promocionándose como el "servicio de pruebas de estrés número 1", ofreciendo supuestas pruebas integrales para garantizar la resiliencia de sitios web.

Sus planes tarifarios incluían:

Starter: $20/mes
Premium: $50/mes
Enterprise: $130/mes

Otro caso notable es QuickDown (quickdown[.]pro), que ofrecía kits desde $20 hasta $379 mensuales. Según un informe de la empresa de ciberseguridad Radware (agosto de 2024), QuickDown adoptó una arquitectura híbrida que combinaba botnets y servidores dedicados. En septiembre de 2023, lanzaron un "complemento de botnet" con nuevos planes centrados en esta infraestructura.

Operación PowerOFF: lucha continua contra el DDoS como servicio

Esta acción forma parte de la Operación PowerOFF, una iniciativa global liderada por Europol en colaboración con agencias policiales de Países Bajos, Alemania, Polonia y Estados Unidos. El objetivo es desmantelar redes e infraestructuras que permiten ataques DDoS como servicio (DDoS-for-hire).

En una fase anterior, en diciembre de 2024, se cerraron 27 servicios adicionales y se formularon cargos contra seis personas en los Países Bajos y EE. UU.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19

Noticias Informáticas / Vulnerabilidad en OttoKit permite crear cuentas de administrador en Wordpress

Mayo 07, 2025, 08:33:32 PM

Cibercriminales están explotando activamente una vulnerabilidad crítica de escalada de privilegios no autenticada en el plugin OttoKit de WordPress, lo que les permite crear cuentas de administrador fraudulentas en sitios web vulnerables. Esta brecha representa una amenaza importante para la seguridad de miles de sitios basados en WordPress.

¿Qué es OttoKit y por qué es importante?

OttoKit, anteriormente conocido como SureTriggers, es un popular complemento de automatización e integración para WordPress que permite conectar sitios web con servicios de terceros y automatizar flujos de trabajo. Actualmente está instalado en más de 100.000 sitios web.

Detalles de la vulnerabilidad CVE-2025-27007

El 11 de abril de 2025, el investigador Denver Jackson reportó a Patchstack una falla crítica en OttoKit, registrada como CVE-2025-27007. Esta vulnerabilidad reside en un error lógico dentro de la función create_wp_connection, que permite a los atacantes eludir la autenticación cuando las contraseñas de aplicaciones no están configuradas correctamente.

A través de esta falla, los atacantes pueden obtener acceso de nivel administrador mediante solicitudes a la API REST del plugin, explotando la validación incompleta en los parámetros de entrada.

Solución y actualización del plugin OttoKit

12 de abril de 2025: Patchstack informó al proveedor del complemento.
21 de abril de 2025: Se lanzó la versión 1.0.83 de OttoKit, que incluye una validación adicional de la clave de acceso en las solicitudes.
24 de abril de 2025: La mayoría de los usuarios fueron forzados a actualizar automáticamente a la versión segura.

Explotación activa tras la divulgación pública

Aunque el informe de Patchstack fue publicado el 5 de mayo de 2025, la explotación activa comenzó menos de dos horas después de la divulgación. Los atacantes dirigieron sus esfuerzos a los puntos finales de la API REST, simulando integraciones legítimas para crear nuevas cuentas de administrador.

Utilizando nombres de usuario adivinados o forzados, junto con contraseñas aleatorias, claves de acceso falsas y direcciones de correo electrónico inventadas, los atacantes aprovecharon la función create_wp_connection para ejecutar llamadas API adicionales, como:

Estas solicitudes incluían la carga útil "type_event": "create_user_if_not_exists", lo que generaba cuentas de administrador de forma silenciosa en instalaciones vulnerables.

Recomendaciones de seguridad para los administradores de WordPress
Patchstack recomienda tomar medidas inmediatas si estás utilizando el plugin OttoKit:

Actualizar de inmediato a la versión 1.0.83 o superior.
Revisar los registros del sitio en busca de actividad sospechosa.
Verificar la lista de cuentas de usuario y roles asignados.
Implementar medidas adicionales de seguridad, como autenticación multifactor (MFA) y deshabilitar el acceso innecesario a la API REST.

Otra vulnerabilidad crítica reciente en OttoKit: CVE-2025-3102

Esta no es la primera vez que OttoKit enfrenta una vulnerabilidad crítica. En abril de 2025 también se descubrió y explotó otra falla de omisión de autenticación, identificada como CVE-2025-3102. En esa ocasión, los actores de amenazas también intentaron crear cuentas de administrador automatizadas usando datos aleatorios, evidenciando un patrón continuo de ataques.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20

Noticias Informáticas / CoGUI: El kit de phishing que envío 580 Millones de correos fraudulentos

Mayo 07, 2025, 08:26:17 PM

Un nuevo kit de phishing conocido como CoGUI ha irrumpido con fuerza en el panorama de la ciberseguridad, distribuyendo más de 580 millones de correos electrónicos fraudulentos entre enero y abril de 2025. Su objetivo principal: el robo de credenciales de acceso y datos de pago de usuarios desprevenidos en todo el mundo.

Campañas masivas de phishing con suplantación de identidad

Los ataques de CoGUI se caracterizan por suplantar a grandes marcas de confianza como Amazon, PayPal, Rakuten, Apple, así como agencias fiscales y bancos. La campaña más intensa se registró en enero de 2025, con 170 campañas activas que distribuyeron más de 172 millones de mensajes de phishing en un solo mes. En los meses siguientes, el volumen de correos maliciosos siguió siendo significativo.

Según investigadores de Proofpoint, esta es actualmente la campaña de phishing con mayor volumen registrada. Aunque el principal objetivo fue Japón, también se detectaron ataques en Estados Unidos, Canadá, Australia y Nueva Zelanda.

Origen y evolución del kit de phishing CoGUI

CoGUI ha estado en funcionamiento al menos desde octubre de 2024, pero su actividad fue registrada por Proofpoint a partir de diciembre del mismo año. En un principio, se identificaron similitudes con el kit de phishing Darcula, vinculado a operadores con sede en China. No obstante, un análisis más profundo reveló que CoGUI y Darcula no están directamente relacionados, aunque ambos son utilizados por actores de amenazas chinos.

Cómo funciona la cadena de ataque de CoGUI

La técnica de CoGUI comienza con un correo electrónico de phishing que aparenta ser enviado por una empresa legítima. Estos mensajes suelen incluir líneas de asunto urgentes que incitan al usuario a actuar de inmediato. El cuerpo del mensaje contiene un enlace que redirige a un sitio web de phishing, pero este solo se activa si el destinatario cumple con criterios específicos como:

Dirección IP y ubicación geográfica
Idioma del navegador
Sistema operativo y resolución de pantalla
Tipo de dispositivo (móvil o escritorio)

Si estos parámetros no se cumplen, el usuario es redirigido al sitio legítimo de la marca suplantada, lo que ayuda a ocultar la naturaleza fraudulenta del ataque. En cambio, si el objetivo cumple los criterios, se le lleva a una página de inicio de sesión falsa que replica el diseño original, lo que permite a los atacantes robar sus credenciales y datos personales.

Smishing y expansión del kit CoGUI

Además del phishing por correo electrónico, CoGUI también ha sido vinculado con campañas de smishing (phishing por SMS) en Estados Unidos. Estas campañas utilizaban señuelos relacionados con "pagos de peaje pendientes". Sin embargo, actualmente esa actividad ha migrado principalmente hacia el kit Darcula.

Los expertos de Proofpoint creen que CoGUI opera como un servicio disponible para múltiples cibercriminales, muchos de ellos con sede en China. Aunque su foco ha sido Japón, el kit podría ser fácilmente adoptado por otros grupos delictivos para lanzar campañas masivas en diferentes regiones.

Recomendaciones de ciberseguridad frente al phishing

Para reducir el riesgo de caer en estas amenazas, los expertos recomiendan:

No actuar con prisa ante correos que solicitan acciones urgentes.
Evitar hacer clic en enlaces incrustados en correos sospechosos.
Acceder siempre directamente al sitio web oficial escribiendo la URL manualmente.
Activar filtros antiphishing y soluciones de seguridad en correos electrónicos corporativos y personales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Páginas1 2 3 ... 153