Se ha identificado una vulnerabilidad crítica de seguridad en Apache Roller, el software de blogs de código abierto basado en Java. Esta falla, catalogada como CVE-2025-24859 y con una puntuación CVSS de 10.0, permite a actores maliciosos mantener acceso no autorizado incluso después de que el usuario haya cambiado su contraseña.

La vulnerabilidad afecta a todas las versiones de Apache Roller hasta la 6.1.4, inclusive. Según el aviso oficial del proyecto, el fallo reside en la gestión incorrecta de sesiones:

Citar"Existe una vulnerabilidad en Apache Roller antes de la versión 6.1.5, donde las sesiones de usuario activas no se invalidan adecuadamente tras un cambio de contraseña. Esto significa que, incluso si un usuario o administrador actualiza la contraseña, las sesiones antiguas siguen activas y pueden ser reutilizadas".

Esta debilidad de seguridad puede ser explotada por ciberdelincuentes para mantener el acceso persistente a la aplicación, incluso si las credenciales fueron cambiadas, lo que incrementa el riesgo de acceso no autorizado y pérdida de datos.

Solución disponible en Apache Roller 6.1.5

El problema se ha corregido en Apache Roller 6.1.5, que introduce una administración centralizada de sesiones. Ahora, todas las sesiones activas se invalidan automáticamente cuando se cambia una contraseña o se desactiva una cuenta de usuario, cerrando así la puerta a accesos persistentes indebidos.

El descubrimiento de esta vulnerabilidad se atribuye al investigador de seguridad Haining Meng, quien notificó de forma responsable a los desarrolladores del proyecto.

Vulnerabilidades recientes en proyectos Apache

Esta revelación se suma a una serie de vulnerabilidades críticas detectadas en proyectos Apache durante 2025:

• CVE-2025-30065 en Apache Parquet: Permite ejecución remota de código en instancias vulnerables.
• CVE-2025-24813 en Apache Tomcat: Ha sido objeto de explotación activa poco después de su publicación.

Recomendaciones para administradores

Se recomienda a todos los administradores de sistemas y desarrolladores que utilicen Apache Roller:

• Actualizar inmediatamente a la versión 6.1.5 o superior.
• Monitorizar las sesiones activas tras cambios de contraseña.
• Implementar controles adicionales de autenticación y gestión de sesiones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo de amenazas persistentes avanzadas (APT) UNC5174, vinculado al gobierno chino, ha sido vinculado a una nueva campaña de ciberespionaje que emplea una variante del malware SNOWLIGHT y una herramienta de código abierto conocida como VShell para comprometer principalmente sistemas Linux, aunque también se ha detectado actividad contra dispositivos macOS.

Herramientas utilizadas: SNOWLIGHT, VShell y GOREVERSE

Según un informe de la empresa de ciberseguridad Sysdig, los actores de amenazas utilizan cada vez más herramientas de código abierto para reducir costos y dificultar la atribución. Este enfoque permite simular ataques de grupos menos sofisticados, lo que complica la detección por parte de analistas de seguridad.

UNC5174, también conocido como Uteus (o Uetus), fue previamente analizado por Mandiant (propiedad de Google) por su explotación de vulnerabilidades en herramientas como Connectwise ScreenConnect y F5 BIG-IP. En estas campañas se empleó el descargador ELF SNOWLIGHT, diseñado para desplegar el túnel Golang llamado GOHEAVY, conectado a la infraestructura C2 basada en SUPERSHELL, un marco de comando y control de uso público.

Además, los ataques utilizaron GOREVERSE, una backdoor SSH escrita en Golang, que permite la conexión remota inversa a sistemas comprometidos.

Explotación de vulnerabilidades y entrega del malware

La Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI) destacó en su informe "Cyber Threat Overview 2024" que UNC5174 o un actor similar ha explotado múltiples vulnerabilidades en dispositivos Ivanti Cloud Service Appliance (CSA), incluyendo:

• CVE-2024-8963
• CVE-2024-9380
• CVE-2024-8190

Estos fallos permitieron la ejecución remota de código y el control total de los sistemas afectados.

En los ataques recientes documentados por Sysdig (enero de 2025), SNOWLIGHT actúa como un gotero que despliega VShell, un troyano de acceso remoto (RAT) ampliamente usado en entornos de habla china. El malware se ejecuta en memoria, sin archivos persistentes, dificultando su detección.

Detalles técnicos: carga útil y persistencia

La secuencia de ataque inicia con la ejecución de un script Bash malicioso ("download_backd.sh"), que instala los binarios de SNOWLIGHT (dnsloger) y Sliver (system_worker). Estos componentes establecen persistencia y conectividad con un servidor de comando y control (C2).

La fase final consiste en la entrega de VShell a través de SNOWLIGHT, usando solicitudes específicamente diseñadas. Una vez desplegado, VShell permite ejecución remota de comandos, carga y descarga de archivos, y control total del sistema comprometido. Se destaca el uso de WebSockets para el tráfico C2, una técnica evasiva que refuerza el sigilo del ataque.

Campañas paralelas y alcance global

Los hallazgos de Sysdig coinciden con nuevas investigaciones de TeamT5, que vinculan a otro grupo de ciberespionaje con nexos chinos con la explotación de vulnerabilidades recientes en Ivanti, incluyendo:

• CVE-2025-0282
• CVE-2025-22457

El malware desplegado en esta campaña fue denominado SPAWNCHIMERA, y afectó a múltiples sectores en al menos 20 países, entre ellos: Austria, Australia, Francia, España, Japón, Corea del Sur, Países Bajos, Singapur, Taiwán, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.

Riesgos para organizaciones y geopolítica cibernética

Tanto SNOWLIGHT como VShell son también capaces de infectar sistemas macOS, como lo demuestra el análisis de archivos subidos a VirusTotal desde China en octubre de 2024, donde se detectó la distribución de VShell como una aplicación falsa de autenticación de Cloudflare.

En paralelo, China ha acusado públicamente a la NSA (Agencia de Seguridad Nacional de EE. UU.) de realizar ataques cibernéticos avanzados contra infraestructuras críticas durante los Juegos Asiáticos de Invierno de 2025. Según el Ministerio de Relaciones Exteriores chino, estas acciones comprometieron información personal, defensa nacional y sectores clave como finanzas y telecomunicaciones.

SNOWLIGHT y VShell aumentan el riesgo de ciberataques a nivel global

La campaña atribuida a UNC5174 demuestra el creciente uso de herramientas de código abierto en operaciones de ciberespionaje, así como la explotación activa de vulnerabilidades en infraestructura crítica. Organizaciones que operan en entornos Linux y macOS deben reforzar sus medidas de detección, aplicar parches de seguridad y monitorear comportamientos anómalos relacionados con SNOWLIGHT, VShell o tráfico WebSocket inusual.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha advertido sobre un nuevo problema de rendimiento en Outlook clásico para Windows, relacionado con un aumento del uso de la CPU mientras se escribe correos electrónicos. Este fallo afecta a usuarios que utilizan versiones recientes del cliente de correo electrónico, generando un consumo anormal de recursos del sistema, incluso con funciones como la revisión ortográfica o los complementos desactivados.

Problema de alto consumo de CPU en Outlook clásico

Desde principios de noviembre, cientos de usuarios comenzaron a reportar en redes sociales y foros como la comunidad oficial de Microsoft que Outlook incrementaba el uso de CPU entre un 30% y 50% al escribir. Esto también conllevaba un mayor consumo de energía, lo cual es especialmente problemático en laptops o equipos de trabajo intensivo.

Microsoft confirmó el problema en un nuevo documento de soporte, explicando que afecta a versiones de Outlook posteriores a la Versión 2406 Build 17726.20126. Este error puede presentarse en los siguientes canales de actualización:

• Current Channel
• Monthly Enterprise Channel
• Insider Channel

Solución temporal: cambiar al canal semestral de Microsoft Office

Mientras Microsoft trabaja en una solución definitiva, recomienda a los usuarios afectados migrar al canal semestral de actualizaciones, que no presenta este fallo. Para hacer este cambio manualmente, puedes modificar el Registro de Windows con los siguientes pasos:

Cómo cambiar al canal semestral en Outlook (Windows)

1. Abre una ventana del Símbolo del sistema como administrador.

2. Escribe o pega el siguiente comando y presiona Enter:

reg add HKLM\Software\Policies\Microsoft\office\16.0\common\officeupdate /v updatebranch /t REG_SZ /d SemiAnnual

3. Luego, abre Outlook > Archivo > Cuenta de Office > Opciones de actualización > Actualizar ahora para aplicar el cambio de canal.

Alternativas para administradores de TI

Los administradores de sistemas pueden aplicar esta configuración en múltiples dispositivos mediante herramientas como:

• Políticas de grupo
• Microsoft Configuration Manager
• Microsoft Intune
• Office Deployment Tool
• Centro de administración de Microsoft 365

Estas opciones permiten gestionar la actualización masiva de equipos en entornos empresariales y evitar que el error de alto uso de CPU en Outlook impacte la productividad.

Otros problemas recientes en Microsoft Outlook y Office

Este fallo se suma a una serie de problemas recientes en Microsoft 365 y Office, como:

• Errores en Outlook al escribir, responder o reenviar correos electrónicos.
• Bloqueos en Word, Excel y Outlook tras las actualizaciones de seguridad de abril de 2025 (Office 2016).
• Problemas de licencias de Microsoft 365 que impedían el acceso a usuarios con suscripciones familiares.
• Fallos en la función "arrastrar y soltar correos" tras la instalación de Windows 24H2.
• Cierres inesperados de Outlook al hacer clic en botones para volver a la versión clásica.

Seguimiento y mejores prácticas

Microsoft está trabajando activamente en una solución para el alto uso de CPU en Outlook para Windows. Hasta entonces, cambiar al canal semestral es la opción más segura para mantener la estabilidad del sistema. Es recomendable que usuarios y administradores de TI mantengan sus sistemas actualizados, revisen las notas oficiales de cada versión y monitoricen el comportamiento del sistema tras cada parche.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ha introducido una nueva función de seguridad en Android que reiniciará automáticamente los dispositivos bloqueados y sin uso tras 72 horas (3 días) de inactividad, restableciendo el sistema a un estado completamente cifrado. Esta medida, incluida en la última actualización de los Servicios de Google Play (v25.14), tiene como objetivo mejorar la protección de datos en Android y dificultar el acceso no autorizado a la información personal del usuario.

¿Cómo funciona el reinicio automático en Android?

La función de reinicio automático por inactividad está disponible en la sección Seguridad y privacidad del sistema. Según las notas de la versión, "el dispositivo se reiniciará automáticamente si permanece bloqueado durante tres días consecutivos", lo que implica que regresará al estado "Antes del primer desbloqueo" (BFU), donde la información permanece cifrada hasta que el usuario lo desbloquee con su PIN o datos biométricos.

Este enfoque busca contrarrestar técnicas forenses utilizadas para extraer datos de dispositivos Android sin consentimiento, especialmente en situaciones donde los teléfonos han sido incautados o robados y se encuentran en el estado "Después del primer desbloqueo" (AFU), en el cual los datos ya están desencriptados y vulnerables.

Una respuesta a amenazas forenses: privacidad reforzada en Android

Organizaciones centradas en la privacidad, como GrapheneOS, ya habían implementado previamente un sistema similar, con reinicios automáticos cada 18 horas. Este método se diseñó para proteger los dispositivos frente a herramientas forenses avanzadas utilizadas por empresas como Cellebrite, que explotan vulnerabilidades en el firmware o en controladores como el USB del kernel de Android.

En enero de 2024, los desarrolladores de GrapheneOS advirtieron sobre estas fallas y destacaron cómo el reinicio automático podía restaurar la protección cifrada de los datos, limitando así el acceso físico prolongado a la información personal.

Aunque Google adopta un intervalo más largo (72 horas en lugar de 18), esta nueva función aún representa una mejora importante en la seguridad de Android frente a intentos de extracción de datos físicos.

Recomendaciones adicionales para mejorar la seguridad en Android

Para maximizar la seguridad de los dispositivos Android, se recomienda:

• Desactivar la transferencia de datos USB cuando el dispositivo esté bloqueado.
• Mantener el sistema y las aplicaciones siempre actualizados.
• Instalar la versión más reciente de los Servicios de Google Play (v25.14) desde Google Play Store, aunque la disponibilidad podría variar según el dispositivo y la región.
• Verificar manualmente las actualizaciones de seguridad desde:
• Configuración > Seguridad y privacidad > Sistema y actualizaciones > Actualización del sistema de Google Play.

En conclusión, esta nueva medida de reinicio automático en Android tras 72 horas de inactividad refuerza significativamente la protección de los datos personales ante accesos físicos no autorizados. Con esta actualización, Google da un paso importante en su estrategia de fortalecer la ciberseguridad móvil frente a amenazas forenses y vulnerabilidades críticas del sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo troyano de acceso remoto (RAT) denominado ResolverRAT ha sido identificado como parte de una campaña global de ciberataques dirigidos a organizaciones del sector salud y farmacéutico. Este malware se distribuye activamente a través de correos electrónicos de phishing diseñados para engañar a los usuarios mediante supuestas notificaciones legales o reclamaciones por violación de derechos de autor, personalizadas según el idioma del país objetivo.

Distribución y vector de ataque

Los mensajes de phishing incluyen un enlace que descarga un ejecutable aparentemente legítimo (hpreader.exe). Este archivo se utiliza para inyectar ResolverRAT directamente en la memoria del sistema mediante una técnica conocida como carga reflexiva de DLL (DLL reflective loading), lo que dificulta su detección por soluciones antivirus tradicionales.

El descubrimiento de este malware fue realizado por Morphisec, que lo identificó utilizando la misma infraestructura de phishing documentada en investigaciones recientes de Check Point y Cisco Talos. Sin embargo, mientras esos informes se centraron en otros ladrones de información como Rhadamanthys y Lumma, ResolverRAT no había sido analizado previamente en profundidad.

Características técnicas de ResolverRAT

ResolverRAT representa una amenaza avanzada debido a su capacidad para ejecutarse completamente en memoria, sin tocar el disco, lo que lo convierte en un malware altamente evasivo. Utiliza eventos .NET ResourceResolve para cargar ensamblados maliciosos sin llamadas evidentes a APIs del sistema operativo, evadiendo herramientas de seguridad basadas en la monitorización de llamadas Win32 API y operaciones del sistema de archivos.

Citar"Este secuestro de resolución de recursos representa una evolución avanzada del malware, permitiendo la ejecución dentro de la memoria administrada y eludiendo los métodos tradicionales de detección", destaca Morphisec.

Además, ResolverRAT incorpora una máquina de estados ofuscada para complicar el análisis estático, incluyendo mecanismos para detectar entornos sandbox y herramientas de depuración mediante técnicas de fingerprinting.

Persistencia y evasión

El malware establece persistencia mediante la creación de múltiples entradas en el Registro de Windows, utilizando claves ofuscadas con XOR en hasta 20 ubicaciones distintas. También se replica en directorios clave del sistema como Inicio, Archivos de programa y LocalAppData para garantizar su reejecución tras reinicios del sistema.

Para evitar su detección, ResolverRAT utiliza intervalos aleatorios de beaconing (comunicaciones con el servidor de comando y control) y maneja cada comando en subprocesos independientes, lo que mejora su robustez operativa al permitir la ejecución paralela de tareas.

Exfiltración de datos y resiliencia en redes

Una de las funcionalidades más destacadas de ResolverRAT es su capacidad para la exfiltración de datos de forma fragmentada. Los archivos mayores a 1 MB se dividen en fragmentos de 16 KB, lo que permite mezclar el tráfico malicioso con tráfico legítimo, reduciendo las posibilidades de detección por parte de los sistemas de monitoreo de red.

Antes de enviar cada fragmento, el malware comprueba si el socket está disponible para evitar errores en redes inestables. En caso de fallo, el sistema puede reanudar la transferencia desde el último fragmento exitoso, demostrando una alta tolerancia a fallos.

Campaña global en múltiples idiomas

Morphisec ha detectado campañas activas de ResolverRAT en varios idiomas, incluidos italiano, checo, hindi, turco, portugués e indonesio, lo que indica una capacidad operativa global y una posible expansión futura a otros países y sectores.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El CA/Browser Forum ha aprobado una iniciativa clave que transformará la gestión de los certificados SSL/TLS. La nueva normativa, que entrará en vigor gradualmente durante los próximos cuatro años, reducirá la vida útil de los certificados digitales de los actuales 398 días a solo 47 días en 2029.

¿Qué es el CA/Browser Forum?

El CA/Browser Forum es una alianza internacional compuesta por autoridades de certificación (CA) como DigiCert y GlobalSign, y los principales proveedores de navegadores web, entre ellos Google, Apple, Mozilla y Microsoft. Su objetivo es definir y mantener los estándares de seguridad para los certificados digitales utilizados en Internet, esenciales para proteger las comunicaciones a través del protocolo HTTPS.

Apple lidera la propuesta de reducción de validez

La iniciativa fue originalmente propuesta por Apple y rápidamente respaldada por Sectigo, el equipo de Google Chrome y Mozilla. El plan consiste en reducir progresivamente la duración de los certificados SSL/TLS para mejorar la seguridad de la web y fomentar la automatización en la renovación de certificados.

El cronograma aprobado por el foro es el siguiente:

• 15 de marzo de 2026: la validez del certificado y la validación de control de dominio (DCV) se reduce a 200 días.
• 15 de marzo de 2027: se acorta aún más a 100 días.
• 15 de marzo de 2029: la validez se limitará a 47 días, y el DCV a solo 10 días.

¿Por qué reducir la vida útil de los certificados TLS?

El objetivo de este cambio es minimizar los riesgos asociados con certificados obsoletos, algoritmos criptográficos desactualizados y credenciales comprometidas. Además, la rotación frecuente reduce la posibilidad de que los certificados caducados permanezcan activos en sitios web, lo que mejora la seguridad del ecosistema digital.

También se busca impulsar el uso de sistemas automatizados de renovación de certificados, como los que ofrecen Let's Encrypt, proveedores de nube o autoridades de certificación compatibles con el protocolo ACME. Esta automatización facilitará el cumplimiento de los nuevos requisitos, especialmente para las organizaciones que gestionan múltiples dominios.

¿Qué son los certificados SSL/TLS?

Los certificados SSL/TLS son archivos digitales fundamentales para la ciberseguridad en línea. Permiten cifrar la conexión entre un navegador y un servidor web, protegiendo datos sensibles como contraseñas, números de tarjetas de crédito o información personal. Además, verifican la autenticidad del sitio web y garantizan la integridad de los datos transmitidos.

Cuando un certificado caduca sin ser renovado, los navegadores advierten al usuario de que su conexión no es segura, lo cual afecta la confianza del visitante y puede tener consecuencias negativas para la reputación del sitio.

¿Qué impacto tendrá esta medida?

Aunque esta reducción representa un desafío operativo para muchas organizaciones —especialmente aquellas que aún no han implementado la automatización—, se espera que la transición gradual facilite la adopción de prácticas más seguras y eficientes. La medida también obligará a una revalidación más frecuente, lo que fortalecerá la verificación de identidad de los solicitantes y aumentará la resiliencia del ecosistema de certificados digitales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La ciberseguridad evoluciona constantemente ante nuevas amenazas y ataques cada vez más sofisticados. Empresas y profesionales del sector necesitan herramientas que les permitan anticiparse, detectar vulnerabilidades y responder con rapidez. En este escenario, HackerGPT se posiciona como una solución innovadora que transforma la forma de trabajar de los hackers éticos y expertos en seguridad informática.

¿Qué es HackerGPT y para qué sirve?

HackerGPT es una herramienta de inteligencia artificial aplicada a la ciberseguridad, diseñada para asistir en pruebas de penetración, análisis de vulnerabilidades y respuesta ante incidentes. Utiliza modelos avanzados como GPT-3 y GPT-4, capaces de interpretar y resolver consultas complejas relacionadas con la seguridad digital.

Principales funciones de HackerGPT:

• Soporte en tiempo real: responde preguntas sobre ciberseguridad, hacking ético y resolución de problemas.
• Automatización de tareas: genera scripts, analiza código y detecta vulnerabilidades en sistemas y redes.
• Aprendizaje continuo: se actualiza constantemente con nuevas amenazas y técnicas de ataque.

Además, la versión 2.0 de HackerGPT está disponible como proyecto de código abierto en GitHub, lo que permite a la comunidad contribuir a su desarrollo y adaptarlo a distintas necesidades.

Beneficios de usar HackerGPT en ciberseguridad

El uso de inteligencia artificial en ciberseguridad permite ganar eficiencia, precisión y adaptabilidad. Estos son algunos de los principales beneficios de integrar HackerGPT en tus operaciones:

1. Ahorro de tiempo y mayor productividad

HackerGPT reduce significativamente el tiempo necesario para realizar análisis de seguridad, generar informes técnicos o ejecutar tareas de prueba de penetración, acelerando los procesos sin sacrificar calidad.

2. Mayor precisión en la detección de amenazas

Al analizar grandes volúmenes de datos, HackerGPT minimiza errores humanos y mejora la detección de vulnerabilidades y brechas de seguridad.

3. Ideal para formación en hacking ético

Es una herramienta perfecta tanto para profesionales como para estudiantes que quieran practicar escenarios de ciberseguridad sin necesidad de infraestructura compleja.

4. Acceso sencillo y sin requisitos técnicos

Al ser una solución basada en IA, no necesita hardware especializado ni instalaciones complicadas. Se accede fácilmente desde el navegador y se adapta a los cambios del sector.

¿Es seguro y ético usar HackerGPT?

Una de las preocupaciones más comunes sobre las herramientas de inteligencia artificial en ciberseguridad es su posible uso indebido. HackerGPT ha sido desarrollado con un enfoque claramente ético y legal.

• No promueve actividades maliciosas: está diseñado para uso profesional y formativo, orientado a mejorar la seguridad de sistemas, no para ciberataques.
• Cumple con normativas de seguridad informática: se ajusta a estándares y buenas prácticas reconocidas por la comunidad internacional de ciberseguridad.

HackerGPT: una herramienta clave para el futuro de la ciberseguridad

Con su enfoque en el hacking ético, la automatización de procesos y su disponibilidad como proyecto open source, HackerGPT representa un gran avance para profesionales del sector. Si trabajas en seguridad informática, análisis de vulnerabilidades o pruebas de penetración, esta herramienta puede ayudarte a mejorar tu eficiencia, reducir riesgos y reforzar la protección de infraestructuras digitales.

La integración de la IA en ciberseguridad es una tendencia imparable, y HackerGPT demuestra que la tecnología puede ser el mejor aliado para defenderse en un entorno digital cada vez más complejo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El cierre definitivo de Skype ha comenzado a generar controversia, y no solo por el fin de una de las aplicaciones de mensajería más icónicas del siglo XXI. Lo que realmente está molestando a muchos usuarios es que Microsoft no está devolviendo el saldo que algunos aún tienen en sus cuentas. La situación está escalando, y ya hay quienes están reclamando públicamente.

El cierre de Skype afecta a miles de usuarios en todo el mundo

Aunque el cierre de Skype no sorprendió a muchos, algunos sectores de la comunidad, especialmente personas mayores que aún utilizaban la aplicación por su facilidad de uso, han expresado su descontento. Pero el verdadero problema no está solo en la desaparición de la plataforma, sino en que los usuarios no podrán recuperar su dinero.

El caso de Karen Griffin: una usuaria afectada por el saldo retenido

Una de las voces más visibles es la de Karen Griffin, una ciudadana estadounidense que usaba Skype desde 2009. Durante años, Karen aprovechó la plataforma para realizar llamadas internacionales económicas a su amiga en Italia y para mantenerse en contacto con su hijo cuando vivía en el extranjero.

Ahora, con el anuncio del cierre de Skype en mayo, Karen ha descubierto que no puede retirar el saldo que le quedaba en su cuenta. Según relata, Microsoft no ofrece la opción de reembolso, y su único aviso fue que el saldo podía utilizarse hasta el 5 de mayo. Para Karen, esta no es una solución justa ni práctica.

Microsoft no reembolsa el dinero en Skype: solo permite gastarlo

La política oficial de Microsoft deja claro que no habrá reembolsos por el saldo no utilizado en Skype. En su lugar, ofrece dos opciones para usar el dinero restante:

• Realizar llamadas online antes de la fecha límite.
• Utilizar el saldo en Microsoft Teams, la nueva herramienta de comunicación que reemplazará a Skype.

Sin embargo, muchos usuarios, como Karen, no están interesados en migrar forzosamente a Microsoft Teams solo para gastar un saldo que ya habían cargado con otro propósito.

El problema del saldo atrapado en Skype

En el caso de Karen, el saldo bloqueado asciende a 24,74 dólares, unos 20 euros al cambio. Aunque puede parecer una cantidad pequeña, lo preocupante es el principio: los usuarios pierden control sobre su propio dinero.

Además, hay muchas personas en la misma situación, y la cifra total de saldo retenido podría ser considerable. Microsoft no ha revelado cuántos fondos no serán reembolsados, lo que ha generado aún más dudas entre la comunidad.

Microsoft apuesta por Teams, pero los usuarios piden reembolsos

La intención de Microsoft con este movimiento es clara: empujar a los usuarios hacia Microsoft Teams. No obstante, obligar a adoptar una nueva plataforma para recuperar el saldo de Skype no parece la estrategia más acertada, sobre todo para quienes no tienen interés en usar Teams.

Karen, por ejemplo, menciona que ya paga más de 100 dólares anuales por su suscripción a Microsoft Office y considera injusto que la empresa le retenga una cantidad que ella considera suya.

¿Podría cambiar Microsoft su postura?

Aunque de momento Microsoft insiste en que no habrá devoluciones, el creciente número de quejas podría provocar una reconsideración de su política. Ofrecer reembolsos sería una forma eficaz de reducir las críticas y evitar problemas de reputación justo en un momento en que la compañía busca consolidar su ecosistema de aplicaciones.

El adiós definitivo a Skype: una era que llega a su fin

Con más de dos décadas de historia, Skype fue pionera en las comunicaciones por voz y video a través de internet. Su desaparición marca el final de una era para millones de usuarios, especialmente para aquellos que la utilizaron como herramienta de comunicación internacional asequible.

Microsoft cierra un capítulo importante, pero deja una herida abierta entre quienes sienten que su dinero ha quedado atrapado sin posibilidad de recuperarlo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La nueva versión OpenSSH 10.0 ya está disponible con importantes mejoras en seguridad, eficiencia del sistema y criptografía post-cuántica. Este lanzamiento marca un hito en el fortalecimiento de las comunicaciones seguras, anticipando los desafíos que traerá la computación cuántica y reforzando las buenas prácticas en infraestructura crítica.

Como una de las soluciones SSH más utilizadas globalmente, OpenSSH continúa su evolución para adaptarse a las amenazas emergentes y mantener su liderazgo en ciberseguridad.

OpenSSH 10.0 refuerza la seguridad con criptografía post-cuántica

Uno de los cambios más relevantes en OpenSSH 10.0 es la adopción por defecto de un algoritmo híbrido post-cuántico para el intercambio de claves:
mlkem768x25519-sha256. Esta combinación une la robustez del esquema ML-KEM, aprobado por el NIST, con la eficiencia de X25519, asegurando resistencia contra ataques cuánticos sin perder rendimiento en sistemas actuales.

Además, se elimina por completo el soporte para DSA (Digital Signature Algorithm), un algoritmo obsoleto y vulnerable que, aunque ya no se recomendaba, aún era compatible en versiones anteriores. Esta decisión mejora significativamente la postura de seguridad del sistema.

Rediseño de la autenticación: nuevo binario sshd-auth

OpenSSH 10.0 introduce una separación crítica en su arquitectura de autenticación mediante la creación de un nuevo binario: sshd-auth. Este cambio permite ejecutar el proceso de autenticación en un entorno aislado, reduciendo la superficie de ataque antes de que el usuario sea autenticado.

Además, una vez completado su propósito, el nuevo binario se descarga de la memoria, lo que mejora el uso de recursos sin comprometer la seguridad.

Soporte experimental para FIDO2 y verificación de blobs de atestación

La versión 10.0 amplía el soporte para tokens de autenticación FIDO2, incorporando nuevas funcionalidades como la verificación de blobs de atestación. Aunque estas características aún son experimentales y no se instalan por defecto, representan un paso clave hacia una autenticación más robusta y estandarizada.

OpenSSH también estrena una herramienta de línea de comandos para verificar blobs FIDO2, disponible en los repositorios internos del proyecto.

Mejoras en configuración y personalización de usuarios

Otra novedad destacada de OpenSSH 10.0 es la mayor flexibilidad en las configuraciones específicas por usuario. Ahora es posible definir criterios de coincidencia más precisos, permitiendo establecer reglas detalladas sobre cuándo y cómo aplicar ciertas configuraciones en SSH o SFTP.

Esta funcionalidad representa un avance respecto a versiones anteriores, como OpenSSH 9.0, y facilita la gestión de entornos con políticas diferenciadas por usuario o contexto.

Optimización en algoritmos de cifrado y rendimiento

OpenSSH 10.0 mejora el rendimiento criptográfico priorizando el uso de AES-GCM sobre AES-CTR, un cambio que proporciona mejor seguridad sin afectar la velocidad de conexión. Sin embargo, el cifrado ChaCha20/Poly1305 se mantiene como opción preferida para sistemas sin aceleración por hardware AES, gracias a su excelente rendimiento en entornos limitados.

Cambios técnicos y mejoras en la arquitectura de código

La nueva versión también implementa mejoras en la gestión de sesiones, detección de tipo de sesión activa y organización modular del código. Se han optimizado los archivos de parámetros criptográficos (moduli), lo que facilita futuras auditorías y actualizaciones.

Estas optimizaciones no solo mejoran la portabilidad del código, sino que también garantizan una base más sólida para el mantenimiento y evolución del proyecto.

Corrección de errores y mejoras de usabilidad

OpenSSH 10.0 incluye una serie de correcciones importantes de seguridad y funcionalidad, entre ellas:

• Solución al fallo de DisableForwarding, que no desactivaba correctamente el reenvío de X11 y del agente SSH.
• Mejoras en la interfaz de usuario y en la aplicación de configuraciones específicas.
• Ajustes que aseguran una experiencia más coherente y estable en entornos de producción.

OpenSSH sigue liderando la seguridad en comunicaciones remotas

Con esta versión, OpenSSH consolida su papel como herramienta esencial para proteger la infraestructura digital. Al adoptar algoritmos criptográficos post-cuánticos, eliminar tecnologías obsoletas y reforzar su arquitectura, el proyecto se prepara para un futuro en el que la seguridad frente a ataques cuánticos será crítica.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El equipo de desarrollo de IPFire, el reconocido firewall de código abierto basado en Linux, ha lanzado la actualización Core 193 de la versión 2.29, una mejora clave orientada a reforzar la seguridad informática frente a amenazas actuales y futuras. Esta versión destaca por introducir soporte para criptografía poscuántica en conexiones VPN IPsec, además de múltiples actualizaciones técnicas que optimizan el rendimiento y la fiabilidad del sistema.

Avance en ciberseguridad: soporte para criptografía poscuántica en IPFire

Con el auge de la computación cuántica y su potencial para vulnerar la criptografía tradicional, IPFire 2.29 Core 193 se posiciona a la vanguardia al integrar criptografía poscuántica en sus túneles VPN IPsec. En concreto, se ha incorporado el algoritmo ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism), diseñado para resistir ataques de futuros ordenadores cuánticos.

Esta función se activa por defecto en todos los túneles IPsec nuevos. Además, se mantiene compatibilidad con algoritmos modernos aprobados por el NIST, como Curve448, Curve25519, RSA-4096 y RSA-3072. Los usuarios con túneles existentes pueden adoptar esta nueva tecnología desde la configuración avanzada, reforzando la protección de sus redes frente a posibles ciberataques.

Eliminación de AES-128 y revisión de algoritmos criptográficos

Como parte de su enfoque proactivo en seguridad de red, IPFire ha realizado una revisión profunda de los algoritmos de cifrado predeterminados. A partir de esta versión, se prioriza el uso de AES-256 (modos GCM y CBC) y ChaCha20-Poly1305, mientras que AES-128 ha sido eliminado por considerarse menos seguro frente a opciones más robustas.

Este cambio no afecta el rendimiento, ya que la mayoría del hardware moderno ofrece aceleración para operaciones con AES, lo que permite que AES-256 funcione con eficiencia sin comprometer la seguridad.

Mejoras técnicas en el sistema base: rendimiento y compatibilidad

IPFire 2.29 Core Update 193 incluye importantes actualizaciones a nivel de sistema operativo:

• glibc 2.41 y GNU Binutils 2.44, que permiten compilar código más eficiente y adaptado al hardware reciente.
• Nuevos firmware y microcódigos para mitigar vulnerabilidades como INTEL-SA-01213, protegiendo la integridad del sistema incluso a nivel bajo.
• Optimizaciones en el rendimiento general, manteniendo un entorno ágil y confiable para redes empresariales.

Seguridad DNS mejorada y corrección de errores críticos

Entre las novedades más destacadas en servicios de red, se incluye soporte nativo para DNS-over-TLS, reforzando la privacidad en las consultas DNS al evitar interceptaciones o manipulaciones por terceros.

También se ha corregido un error que impedía la renovación de certificados IPsec por un número de serie incorrecto, lo que podría representar un problema en entornos empresariales donde la disponibilidad es crítica.

Cambios visuales y experiencia de usuario

IPFire sigue mejorando su interfaz de usuario, especialmente en la sección de grupos de cortafuegos, gracias a la colaboración de miembros activos de la comunidad como Stephen Cuka. Estas mejoras facilitan la gestión de reglas y ofrecen una experiencia más clara e intuitiva para los administradores de red.

Además, se ha retirado la antigua lista de bloqueo de comandos y servidores C2 proporcionada por No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, ya que ha sido discontinuada, reduciendo así la dependencia de fuentes externas obsoletas.

Paquetes actualizados y compatibilidad con tecnologías modernas

Con el fin de mantener la compatibilidad y ofrecer nuevas funciones, IPFire ha actualizado varios paquetes clave:

• Apache 2.4.63
• StrongSwan 6.0.0
• Squid 6.13
• Complementos como HAProxy 3.1.2, Git 2.48.1 y Samba 4.21.4

Estas actualizaciones no solo mejoran la funcionalidad, sino que también corrigen errores y aseguran la estabilidad en entornos de producción.

Comunidad activa y software de código abierto

El equipo de IPFire ha agradecido a su comunidad global de usuarios y desarrolladores, cuya participación activa ha sido esencial para lanzar una versión tan completa. Como es habitual en los proyectos de software libre, las contribuciones en forma de código, informes de errores y soporte entre pares han fortalecido la evolución del proyecto.

Descarga y recomendaciones finales

IPFire 2.29 Core Update 193 ya está disponible para su descarga desde el sitio oficial del proyecto. Se ofrecen imágenes en formato ISO y USB para facilitar su instalación. Se recomienda actualizar lo antes posible para aprovechar las mejoras de seguridad, rendimiento y compatibilidad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Palo Alto Networks ha detectado un aumento en los intentos de inicio de sesión por fuerza bruta dirigidos a las puertas de enlace PAN-OS GlobalProtect, pocos días después de que investigadores de ciberseguridad alertaran sobre actividad sospechosa de escaneo de credenciales en estos dispositivos.

Ataques de fuerza bruta contra GlobalProtect: Lo que sabemos

Un portavoz de Palo Alto Networks confirmó a The Hacker News que sus equipos han identificado intentos de ataque relacionados con credenciales comprometidas, aunque hasta el momento no hay evidencia de que se esté explotando una vulnerabilidad específica.

Citar"Nuestros equipos están observando evidencia de actividad consistente con ataques relacionados con contraseñas, como intentos de inicio de sesión por fuerza bruta, lo que no indica la explotación de una vulnerabilidad", señaló la compañía.
"Continuamos monitoreando activamente esta situación y analizando la actividad reportada para determinar su impacto potencial e identificar si son necesarias mitigaciones".

El hallazgo se produce luego de que la empresa de inteligencia de amenazas GreyNoise advirtiera sobre un incremento en los intentos de escaneo de inicio de sesión dirigidos a PAN-OS GlobalProtect, sugiriendo un posible esfuerzo coordinado para comprometer sistemas expuestos.

Patrón de ataque y ubicaciones afectadas

Según GreyNoise, la actividad maliciosa comenzó el 17 de marzo de 2025, alcanzando un pico de 23,958 direcciones IP únicas antes de disminuir a finales del mes pasado.

Los ataques han afectado principalmente sistemas en:

✅ Estados Unidos
✅ Reino Unido
✅ Irlanda
✅ Rusia
✅ Singapur

Actualmente, no se ha identificado al actor de amenazas detrás de estos ataques, pero las tácticas sugieren un intento de descubrir credenciales débiles y acceder a redes corporativas protegidas por GlobalProtect.

Medidas de seguridad recomendadas para usuarios de PAN-OS GlobalProtect

Dado el aumento de la actividad maliciosa, Palo Alto Networks recomienda a los clientes implementar las siguientes medidas de seguridad:

1️⃣ Actualizar a la última versión de PAN-OS para protegerse contra vulnerabilidades conocidas.
2️⃣ Activar la autenticación multifactor (MFA) para mitigar el riesgo de acceso no autorizado.
3️⃣ Configurar GlobalProtect para facilitar notificaciones de MFA y alertar sobre intentos de inicio de sesión sospechosos.
4️⃣ Implementar políticas de seguridad que detecten y bloqueen ataques de fuerza bruta.
5️⃣ Limitar la exposición innecesaria a Internet, restringiendo el acceso a GlobalProtect solo a direcciones IP autorizadas.

En conclusion, el aumento de ataques de fuerza bruta contra GlobalProtect demuestra la importancia de fortalecer la seguridad de credenciales y accesos en entornos corporativos. Los administradores de sistemas deben actuar de inmediato, aplicando actualizaciones y reforzando sus políticas de autenticación para mitigar riesgos de intrusión.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una grave falla de seguridad en OttoKit (anteriormente SureTriggers) ha sido explotada activamente pocas horas después de su divulgación pública. Esta vulnerabilidad, identificada como CVE-2025-3102 y con una puntuación CVSS de 8.1, permite a los atacantes crear cuentas de administrador en sitios WordPress vulnerables y tomar control total de ellos.

Detalles de la vulnerabilidad CVE-2025-3102

El investigador István Márton de Wordfence explicó que el fallo se debe a un error de omisión de autenticación en el plugin SureTriggers: All-in-One Automation Platform para WordPress, presente en todas las versiones hasta la 1.0.78.

¿Cómo funciona el ataque?

• La vulnerabilidad ocurre porque el complemento no verifica correctamente el valor "secret_key" en la función "authenticate_user".
• Si el plugin está instalado y activado, pero sin una clave API configurada, un atacante no autenticado puede explotar el fallo y crear cuentas de administrador.
• Con acceso de administrador, los atacantes pueden:
• Subir plugins maliciosos.
• Modificar el sitio para inyectar malware o spam.
• Redirigir visitantes a sitios fraudulentos.

Ataques en curso y direcciones IP involucradas

El investigador de seguridad Michael Mazzolini (alias mikemyers) descubrió y reportó la vulnerabilidad el 13 de marzo de 2025, y el problema fue corregido en la versión 1.0.79 del plugin, lanzada el 3 de abril de 2025.

Sin embargo, según Patchstack, los atacantes ya están explotando activamente la vulnerabilidad, creando cuentas de administrador falsas con el nombre "xtw1838783bc".

Los intentos de ataque se han originado desde las siguientes direcciones IP:

• 2a01:e5c0:3167::2 (IPv6)
• 89.169.15.201 (IPv4)

Dado que los nombres de usuario y contraseñas generados son aleatorios, se espera que los atacantes sigan variando sus estrategias para evitar detección.

¿Quiénes están en riesgo?

Aunque OttoKit cuenta con más de 100,000 instalaciones activas, no todos los sitios son vulnerables. El ataque solo es posible si el complemento está instalado y activado pero no configurado con una clave API.

Cómo proteger tu sitio WordPress

Dado que la vulnerabilidad está siendo activamente explotada, se recomienda a los propietarios de sitios WordPress que utilicen este plugin que:

• Actualicen inmediatamente a la versión 1.0.79 de OttoKit.
• Verifiquen si hay cuentas de administrador sospechosas y eliminen cualquier cuenta no autorizada.
• Monitoreen su sitio en busca de actividades inusuales o cambios no autorizados.
• Bloqueen las direcciones IP maliciosas si es posible.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha confirmado que la actualización de seguridad de Windows de abril de 2025 está creando una nueva carpeta "inetpub" en los sistemas de los usuarios, incluso si Internet Information Services (IIS) no está instalado. La compañía ha advertido que esta carpeta no debe eliminarse, ya que forma parte de los cambios implementados para mejorar la seguridad.

¿Qué es la carpeta "inetpub" y por qué aparece en Windows?

La carpeta "inetpub" es utilizada por Internet Information Services (IIS), una plataforma de servidor web de Microsoft que permite alojar sitios web y aplicaciones web. Normalmente, esta carpeta solo se crea cuando IIS se habilita manualmente a través de las Características de Windows.

Sin embargo, tras la instalación de la actualización acumulativa de abril de 2025, usuarios de Windows 10 y Windows 11 han reportado la aparición de una carpeta C:\inetpub, aun cuando IIS no estaba instalado.

Investigaciones realizadas por BleepingComputer confirmaron que esta carpeta es creada por la actualización con la cuenta SYSTEM, lo que sugiere que Microsoft la ha implementado con fines específicos de seguridad.

¿Se puede eliminar la carpeta "inetpub" en Windows 10 y 11?

Aunque eliminar la carpeta no causó problemas inmediatos en pruebas realizadas, Microsoft advierte que no debe ser eliminada, ya que forma parte de medidas de seguridad mejoradas.

Además, varios usuarios han informado que las actualizaciones acumulativas de abril no se instalan correctamente si la carpeta C:\inetpub ya existe antes de la implementación.

Relación con la vulnerabilidad CVE-2025-21204

Microsoft ha actualizado su aviso de seguridad sobre una vulnerabilidad de elevación de privilegios en la activación de procesos de Windows, identificada como CVE-2025-21204.

¿Cómo afecta esta vulnerabilidad?
Este fallo de seguridad se debe a un problema de resolución de enlaces incorrecto en la pila de Windows Update, lo que podría permitir que atacantes locales con bajos privilegios escalen permisos y manipulen archivos en la máquina víctima utilizando la cuenta del sistema NT AUTHORITY.

Microsoft no ha explicado exactamente cómo la carpeta inetpub contribuye a la seguridad del sistema, pero ha asegurado que es parte de las medidas de protección implementadas en esta actualización.

 ¿Qué deben hacer los usuarios?

Si has notado la carpeta C:\inetpub tras instalar la actualización de abril de 2025, no la elimines. Microsoft ha confirmado que su presencia es intencional y que su eliminación podría afectar futuras actualizaciones.

Estaremos atentos a cualquier actualización de Microsoft sobre el propósito exacto de esta carpeta y cómo influye en la seguridad del sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ha comenzado a implementar Veo 2, su innovadora herramienta de inteligencia artificial (IA) para la generación de videos, diseñada para competir con Sora de OpenAI. Este avanzado generador de videos con IA ya está disponible en acceso anticipado para algunos usuarios en los Estados Unidos.

Veo 2: IA avanzada para la creación de videos

Durante el evento Cloud Next 2024, Google confirmó que Veo 2 está listo para producción y que su despliegue continuará progresivamente. Esta herramienta permite a los creadores generar videos realistas a partir de indicaciones escritas, bocetos o imágenes de referencia, ofreciendo resultados con una calidad sorprendente.

Uno de los primeros usuarios en acceder a Veo 2 lo utilizó para convertir un boceto en una animación fluida, demostrando el potencial de la IA para crear contenido visual atractivo. A diferencia de otras herramientas de inteligencia artificial, Veo 2 permite procesar tanto instrucciones simples como complejas, mejorando la precisión y coherencia en los videos generados.

Características y limitaciones de Veo 2

Actualmente, Veo 2 es capaz de generar videos con una resolución de 720p a 24 fotogramas por segundo (fps), lo que garantiza una calidad aceptable para contenido digital. Sin embargo, existen algunas limitaciones clave:

Duración máxima de 8 segundos por clip, lo que restringe su uso en producciones más largas.

Costo de 0,35 dólares por segundo de video generado, lo que implica una inversión para quienes deseen experimentar con esta tecnología.

¿Cómo acceder a Veo 2?

Si estás interesado en probar Veo 2, puedes hacerlo a través de Google AI Studio, aunque el acceso aún es limitado. Si no te encuentras en EE. UU., es posible que necesites una VPN para desbloquear la función y explorar sus capacidades.

¿Veo 2 llegará a Gemini?

Según reportes de BleepingComputer, Google planea integrar las funciones de Veo 2 en su modelo de IA Gemini, aunque no ha anunciado una fecha específica para esta actualización.

Este avance representa un paso significativo en la evolución de la inteligencia artificial aplicada a la generación de contenido audiovisual, brindando a creadores y profesionales del video una herramienta poderosa para innovar en sus proyectos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han identificado un parche incompleto para la vulnerabilidad CVE-2024-0132 en NVIDIA Container Toolkit, lo que deja expuestos datos confidenciales y permite ataques de escape de contenedores en sistemas Linux con Docker.

Detalles de la vulnerabilidad CVE-2025-23359

📌 Clasificación: Vulnerabilidad de tiempo de verificación y tiempo de uso (TOCTOU).
📌 Puntuación CVSS: 9.0 (crítica).
📌 Versión afectada: NVIDIA Container Toolkit 1.17.4.
📌 Condición de explotación: La opción allow-cuda-compat-libs-from-container debe estar activada.

Impacto:

• Permite a los atacantes escalar privilegios y ejecutar código con permisos de root en el host.
• Puede explotarse para acceder al sistema de archivos del host.
• Afecta entornos Docker en Linux, generando riesgos adicionales.

Fallos en la mitigación de NVIDIA y nuevo riesgo de denegación de servicio (DoS)

En septiembre de 2024, NVIDIA lanzó un parche para CVE-2024-0132, pero un análisis reciente de Trend Micro y Wiz reveló que la corrección es incompleta, permitiendo aún la explotación del fallo.

Además, los investigadores han descubierto un problema de rendimiento que podría llevar a una denegación de servicio (DoS) en máquinas host con Docker en Linux.

Cómo ocurre el problema de DoS en Docker:

✔️ Se crean múltiples montajes con bind-propagation=shared.
✔️ No se eliminan las entradas en la tabla de montaje de Linux tras la finalización del contenedor.
✔️ Esto provoca un crecimiento incontrolado de la tabla de montaje, agotando los descriptores de archivos (fd).
✔️ Resultado: Docker deja de funcionar y los usuarios pierden acceso al sistema host, incluso a través de SSH.

Recomendaciones para mitigar los riesgos

Para reducir el impacto de estas vulnerabilidades en NVIDIA Container Toolkit y Docker en Linux, se recomienda:

🔹 Supervisar la tabla de montaje de Linux para detectar crecimientos anormales.
🔹 Restringir el acceso a la API de Docker solo a personal autorizado.
🔹 Aplicar políticas de control de acceso sólidas para evitar la ejecución de código malicioso.
🔹 Auditar regularmente los enlaces entre el sistema de archivos del contenedor y el host, los montajes de volumen y las conexiones de socket.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo de ciberespionaje Gamaredon (también conocido como Shuckworm), vinculado a Rusia, ha llevado a cabo un ciberataque dirigido contra una misión militar extranjera en Ucrania. El objetivo era desplegar una versión mejorada del malware GammaSteel, un peligroso ladrón de información.

Detalles del ataque de Gamaredon

🔍 Objetivo: Misión militar de un país occidental en Ucrania.
📅 Fecha de detección: 26 de febrero de 2025.
🛠� Vector de infección: Unidad extraíble infectada, según el informe de Symantec Threat Hunter.

El ataque comenzó con la manipulación del Registro de Windows, utilizando mshta.exe para ejecutar una cadena de infección en varias etapas.

Fases del ataque y funcionamiento del malware

1️⃣ Infección inicial:

• Se crea un valor en el Registro de Windows (UserAssist).
• Se ejecuta mshta.exe desde explorer.exe para iniciar la cadena de infección.

2️⃣ Carga maliciosa:

Se descargan y ejecutan dos archivos clave:

• NTUSER.DAT.TMContainer000000000000000000001.regtrans-ms

• Se conecta a servidores C2 (comando y control) mediante plataformas legítimas como Teletype, Telegram y Telegraph.
• NTUSER.DAT.TMContainer000000000000000000002.regtrans-ms
• Infecta unidades extraíbles y redes compartidas creando accesos directos maliciosos.

3️⃣ Ejecución de comandos y robo de información:

📅 1 de marzo de 2025:

• Se activa un script de PowerShell que exfiltra metadatos y descarga una carga útil codificada en Base64.
• Se conectan a un C2 codificado de forma rígida para obtener nuevos scripts de PowerShell.

4️⃣ Funciones avanzadas de espionaje:

• Captura pantallas del sistema.
• Ejecuta el comando systeminfo para recopilar información del sistema.
• Identifica software de seguridad en ejecución.
• Escanea archivos y carpetas en el Escritorio y Documentos.
• Exfiltra archivos con extensiones específicas mediante la versión mejorada de GammaSteel.

Aumento de la sofisticación de Shuckworm

🔎 Aunque Gamaredon es menos sofisticado que otros actores de amenazas rusos, Symantec destaca su enfoque implacable en objetivos ucranianos.

💡 Estrategias utilizadas para evadir detección:
✔️ Modificaciones constantes en su código malicioso.
✔️ Ofuscación avanzada del malware.
✔️ Uso de servicios web legítimos para dificultar su identificación.

En fin, el ciberataque de Gamaredon refuerza la creciente amenaza de grupos de ciberespionaje vinculados a Rusia. La evolución de GammaSteel demuestra un esfuerzo continuo por mejorar sus tácticas de evasión y persistencia.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Flipper Devices, la empresa detrás del popular Flipper Zero, ha presentado BUSY Bar, una innovadora herramienta de productividad de código abierto diseñada para minimizar distracciones y mejorar la concentración de personas con TDAH (Trastorno por Déficit de Atención e Hiperactividad).

¿Qué es BUSY Bar y cómo ayuda a las personas con TDAH?

El TDAH puede dificultar la concentración, aumentar la desorganización y generar impulsividad. BUSY Bar está diseñado para reducir las interrupciones y ayudar a las personas con este trastorno a enfocarse mediante bloques de trabajo cronometrados.

Este dispositivo integra:


✅ Pantalla LED para mostrar estados de enfoque.
✅ Botones fidget para canalizar la inquietud.
✅ Temporizador Pomodoro para sesiones de trabajo estructuradas.
✅ Sincronización con la app BUSY (iOS y Android) para silenciar notificaciones.
✅ Integración con Apple y Google Home para controlar la iluminación, música y dispositivos inteligentes.

Cuando se activa el Modo OCUPADO, BUSY Bar bloquea llamadas, transmisiones en vivo y programas, mostrando un mensaje de ocupado personalizado con un temporizador de cuenta regresiva. Todas las notificaciones se silencian automáticamente, evitando interrupciones mientras el usuario trabaja.

Beneficios de BUSY Bar para la productividad y concentración

Según Pavel Zhovner, CEO de Flipper Devices, la misión de BUSY Bar es crear una herramienta personalizable y práctica para mantener el enfoque.

"El cambio de contexto consume mucha energía. Si te interrumpen mientras escribes un correo o te concentras en una tarea, es difícil recuperar la atención. BUSY Bar ayuda a minimizar distracciones y gestionar interrupciones, permitiéndote mantenerte en la zona".

Lanzamiento y precio de BUSY Bar

• Preventa abierta en el sitio web oficial por $249.
• Campaña en Kickstarter próximamente, con ofertas especiales y ventajas exclusivas.
• Primeras unidades listas para envío antes de fin de año.

Este es el segundo dispositivo de hardware de Flipper Devices, tras el éxito de Flipper Zero, que ha vendido más de 500,000 unidades y generado más de $100 millones en ingresos desde 2020.

En fin, BUSY Bar se perfila como una solución innovadora para mejorar la productividad y concentración, especialmente en personas con TDAH. Su integración con dispositivos inteligentes y su enfoque en la reducción de distracciones lo convierten en una herramienta clave para optimizar el rendimiento diario.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Meta ha alertado a los usuarios de WhatsApp para Windows sobre una grave vulnerabilidad de seguridad identificada como CVE-2025-30401. Este fallo permite a los atacantes ejecutar código malicioso en dispositivos Windows mediante el envío de archivos alterados.

¿En qué consiste la vulnerabilidad CVE-2025-30401?

El problema, clasificado como un fallo de suplantación de identidad, afectó a todas las versiones de WhatsApp antes de la actualización 2.2450.6. Meta explicó que la vulnerabilidad permitía a WhatsApp mostrar archivos adjuntos según su tipo MIME, pero abría los archivos según su extensión de nombre, lo que podía llevar a la ejecución inadvertida de código malicioso.

WhatsApp 2.2450.6: la actualización de seguridad recomendada

Meta ha solucionado este problema con la última versión WhatsApp 2.2450.6. La compañía recomienda actualizar de inmediato para evitar posibles ataques.

Este fallo fue detectado por un investigador externo a través del programa de recompensas por errores (Bug Bounty) de Meta. Hasta el momento, no hay evidencia de que haya sido explotado en la naturaleza.

Historial de vulnerabilidades en WhatsApp

Esta no es la primera vez que WhatsApp se enfrenta a problemas de seguridad graves:

• Julio de 2024: Se corrigió un fallo similar que permitía la ejecución automática de archivos Python y PHP en Windows.
• Ataques de spyware: Investigadores del Citizen Lab de la Universidad de Toronto reportaron un ataque de día cero y cero clic que instalaba el spyware Graphite de Paragon en dispositivos vulnerables.
• Enero de 2025: WhatsApp notificó a 90 usuarios de Android en más de 24 países que habían sido atacados con spyware de Paragon.
• NSO Group y Pegasus: Documentos judiciales revelaron que el grupo israelí NSO explotó vulnerabilidades de WhatsApp para distribuir el spyware Pegasus, atacando al menos 1.400 dispositivos.

¿Cómo proteger tu WhatsApp en Windows?

Para evitar riesgos, es fundamental:

✅ Actualizar WhatsApp a la versión 2.2450.6 o superior.
✅ Evitar abrir archivos sospechosos o enviados por contactos desconocidos.
✅ Mantener actualizado el sistema operativo Windows y el software de seguridad.

Las amenazas a WhatsApp y la ciberseguridad continúan evolucionando. Mantente informado y protege tu privacidad con actualizaciones constantes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cisco ha instado a los administradores a actualizar de inmediato la vulnerabilidad crítica en Cisco Smart Licensing Utility (CSLU), que expone una cuenta de administrador de puerta trasera actualmente utilizada en ataques cibernéticos.

¿Qué es Cisco Smart Licensing Utility (CSLU)?

CSLU es una aplicación de Windows diseñada para gestionar licencias y productos sin necesidad de conectarse a la plataforma en la nube Cisco Smart Software Manager.

Detalles de la vulnerabilidad CVE-2024-20439

Esta vulnerabilidad, identificada como CVE-2024-20439, fue parcheada en septiembre de 2024. Se trata de una credencial de usuario estática no documentada que otorga a atacantes no autenticados acceso remoto con privilegios de administrador a través de la API de CSLU.

• Afecta únicamente a versiones vulnerables de CSLU.
• Solo puede explotarse si el usuario inicia la aplicación (no se ejecuta en segundo plano por defecto).

El investigador de amenazas de Aruba, Nicholas Starke, llevó a cabo ingeniería inversa de la vulnerabilidad dos semanas después del lanzamiento del parche y publicó detalles técnicos, incluida la contraseña decodificada.

Ataques en curso y advertencia de Cisco

En marzo de 2025, Cisco PSIRT detectó intentos de explotación activa de esta vulnerabilidad. La compañía enfatiza la importancia de actualizar a la versión corregida para prevenir ataques.

Explotación encadenada con CVE-2024-20440

Investigaciones adicionales del Instituto de Tecnología SANS, dirigidas por Johannes Ullrich, han identificado que los atacantes combinan CVE-2024-20439 con otra vulnerabilidad crítica, CVE-2024-20440. Esta segunda falla permite a atacantes no autenticados acceder a archivos de registro con información confidencial, incluidas credenciales de API, mediante solicitudes HTTP maliciosas.

• En marzo de 2025, Ullrich detectó campañas activas explotando ambas vulnerabilidades.
• La combinación de estos ataques incrementa significativamente el riesgo de acceso no autorizado y robo de datos.

Recomendaciones y medidas de seguridad

El Centro de Seguridad Cibernética y de Infraestructura (CISA) de EE.UU. ha agregado CVE-2024-20439 a su catálogo de vulnerabilidades explotadas conocidas. Las agencias federales deben actualizar sus sistemas antes del 21 de abril de 2025 para mitigar el riesgo de ataques.

Cisco ha eliminado anteriormente credenciales codificadas en otros productos como:

• IOS XE
• Wide Area Application Services (WAAS)
• Digital Network Architecture (DNA) Center
• Emergency Responder

La vulnerabilidad en Cisco Smart Licensing Utility representa un riesgo significativo para las organizaciones que aún no han aplicado los parches de seguridad. Se recomienda encarecidamente actualizar de inmediato y revisar configuraciones de seguridad para prevenir accesos no autorizados. Mantener el software actualizado y monitorear actividad sospechosa es clave para fortalecer la ciberseguridad empresarial.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El 11 de marzo de 2025, las autoridades alemanas cerraron Kidflix, una de las mayores plataformas de la web oscura utilizadas para alojar, compartir y transmitir material de abuso sexual infantil (CSAM). Este operativo fue parte de la Operación Stream, una acción conjunta internacional encabezada por la Policía Criminal Estatal de Baviera (Bayerisches Landeskriminalamt) y la Oficina Central de Baviera para el Enjuiciamiento de la Ciberdelincuencia (ZCB).

¿Qué es la Operación Stream?

Iniciada en 2022, la Operación Stream ha sido clave en la lucha contra la distribución de CSAM en la dark web. La investigación ha resultado en:

• 79 detenciones
• 1.393 sospechosos identificados
• Más de 3.000 dispositivos electrónicos incautados (del 10 al 23 de marzo de 2025)

El Centro Europeo de Ciberdelincuencia (EC3) de Europol también participó en la operación, analizando miles de vídeos para recopilar pruebas y apoyar la investigación.

Impacto del cierre de Kidflix

Entre abril de 2022 y marzo de 2025, 1,8 millones de usuarios accedieron a Kidflix. El 11 de marzo, las autoridades incautaron los servidores, que almacenaban aproximadamente 72.000 vídeos en ese momento. Además, se identificó que algunos de los detenidos no solo consumían y compartían contenido, sino que también abusaban activamente de menores.

Citar"La información sobre los sospechosos se ha compartido con autoridades de 35 países, quienes han realizado advertencias oficiales", informó la Policía Nacional holandesa.

El cruce de datos con bases de Europol reveló que muchos de los implicados ya eran delincuentes reincidentes, demostrando la gravedad del problema.

Kidflix: Funcionamiento y Monetización en la Dark Web

Desde su lanzamiento en 2021, Kidflix alojó más de 91.000 vídeos únicos, con un tiempo total de reproducción de 6.288 horas. Se estima que se subían 3,5 vídeos nuevos por hora, muchos de ellos desconocidos para las fuerzas del orden.

A diferencia de otras plataformas similares, Kidflix permitía a los usuarios no solo descargar contenido, sino también transmitirlo en streaming. Los delincuentes utilizaban criptomonedas para realizar pagos, las cuales se convertían en tokens dentro del sistema.

Citar"Los usuarios podían ganar tokens al subir contenido, verificar títulos y descripciones, y categorizar videos. Estos tokens luego se usaban para acceder a material de mayor calidad", detalló Europol.

Cada video estaba disponible en múltiples versiones (baja, media y alta calidad), permitiendo a los usuarios pagar una tarifa para desbloquear las versiones de mayor resolución.

Relación con la Operación Cumberland y la Lucha Contra el CSAM


En febrero de 2025, otra operación internacional, la Operación Cumberland, llevó a la detención de 25 sospechosos vinculados a la distribución de material de abuso sexual infantil generado por IA. Durante el operativo:

• Se identificaron 273 presuntos miembros de esta red criminal.
• Se incautaron 173 dispositivos electrónicos.

Europol ha impulsado diversas iniciativas para combatir este delito, incluyendo Stop Child Abuse – Trace An Object, que permite a la ciudadanía aportar información para identificar objetos relacionados con investigaciones en curso. Por su parte, la Policía Federal Australiana lanzó su propia versión de esta iniciativa en 2021, enfocándose en la región de Asia-Pacífico.

En conclusión, el cierre de Kidflix y la Operación Stream representan un gran avance en la lucha contra el CSAM en la web oscura. Sin embargo, la constante evolución de las plataformas ilícitas y la aparición de nuevas tecnologías, como la IA generativa, plantean desafíos adicionales para las autoridades. La cooperación internacional sigue siendo clave para identificar y procesar a los responsables, así como para proteger a las víctimas de estos crímenes atroces.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta