Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas1 2 3 ... 219

Noticias Informáticas / Modelos de IA maliciosos están detrás de una nueva ola de ciberdelitos

Hoy a las 12:03:06 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva investigación de Cisco Talos revela un aumento en el uso indebido por parte de ciberdelincuentes de los Modelos de Lenguaje Grandes (LLM) para potenciar sus actividades ilícitas. Estas potentes herramientas de IA, conocidas por generar texto, resolver problemas y escribir código, están siendo manipuladas para lanzar ataques más sofisticados y generalizados.

Para su información, los LLM están diseñados con funciones de seguridad integradas, como la alineación (entrenamiento para minimizar el sesgo) y las barreras de seguridad (mecanismos en tiempo real para evitar resultados dañinos). Por ejemplo, un LLM legítimo como ChatGPT se negaría a generar un correo electrónico de phishing. Sin embargo, los ciberdelincuentes buscan activamente formas de evadir estas protecciones.

La investigación de Talos, destaca tres métodos principales utilizados por los adversarios:

LLM sin censura: Estos modelos, al carecer de restricciones de seguridad, generan fácilmente contenido sensible o dañino. Algunos ejemplos son OnionGPT y WhiteRabbitNeo, que pueden generar herramientas de seguridad ofensivas o correos electrónicos de phishing. Marcos como Ollama permiten a los usuarios ejecutar modelos sin censura, como Llama 2 Uncensored, en sus propias máquinas.

LLMs Criminales a Medida: Algunos ciberdelincuentes emprendedores están desarrollando sus propios LLMs, diseñados específicamente para fines maliciosos. Nombres como GhostGPT, WormGPT, DarkGPT, DarkestGPT y FraudGPT se anuncian en la dark web, ofreciendo funciones como la creación de malware, páginas de phishing y herramientas de hacking.

Jailbreaking de LLMs Legítimos: Esto implica engañar a los LLMs existentes para que ignoren sus protocolos de seguridad mediante ingeniosas técnicas de inyección de prompts. Los métodos observados incluyen el uso de lenguaje codificado (como Base64), la adición de texto aleatorio (sufijos adversariales), escenarios de rol (por ejemplo, DAN o jailbreak de la abuela) e incluso la explotación de la autoconciencia del modelo (meta prompting).

La dark web se ha convertido en un mercado para estos LLMs maliciosos. FraudGPT, por ejemplo, anunciaba funciones que iban desde la escritura de código malicioso y la creación de malware indetectable hasta la detección de sitios web vulnerables y la generación de contenido de phishing.

Sin embargo, el mercado no está exento de riesgos para los propios delincuentes: los investigadores de Talos descubrieron que el supuesto desarrollador de FraudGPT, CanadianKingpin12, estaba estafando a compradores potenciales de criptomonedas prometiéndoles un producto inexistente.

Más allá de la generación directa de contenido ilícito, los ciberdelincuentes utilizan los LLM para tareas similares a las de los usuarios legítimos, pero con un toque malicioso. En diciembre de 2024, Anthropic, desarrolladores de Claude LLM, señaló la programación, la creación de contenido y la investigación como los principales usos de su modelo. De igual forma, los LLM delictivos se utilizan para:

Programación: Creación de ransomware, troyanos de acceso remoto, limpiadores y ofuscación de código.

Creación de contenido: Generación de correos electrónicos de phishing, páginas de destino y archivos de configuración convincentes.

Investigación: Verificación de números de tarjetas de crédito robadas, análisis de vulnerabilidades e incluso la generación de ideas para nuevos esquemas delictivos.

Los LLM también se están convirtiendo en objetivos. Los atacantes distribuyen modelos con puertas traseras en plataformas como Hugging Face, integrando código malicioso que se ejecuta al descargarse. Además, los LLM que utilizan fuentes de datos externas (Recuperación de Generación Aumentada o RAG) pueden ser vulnerables al envenenamiento de datos, donde los atacantes manipulan los datos para influir en las respuestas del LLM.

Cisco Talos anticipa que, a medida que la tecnología de IA continúa avanzando, los ciberdelincuentes adoptarán cada vez más LLM para agilizar sus operaciones, actuando efectivamente como un "multiplicador de fuerza" para los métodos de ataque existentes en lugar de crear "armas cibernéticas" completamente nuevas.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Fallas de Bluetooth podrían permitir que le espíen a través de su micrófono

Junio 29, 2025, 11:58:58 PM

Las vulnerabilidades que afectan a un chipset Bluetooth presente en más de dos docenas de dispositivos de audio de diez fabricantes pueden explotarse para espiar o robar información confidencial.

Investigadores confirmaron que 29 dispositivos de Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs y Teufel están afectados.

La lista de productos afectados incluye altavoces, auriculares, audífonos y micrófonos inalámbricos.

Los problemas de seguridad podrían aprovecharse para tomar el control de un producto vulnerable y, en algunos teléfonos, un atacante dentro del alcance de conexión podría extraer el historial de llamadas y los contactos.

Espionaje a través de una conexión Bluetooth

En la conferencia de seguridad TROOPERS celebrada en Alemania, investigadores de la empresa de ciberseguridad ERNW revelaron tres vulnerabilidades en los sistemas en chip (SoC) Airoha, ampliamente utilizados en los auriculares True Wireless Stereo (TWS).

Los problemas no son críticos y, además de la proximidad física (alcance del Bluetooth), su explotación requiere un alto nivel de conocimientos técnicos. Recibieron los siguientes identificadores:

CVE-2025-20700 (6.7, puntuación de gravedad media): falta de autenticación para servicios GATT

CVE-2025-20701 (6.7, puntuación de gravedad media): falta de autenticación para Bluetooth BR/EDR

CVE-2025-20702 (7.5, puntuación de gravedad alta): capacidades críticas de un protocolo personalizado

Los investigadores de ERNW afirman haber creado un código de explotación de prueba de concepto que les permitió leer el contenido multimedia que se estaba reproduciendo desde los auriculares objetivo.

Leyendo la canción que se está reproduciendo actualmente desde un dispositivo Airoha vulnerable

Si bien un ataque de este tipo puede no representar un gran riesgo, otros escenarios que aprovechan los tres fallos podrían permitir a un atacante secuestrar la conexión entre el teléfono móvil y un dispositivo de audio Bluetooth y utilizar el perfil de manos libres Bluetooth (HFP) para enviar comandos al teléfono.

"El rango de comandos disponibles depende del sistema operativo móvil, pero todas las plataformas principales permiten al menos iniciar y recibir llamadas" - ERNW

Los investigadores lograron iniciar una llamada a un número arbitrario extrayendo las claves de enlace Bluetooth de la memoria de un dispositivo vulnerable.

Afirman que, dependiendo de la configuración del teléfono, un atacante también podría recuperar el historial de llamadas y los contactos.

También lograron iniciar una llamada y "espiar con éxito conversaciones o sonidos dentro del alcance auditivo del teléfono".

Además, el firmware del dispositivo vulnerable podría reescribirse para permitir la ejecución remota de código, facilitando así la implementación de un exploit susceptible de ser atacado por gusanos y propagarse a través de múltiples dispositivos.

Se aplican restricciones de ataque.

Aunque los investigadores de ERNW presentan escenarios de ataque graves, la implementación práctica a gran escala está limitada por ciertas limitaciones.

"Sí, la idea de que alguien pueda piratear tus auriculares, suplantarlos ante tu teléfono y potencialmente hacer llamadas o espiarte suena bastante alarmante".

"Sí, técnicamente es grave", afirman los investigadores, añadiendo que "los ataques reales son complejos de ejecutar".

La necesidad de sofisticación técnica y proximidad física limita estos ataques a objetivos de alto valor, como aquellos en la diplomacia, el periodismo, el activismo o sectores sensibles.

Airoha ha lanzado un SDK actualizado que incorpora las mitigaciones necesarias, y los fabricantes de dispositivos han comenzado el desarrollo y la distribución de parches.

Sin embargo, la publicación alemana Heise afirma que las actualizaciones de firmware más recientes para más de la mitad de los dispositivos afectados son del 27 de mayo o anteriores, antes de que Airoha entregara el SDK actualizado a sus clientes.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Facebook quiere que Meta AI acceda a tus fotos privadas no publicadas

Junio 29, 2025, 11:56:27 PM

Facebook lleva años usando tus fotos públicas, publicaciones e interacciones para entrenar su inteligencia artificial (IA), pero ahora quiere acceder a fotos que ni siquiera has subido.

Según TechCrunch, cuando los usuarios de Facebook crean una nueva historia, reciben una ventana emergente que les pregunta si desean activar el "procesamiento en la nube" para recibir sugerencias creativas.

Al hacer clic en "Permitir", Facebook genera nuevo contenido a partir de tu galería, como "collages, resúmenes, reestilizaciones con IA o temas para fotos". La plataforma explica que tomará contenido de tu galería y lo subirá a su nube de forma continua para generar ideas para ti.

Según el mensaje, Facebook no usará tu contenido para la segmentación de anuncios. Sin embargo, al hacer clic en "Permitir", también aceptas las Condiciones de Servicio de IA de Meta, que permiten que la IA analice tus fotos y rasgos faciales. Esto incluye a las personas y objetos que aparecen en las fotos, así como la fecha en que se tomaron.

Los términos también otorgan a Meta el derecho a conservar y utilizar cualquier información personal que usted haya compartido con ellos durante el proceso. La empresa no especifica la naturaleza de dichos datos, pero los denomina "información que usted envíe como avisos, comentarios u otro contenido".

Meta insiste en que la función es totalmente voluntaria y puede desactivarse cuando el usuario lo desee.

"Estas sugerencias son solo opcionales y solo se muestran a ti, a menos que decidas compartirlas, y puedes desactivarlas en cualquier momento", continuó. "El contenido del carrete de la cámara se puede usar para mejorar estas sugerencias, pero no para mejorar los modelos de IA en esta prueba", dijo Maria Cubeta, portavoz de Meta.

El gerente de relaciones públicas de Meta, Ryan Daniels, declaró a The Verge que actualmente no se está entrenando con fotos inéditas con esta nueva función. "[El titular de The Verge] implica que actualmente estamos entrenando nuestros modelos de IA con estas fotos, lo cual no es cierto. Esta prueba no utiliza fotos de personas para mejorar ni entrenar nuestros modelos de IA".

Si bien Google indica explícitamente en sus términos que no entrena modelos de IA generativos con datos personales obtenidos de Google Fotos, los términos de IA de Meta son imprecisos y no especifican si estas fotos inéditas se pueden usar para fines de entrenamiento.

La función se está probando actualmente en EE. UU. y Canadá.

Facebook utilizó publicaciones públicas de miles de millones de sus usuarios desde 2007 para mejorar significativamente su IA.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Brecha de seguridad de la aseguradora española Asemas

Junio 27, 2025, 03:25:15 AM

Asemas, una importante mutua de seguros española, ha sido presuntamente víctima de una importante filtración de datos. Un atacante publicó en un foro de la dark web y afirma estar en posesión de una base de datos con 11 millones de registros pertenecientes a la aseguradora.

La publicación, del 26 de junio de 2025, ofrece la base de datos completa a la venta e incluye una muestra para, aparentemente, validar sus afirmaciones.

Fundada en 1983, Asemas es un proveedor clave de seguros de responsabilidad civil profesional para arquitectos y otros profesionales del sector de la construcción español. La compañía asegura tanto a particulares como a empresas, por lo que el alcance de la presunta filtración es especialmente preocupante para este sector profesional. El origen de los datos parece ser una vulneración directa de las bases de datos de clientes y empresas de la compañía.

Los datos comprometidos supuestamente contienen una gran cantidad de información personal y financiera sensible.

Si se verifican las afirmaciones, este incidente podría exponer a las víctimas a un alto riesgo de fraude, robo de identidad y ataques de phishing dirigidos.

La siguiente información supuestamente está incluida en la base de datos filtrada:

ID del cliente

Nombre completo

Fecha de nacimiento

Documento de identidad

Tipo de cliente

Dirección

Código postal y ciudad

Número de teléfono

Correo electrónico

IBAN (Número de cuenta bancaria internacional)

Método de pago

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / El Doxxing de “IntelBroker”

Junio 27, 2025, 02:44:56 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las autoridades estadounidenses han acusado a Kai Logan West, ciudadano británico y conocido en línea como "IntelBroker", de una serie de filtraciones de datos de alto perfil que, en conjunto, causaron al menos 25 millones de dólares en daños a empresas de todo el mundo. El joven de 23 años fue arrestado en Francia en febrero de 2025 y ahora se enfrenta a la extradición a Estados Unidos para ser juzgado en el Distrito Sur de Nueva York.

Según informa No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, el arresto de IntelBroker fue seguido por el de varios otros, incluyendo a cuatro personas vinculadas al grupo de hackers ShinyHunters. Tanto IntelBroker como miembros de ShinyHunters participaron en la administración y moderación del foro sobre ciberdelitos y filtraciones de datos BreachForums.

La denuncia no sellada (PDF), fechada en febrero de 2025, expone la investigación de dos años del FBI sobre las operaciones de delitos cibernéticos de West, conectándolo con docenas de violaciones de datos, ventas de datos robados y el liderazgo de un colectivo de piratas informáticos que opera en foros de la web clara y oscura.

¿Quién es IntelBroker?

Usando alias como "IntelBroker" y "Kyle Northern", West se forjó una reputación en un foro de la web clara y oscura, conocido en la acusación como "Forum-1" (BreachForums). Operando bajo el nombre de un grupo de hackers llamado CyberN (anteriormente "The Boys"), IntelBroker ofrecía bases de datos pirateadas de agencias gubernamentales, proveedores de atención médica, empresas de telecomunicaciones y proveedores de servicios de internet.

Entre 2023 y principios de 2025, West fue autor de al menos 158 hilos que ofrecían datos robados en Forum-1, 41 de ellos relacionados con empresas estadounidenses. El FBI señala que se solicitaron al menos 2 millones de dólares en criptomonedas Monero a cambio de la información robada.

En 2024, IntelBroker fue catalogado como el "propietario" de Forum-1, y su fama se disparó al revelar gratuitamente algunas filtraciones de datos para aumentar su credibilidad, conseguir seguidores y atraer compradores.

Cómo el FBI rastreó a IntelBroker

Lo que West desconocía era que agentes del FBI lo vigilaban de cerca. La agencia desplegó agentes encubiertos que se hicieron pasar por compradores en el Foro-1. En al menos dos ocasiones, los agentes compraron datos robados directamente a IntelBroker.

En enero de 2023, un agente compró una clave API y credenciales de inicio de sesión para una empresa denominada "Víctima-7". Aunque el valor de las credenciales era limitado, la transacción se convirtió en un elemento clave para rastrear su identidad cuando IntelBroker solicitó el pago en Bitcoin (en lugar de Monero) y proporcionó una dirección de billetera que podía rastrearse en la cadena de bloques.

Los analistas de blockchain del FBI rastrearon el dinero y descubrieron que:

La billetera Bitcoin utilizada para la transacción se había generado desde otra billetera vinculada a una cuenta en una plataforma financiera llamada Ramp.

Esa cuenta de Ramp se registró con un permiso de conducir provisional del Reino Unido emitido a nombre de Kai Logan West.
La misma identidad, Kai West, también poseía una cuenta de Coinbase bajo el alias Kyle Northern, pero con verificación KYC, lo que confirma que se trataba de la misma persona.

Permiso de conducir provisional de Kai West (imagen a través de una denuncia del Departamento de Justicia de EE. UU.)

Para conectar aún más los hechos, ambas cuentas estaban vinculadas a una dirección de Gmail que West usaba para asuntos personales, incluyendo:

Selfies almacenados en la nube

Recibos y documentos de identidad

Comunicaciones sobre alojamiento y matrícula en universidades del Reino Unido

Vídeos que mostraban herramientas de red como "GPRS Smash"

El correo electrónico también incluía un certificado de estudiante que demostraba que West estaba matriculado en un programa de ciberseguridad.

Huellas en línea y actividad en el foro

West no solo realizó transacciones descuidadamente, sino que también se expuso al vincular su actividad en línea con su comportamiento personal. Sus publicaciones en IntelBroker en el Foro-1 a menudo hacían referencia a vídeos de YouTube que acababa de ver desde su cuenta de correo electrónico personal, y actualizaba periódicamente su firma para incluir a los miembros de su grupo de hackers, lo que facilitaba rastrear su participación en múltiples hilos.

Cuando el Foro-1 fue confiscado y cerrado en 2024 y luego relanzado, todas las publicaciones antiguas heredaron la firma actualizada, creando un rastro consistente de la actividad y las afiliaciones de West que se remonta a principios de 2023.

Uno de los videos de YouTube publicados por IntelBroker en BreachForums (imagen a través de una denuncia del Departamento de Justicia de EE. UU.)

Lista de Víctimas: Telecomunicaciones, Salud, Proveedores de Servicios de Internet

La acusación formal describe al menos seis víctimas, mencionadas únicamente como Víctimas 1 a 6. La Víctima 1, un proveedor de telecomunicaciones, sufrió la exfiltración y eliminación de datos de un servidor en Manhattan, lo que provocó daños estimados en cientos de miles de dólares.

La Víctima 3, un proveedor municipal de servicios de salud, sufrió el robo de datos personales y de salud de más de 56.000 personas, datos que West vendió posteriormente a un agente encubierto del FBI por 1.000 dólares en Monero. La Víctima 6, un proveedor de servicios de internet, fue comprometida utilizando información de filtraciones previas para vulnerar un servidor interno.

En cada caso, West ofreció muestras de prueba públicamente, negoció ventas mediante mensajes privados y solo aceptó Monero para mantener el anonimato, aunque el rastro documental se puso al día.

Las filtraciones de datos de IntelBroker y que reivindica:

AMD
Apple
Cisco
Nokia
Departamento de Defensa de EE. UU.
Europol
T-Mobile
Robert Half
Space Eyes
Home Depot
Tecnología en Asia
General Electric
Aeropuerto Internacional de Los Ángeles
HSBC y Barclays Bank
Facebook Marketplace
Servicio de comestibles Weee!
Hipermercado Lulu de los EAU
Contratista federal estadounidense Acuity
Hewlett Packard Enterprise (HPE)
Revista MIT Technology Review
Una empresa de ciberseguridad sin nombre, pero de primera línea

Cargos Penales

West ha sido acusado de cuatro delitos federales:

Fraude electrónico

Conspiración para cometer fraude electrónico

Conspiración para cometer intrusiones informáticas

Acceso a una computadora protegida para defraudar y obtener valor

Cada de estos delitos conlleva una posible pena de varios años de prisión, especialmente si involucran datos de salud o afectan infraestructuras críticas.

El agente especial del FBI, Carson Hughes, y el fiscal federal Jay Clayton destacaron el alcance global y el peligro de las operaciones de IntelBroker. El FBI calificó el caso como una "advertencia" para los ciberdelincuentes que creen que el anonimato en línea los protege de las consecuencias.

¿Trabajó IntelBroker para la Agencia Nacional contra el Crimen del Reino Unido?

Kai West se presentó profesionalmente como investigador de ciberseguridad y operaba bajo dos identidades distintas en LinkedIn: Kyle Northern y K West. Esto fue detectado inicialmente por Nathaniel Fried, cofundador y director ejecutivo de 0xbowio, quien compartió detalles de los perfiles duales de West con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Cabe destacar que el perfil de Kyle Northern afirmaba haber trabajado como investigador de seguridad en prácticas en la Agencia Nacional contra el Crimen (NCA) del Reino Unido de septiembre a octubre de 2019. De ser cierto, este puesto podría haber implicado el acceso a sistemas clasificados, ya que la NCA se ocupa de la delincuencia organizada grave y la seguridad nacional. Si bien la afiliación a la NCA sigue sin verificarse, la supuesta experiencia de West en ciberseguridad y su trayectoria académica sugieren que esta posibilidad no debe descartarse por completo.

Kai Logan West en LinkedIn

West en Francia mientras EE. UU. solicita su extradición

West permanece bajo custodia francesa, y las autoridades estadounidenses buscan activamente su extradición. De ser declarado culpable, podría enfrentar décadas de prisión. Mientras tanto, Forum-1 ha estado fuera de servicio desde abril de 2025, supuestamente debido a una vulnerabilidad de día cero en MyBB. Muchos de sus miembros han migrado desde entonces a otras plataformas, como DarkForums y el foro de ciberdelincuencia en ruso XSS.

La exposición de IntelBroker destaca como un importante desmantelamiento de ciberdelincuencia. Lo hizo posible gracias a una combinación de trabajo encubierto del FBI, rastreo de criptomonedas e incluso evidencia de correos electrónicos tradicionales, todo lo cual ayudó a rastrear a una de las figuras más conocidas en los foros de ciberdelincuencia.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / BreachForums: Miembros de ShinyHunters arrestados

Junio 27, 2025, 02:38:15 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En un importante avance contra la ciberdelincuencia global, las autoridades francesas han detenido a varias personas clave, consideradas fundamentales en la operación de BreachForums, un conocido mercado en línea donde se compra y vende información robada.

Las detenciones, llevadas a cabo por la Brigada de Ciberdelincuencia de Francia (BL2C) a principios de esta semana, se centran en figuras profundamente arraigadas en filtraciones de datos de alto perfil y en los persistentes intentos de reactivar el foro ilícito tras cierres previos.

Un comunicado de prensa de la Fiscalía de París confirma la detención el lunes de cuatro personas, identificadas por sus nombres de usuario ShinyHunters, Hollow, Noct y Depressed, todas veinteañeros.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estas detenciones son la continuación de una operación anterior realizada en febrero de 2025, en la que se detuvo a otro sospechoso destacado, conocido como IntelBroker, de nacionalidad británica. Cabe destacar que IntelBroker fue detenido en Francia.

Estos arrestos son particularmente significativos ya que se sospecha que estos individuos llevaron a cabo importantes violaciones de datos contra importantes entidades francesas, incluido el gigante minorista Boulanger, el proveedor de telecomunicaciones SFR, la agencia de empleo France Travail y la Federación Francesa de Fútbol.

Se estima que la filtración de datos que afectó únicamente a France Travail comprometió la información personal confidencial de la asombrosa cifra de 43 millones de personas.

Los nombres ShinyHunters e IntelBroker se han vinculado a numerosos incidentes graves de ciberdelincuencia. ShinyHunters se ha asociado con filtraciones de datos a gran escala, como las que afectaron a Salesforce, PowerSchool y los ataques de Snowflake que afectaron a empresas como Santander, Ticketmaster y AT&T. Se cree que este alias representa a un grupo de actores de amenazas, no a una sola persona.

IntelBroker saltó a la fama a través de violaciones de datos muy publicitadas dirigidas a organizaciones como Facebook Marketplace, Europol, General Electric, AMD, Apple HSBC y Barclays Bank, Space Eyes, Home Depot, Lulu Hypermarket de los Emiratos Árabes Unidos y US Contractor Acuity, y la violación de datos de T-Mobile, entre otros.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Dudas y pedidos generales / Re:[SOLUCIONADO] Herramientas de Doxeo

Junio 27, 2025, 02:05:01 AM

Aquí tiene otro gran ejemplo de doxxing realizado por los gobiernos de distintas naciones encabezado por Estados Unidos.

Este hacker es uno de los más notorios de los últimos tiempos. No era cualquier cosa y sin lugar a dudas un profesional en el mundo del cibercrimen en su forma de hacer. Los "ShinyHunters" tampoco eran improvisados novatos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En la noticia se hace una breve reseña al método de identificación que, "según dicen ellos" fue a través del rastreo de una cuenta de cripto; entre otras trazas que cruzaron por email, plataformas de servicios, etc., como le expliqué en mi primera respuesta.

Los gobiernos y en especial US, nunca revelan el método empleado. No en vano las grande compañías poseedoras de IA, están recibiendo millonarios contratos por entidades gubernamentales como el Pentágono, el propio FBI, la CIA, etc.

Noticias Informáticas / Identificado el célebre hacker “IntelBroker” y acusado por el FBI

Junio 27, 2025, 01:54:04 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un ciudadano británico conocido en línea como "IntelBroker" ha sido acusado por Estados Unidos de robar y vender datos confidenciales de víctimas de todo el mundo, lo que ha causado daños estimados en 25 millones de dólares.

La acusación formal, revelada hoy por la Fiscalía de Estados Unidos para el Distrito Sur de Nueva York, acusa a Kai West, un británico de 25 años, de usar el nombre de usuario "IntelBroker" en una campaña que duró años para robar y vender datos de agencias y redes gubernamentales, empresas e infraestructuras críticas.

Según BleepingComputer, estos datos se vendían con mayor frecuencia en el foro de hackers BreachForums.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La información robada incluía historiales médicos confidenciales, archivos internos de empresas de telecomunicaciones y ciberseguridad, y datos de usuarios de plataformas en línea.

IntelBroker se ha convertido en uno de los ciberdelincuentes más notorios de los últimos años, vinculado a filtraciones de datos en Europol, General Electric, Weee!, AMD, HPE, Nokia y DC Health Link.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La acusación formal de cuatro cargos imputa a West de conspiración para cometer intrusiones informáticas, fraude electrónico, conspiración para cometer fraude electrónico y acceso a una computadora protegida para obtener información. Tres de los cargos conllevan una pena máxima de 25 años de prisión.

Según el Departamento de Justicia, las autoridades han calculado que West causó aproximadamente 25 millones de dólares en daños a decenas de víctimas.

El anuncio del Departamento de Justicia coincide con la publicación hoy de la detención de West por parte de medios franceses en febrero de 2025. Estados Unidos afirma que busca extraditarlo para que enfrente cargos en Nueva York.

La denuncia detalla cómo el FBI confirmó la identidad de IntelBroker, también conocido como "Kyle Northern".

En enero de 2023, un agente encubierto supuestamente compró una clave API robada de IntelBroker. La dirección de Bitcoin utilizada en la venta se rastreó hasta una billetera creada previamente en la plataforma de banca en línea Ramp, propiedad de una cuenta registrada con un permiso de conducir del Reino Unido a nombre de West.

Según informes, la misma cuenta de correo electrónico utilizada en la cuenta de Ramp estaba vinculada a una cuenta de Coinbase registrada bajo el alias "Kyle Northern", una identidad conocida de West. La cuenta contenía facturas, correos electrónicos de su universidad y una foto de su licencia de conducir, lo que permitió al FBI vincular a Kai West con la identidad de IntelBroker.

"El alias IntelBroker ha causado millones en daños a víctimas de todo el mundo", declaró el fiscal federal Jay Clayton.

"Esta acción refleja el compromiso del FBI de perseguir a los ciberdelincuentes en todo el mundo. Con demasiada frecuencia, los neoyorquinos son víctimas de ciberataques intencionales y nuestra oficina se compromete a llevar a estos actores remotos ante la justicia".

En noticias relacionadas, otras cuatro personas fueron arrestadas en Francia esta semana, presuntamente los administradores de los foros de piratería BreachForums.

IntelBroker también fue administrador del foro durante un tiempo, pero renunció en enero.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Dron en miniatura que parece un mosquito

Junio 24, 2025, 12:44:11 PM

La Universidad Nacional de Tecnología de Defensa de China (NUDT) ha estado trabajando en un microdron que se asemeja a un mosquito. El dron está diseñado principalmente para operaciones militares.

Lo que hace especial al dron es su tamaño extremadamente pequeño, lo que facilita su ocultación.

El dispositivo incluye dos alas transparentes que se asemejan a las de un insecto y cuatro patas delgadas que podrían usarse para aterrizar.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Uno de los principales usos de estos drones es la observación militar o las misiones especiales. Esto es posible gracias a que el dron incorpora sistemas de energía avanzados, electrónica de control y sensores en un cuerpo diminuto, informa Interesting Engineering.

Estos dispositivos son valiosos debido a su pequeño tamaño, ya que son difíciles de detectar en operaciones encubiertas o de espionaje.

Además de su uso militar, los minidrones también podrían ser valiosos en industrias como la médica, donde podrían emplearse en cirugía o diagnóstico, así como en la monitorización ambiental para detectar niveles de contaminación o responder a desastres.

A pesar de sus ventajas, estos drones son difíciles de construir debido a su minúsculo diseño, ya que el dispositivo incluye componentes como baterías y sensores.

Los microdrones y microrrobots se están volviendo populares gracias a su pequeño tamaño y sus amplias capacidades.

Recientemente, ingenieros crearon un robot volador que se asemeja a un abejorro. Los mismos ingenieros de la Universidad de California en Berkeley también desarrollaron un robot "cucaracha" que puede sobrevivir después de ser pisado.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10

Noticias Informáticas / Bug de WinRAR abre la puerta a ejecución remota de código

Junio 24, 2025, 12:42:27 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad recientemente descubierta en WinRAR de RARLAB, la herramienta de compresión de larga trayectoria para Windows, ha expuesto a millones de usuarios a una grave falla Path Traversal que podría provocar la ejecución remota de código (RCE).

Identificada como CVE-2025-6218 y con una calificación CVSS de 7.8, esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario en el equipo de la víctima simplemente al obligarla a abrir un archivo comprimido especialmente diseñado.

"Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de WinRAR de RARLAB", advierte el aviso de ZeroDayInitiative.

La raíz del problema reside en cómo WinRAR procesa las rutas dentro de los archivos comprimidos. La falla reside en una validación insuficiente al extraer las entradas del archivo, concretamente en la imposibilidad de depurar correctamente los valores de las rutas creadas.

Al incluir secuencias de recorrido de directorio (como ../) en la ruta de un archivo, un atacante puede provocar que WinRAR extraiga archivos a ubicaciones inesperadas en el sistema de la víctima.

"La falla específica se encuentra en el manejo de las rutas de archivo dentro de los archivos comprimidos. Una ruta de archivo manipulada puede provocar que el proceso acceda a directorios no deseados", explica el aviso.

Una vez que el atacante escribe con éxito un archivo en un directorio sensible, como una carpeta de inicio o una ruta ejecutable del sistema, puede desencadenar la ejecución de código arbitrario cuando la víctima abre o reinicia el sistema.

Esta vulnerabilidad requiere una pequeña pero peligrosa interacción del usuario. Para explotarla, los atacantes deben convencer a la víctima de que abra un archivo comprimido malicioso, un escenario que se logra fácilmente mediante phishing, malvertising o descargas no autorizadas.

La carga maliciosa suele camuflarse como un archivo comprimido legítimo, ocultando el exploit dentro de contenido aparentemente inofensivo.

RARLAB respondió rápidamente al descubrimiento y la falla se ha solucionado en WinRAR 7.12 Beta 1. Se recomienda encarecidamente a los usuarios que actualicen su sistema inmediatamente para garantizar la protección contra esta y otras vulnerabilidades potencialmente no reveladas.

Fuente:
ZeroDayInitiative
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía:
SecurityOnline
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11

Noticias Informáticas / Malware en Google Play y la App Store de Apple roba fotos y criptomonedas

Junio 24, 2025, 12:39:54 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo malware móvil que roba criptomonedas, llamado SparkKitty, se encontró en aplicaciones de Google Play y la App Store de Apple, y está dirigido a dispositivos Android e iOS.

Este malware es una posible evolución de SparkCat, descubierto por Kaspersky en enero. SparkCat utilizaba reconocimiento óptico de caracteres (OCR) para robar frases de recuperación de monederos de criptomonedas de imágenes guardadas en dispositivos infectados.

Al instalar monederos de criptomonedas, el proceso indica a los usuarios que anoten la frase de recuperación y la guarden en un lugar seguro y sin conexión.

El acceso a esta frase semilla puede utilizarse para restaurar un monedero de criptomonedas y sus activos almacenados en otro dispositivo, lo que los convierte en un objetivo valioso para los cibercriminales.

Aunque tomar una captura de pantalla de la frase semilla nunca es buena idea, algunas personas lo hacen por comodidad.

Un informe de Kaspersky afirma que el nuevo malware SparkKitty roba indiscriminadamente todas las imágenes de la galería de fotos de un dispositivo infectado.

Si bien Kaspersky cree que el malware apunta a las frases semilla de billeteras criptográficas, los datos robados también podrían usarse para otros fines maliciosos, como la extorsión, si las imágenes contienen contenido confidencial.

El malware SparkKitty

La campaña SparkKitty lleva activa al menos desde febrero de 2024, propagándose tanto en las tiendas de aplicaciones oficiales de Google y Apple como en plataformas no oficiales.

SparkKitty en Apple App Store

Las aplicaciones maliciosas identificadas por Kaspersky son 币coin, disponible en la App Store de Apple, y SOEX, disponible en Google Play. Ambas habían sido eliminadas al momento de escribir este artículo.

SOEX es una aplicación de mensajería con funciones de intercambio de criptomonedas, con más de 10 000 descargas a través de la tienda oficial de aplicaciones de Android.

The malware app en Google Play

Kaspersky también descubrió clones modificados de TikTok que incorporan tiendas de criptomonedas en línea falsas, aplicaciones de juegos de azar, juegos con temática para adultos y aplicaciones de casino que contienen SparkKitty, distribuidas a través de canales no oficiales.

Aplicación clon de TikTok instalada a través de un perfil de iOS

En iOS, SparkKitty se integra como frameworks falsos (AFNetworking.framework, libswiftDarwin.dylib) y, en ocasiones, se distribuye a través de perfiles de aprovisionamiento empresarial.

En Android, el malware se integra en aplicaciones Java/Kotlin, algunas de las cuales utilizan módulos maliciosos Xposed/LSPosed.

El framework malicioso utiliza el método Objective-C '+load' para ejecutar automáticamente su código al iniciar la aplicación en iOS. Se realiza una comprobación de configuración leyendo las claves del archivo Info.plist de la aplicación; la ejecución solo se realiza si los valores coinciden con las cadenas esperadas.

En Android, el malware se activa al iniciar la aplicación o al realizar acciones específicas del usuario, como abrir un tipo de pantalla específico. Tras la activación, recupera y descifra un archivo de configuración remoto mediante AES-256 (modo ECB) para obtener las URL C2.

En iOS, el malware solicita acceso a la galería de fotos, mientras que, en Android, la aplicación maliciosa solicita al usuario permisos de almacenamiento para acceder a las imágenes.

Si se concede permiso en iOS, el malware monitorea la galería para detectar cambios y extrae cualquier imagen nueva o no cargada previamente.

Código de exfiltración de imágenes en la variante iOS

En Android, el malware sube imágenes de la galería, junto con identificadores de dispositivo y metadatos. Kaspersky encontró algunas versiones de SparkKitty que utilizan el OCR de Google ML Kit para detectar y subir únicamente imágenes con texto.

Exfiltración de imágenes en Android

SparkKitty es otro ejemplo de malware que se infiltra en las tiendas de aplicaciones oficiales, lo que pone de manifiesto una vez más que los usuarios no deben confiar ciegamente en el software que se distribuye en canales de distribución verificados.

Todas las aplicaciones deben ser examinadas minuciosamente para detectar indicios de fraude, como reseñas falsas, editores con antecedentes o historiales dudosos, bajas descargas combinadas con un alto número de reseñas positivas, etc.

Durante la instalación, las solicitudes de almacenamiento de acceso a la galería deben considerarse sospechosas y denegarse si no están relacionadas con la funcionalidad principal de la aplicación.

En iOS, evite instalar perfiles de configuración o certificados a menos que provengan de una fuente confiable. En Android, active Google Play Protect en la configuración y realice análisis completos del dispositivo con regularidad.

En definitiva, quienes poseen criptomonedas no deben guardar imágenes de las frases semilla de su monedero en sus dispositivos móviles, ya que ahora son blanco activo del malware. En su lugar, guárdelas sin conexión en un lugar seguro.

BleepingComputer se ha puesto en contacto con Apple y Google para solicitar comentarios sobre cómo estas aplicaciones se introdujeron en sus tiendas de aplicaciones.

"La aplicación denunciada ha sido eliminada de Google Play y su desarrollador ha sido baneado", informó Google a BleepingComputer.

"Los usuarios de Android están protegidos automáticamente contra esta aplicación, independientemente de la fuente de descarga, gracias a Google Play Protect, que está activado por defecto en los dispositivos Android con los Servicios de Google Play".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12

Noticias Informáticas / Putin autoriza app de mensajería estatal para combatir a WhatsApp y Telegram

Junio 24, 2025, 12:35:58 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

MOSCÚ, 24 de junio (Reuters) - El presidente ruso, Vladimir Putin, firmó el martes una ley que autoriza el desarrollo de una aplicación de mensajería estatal integrada con los servicios gubernamentales, en un esfuerzo por reducir la dependencia de plataformas como WhatsApp y Telegram. Rusia lleva mucho tiempo buscando establecer lo que denomina soberanía digital mediante la promoción de servicios locales. Su afán por reemplazar las plataformas tecnológicas extranjeras se agudizó tras la retirada de algunas empresas occidentales del mercado ruso tras la invasión de Ucrania por parte de Moscú en febrero de 2022.

Los legisladores rusos afirman que la aplicación estatal tendrá funciones que plataformas como Telegram y WhatsApp no tienen. Los críticos afirman que el hecho de que Rusia ejerza control estatal sobre ella supone riesgos para la privacidad y las libertades personales.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Mikhail Klimarev, director de la Sociedad de Protección de Internet, un grupo ruso de derechos digitales, declaró a principios de este mes que esperaba que Rusia redujera la velocidad de WhatsApp y Telegram para animar a los usuarios a cambiarse a la nueva aplicación.

Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13

Noticias Informáticas / WhatsApp está prohibido en los dispositivos de la Cámara de Representantes de US

Junio 24, 2025, 12:35:06 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

WASHINGTON, 23 de junio (Reuters) - El servicio de mensajería WhatsApp de Meta Platforms ha sido prohibido en todos los dispositivos de la Cámara de Representantes de EE. UU., según un memorando enviado a todo el personal de la Cámara el lunes.

El aviso indica que la Oficina de Ciberseguridad ha considerado que WhatsApp representa un alto riesgo para los usuarios debido a la falta de transparencia en la protección de sus datos, la ausencia de cifrado de datos almacenados y los posibles riesgos de seguridad que conlleva su uso.

El memorando, emitido por el director administrativo, recomendaba el uso de otras aplicaciones de mensajería, como la plataforma Teams de Microsoft Corp, Wickr de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Signal, y iMessage y FaceTime de Apple.

Meta expresó su total desacuerdo con la medida, según declaró un portavoz de la compañía, señalando que la plataforma ofrece un mayor nivel de seguridad que las demás aplicaciones aprobadas.

En enero, un funcionario de WhatsApp afirmó que la empresa israelí de software espía Paragon Solutions había atacado a decenas de sus usuarios, incluidos periodistas y miembros de la sociedad civil.

La Cámara de Representantes ha prohibido otras aplicaciones en los dispositivos del personal en el pasado, incluyendo la aplicación de vídeos cortos TikTok en 2022, debido a problemas de seguridad.

Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14

Noticias Informáticas / Descubren fallas críticas de Linux que permiten exploits de acceso root

Junio 19, 2025, 12:43:35 AM

Se han descubierto dos nuevas vulnerabilidades en componentes de Linux ampliamente implementados que podrían permitir a usuarios sin privilegios obtener acceso root en distribuciones populares.

La primera es una falla de escalada de privilegios locales (LPE), identificada como CVE-2025-6018, que afecta la configuración PAM en openSUSE Leap 15 y SUSE Linux Enterprise 15.

Esta configuración incorrecta permite que cualquier sesión local, incluidas las realizadas a través de SSH, se considere como si el usuario estuviera físicamente presente. Este estado, conocido como "allow_active", otorga acceso a ciertas operaciones privilegiadas normalmente reservadas para los usuarios del equipo.

La segunda vulnerabilidad, CVE-2025-6019, reside en libblockdev y puede activarse mediante el demonio udisks, instalado por defecto en casi todas las distribuciones de Linux. Una vez que un usuario obtiene el estado "allow_active", esta falla permite el acceso root completo.

Combinadas, estas dos vulnerabilidades crean una ruta directa y sencilla desde el acceso sin privilegios hasta el acceso root.

Cadena de exploits afecta a múltiples distribuciones

El demonio udisks y su backend libblockdev se utilizan para administrar discos y dispositivos de almacenamiento. Por diseño, otorgan más privilegios a los usuarios marcados como "activos". La vulnerabilidad PAM subvierte este modelo de confianza, convirtiendo las sesiones rutinarias en riesgos de seguridad.

Esta cadena de exploits es especialmente peligrosa porque no requiere software adicional ni acceso físico, solo un inicio de sesión SSH funcional en un sistema vulnerable.

La Unidad de Investigación de Amenazas de Qualys (TRU) ha demostrado con éxito esta cadena de exploits en Ubuntu, Debian, Fedora y openSUSE Leap 15. Su importancia radica en la facilidad con la que los atacantes pueden pasar de una sesión SSH estándar a privilegios root completos utilizando únicamente los componentes instalados por defecto.

"No se requiere nada exótico", afirmaron los investigadores de la TRU.

"Cada enlace está preinstalado en las distribuciones de Linux más populares y sus compilaciones de servidor".

Los principales riesgos incluyen:

Control total de los sistemas afectados

Evasión de herramientas de detección de endpoints

Instalación de puertas traseras persistentes

Comprometimiento de toda la flota mediante movimiento lateral

Mitigación y recomendaciones

Se insta a los equipos de seguridad a parchear ambas vulnerabilidades de inmediato.

Además, se recomienda:

Modificar la regla predeterminada de polkit para org.freedesktop.udisks2.modify-device

Cambiar la configuración de allow_active de sí a auth_admin

Seguir las recomendaciones de los proveedores para SUSE, Ubuntu y otros.

No actuar con rapidez puede dejar flotas enteras expuestas a ataques. El acceso root otorgado mediante este exploit permite persistencia indetectable y ataques entre sistemas, lo que aumenta el riesgo para la infraestructura empresarial.

Fuente:
InfoSecurity
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15

Noticias Informáticas / Malware GodFather para Android ejecuta app en sandbox para robar datos

Junio 19, 2025, 12:38:58 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad de Zimperium zLabs, dirigidos por Fernando Ortega y Vishnu Pratapagiri, han descubierto una nueva y peligrosa versión del malware GodFather para Android que utiliza una técnica avanzada llamada virtualización en el dispositivo para controlar aplicaciones móviles legítimas. Se dirige especialmente a aplicaciones bancarias y de criptomonedas, convirtiendo tu dispositivo en un espía.

El truco de la virtualización

En lugar de simplemente mostrar una imagen falsa, el malware instala una aplicación host oculta, que descarga y ejecuta una copia real de tu aplicación bancaria o de criptomonedas dentro de su propio espacio controlado, un sandbox. Cuando intentas abrir la aplicación real, el malware te redirige a esta versión virtual.

El malware monitoriza y controla cada acción, toque y palabra que escribes en tiempo real, lo que hace casi imposible que notes algo incorrecto, ya que estás interactuando con la aplicación real, pero en un entorno manipulado. Esta sofisticada técnica permite a los atacantes obtener nombres de usuario, contraseñas y PIN del dispositivo, obteniendo así el control total de tus cuentas.

Este método ofrece a los atacantes una gran ventaja. Pueden robar datos confidenciales al ingresarlos e incluso alterar el funcionamiento de la aplicación, eludiendo los controles de seguridad, incluyendo los que detectan el rooteo de un teléfono. Cabe destacar que el malware bancario GodFather se crea readaptando varias herramientas legítimas de código abierto, como VirtualApp y XposedBridge, para ejecutar sus ataques engañosos y evadir la detección.

Objetivos Globales y Maniobras Evasivas

Si bien GodFather emplea su virtualización avanzada, también continúa utilizando ataques tradicionales de superposición, colocando pantallas engañosas directamente sobre aplicaciones legítimas. Este doble enfoque demuestra la notable capacidad de los actores de amenazas para adaptar sus métodos.

Según la publicación del blog de la compañía, la campaña de malware GodFather para Android está muy extendida y se dirige a 484 aplicaciones a nivel mundial, aunque el ataque de virtualización altamente avanzado se centra actualmente en 12 instituciones financieras turcas específicas. Este amplio alcance incluye no solo plataformas bancarias y de criptomonedas, sino también importantes servicios globales de pagos, comercio electrónico, redes sociales y comunicación.

El malware también utiliza trucos ingeniosos para evitar ser detectado por las herramientas de seguridad. Modifica la forma en que se crean los archivos APK (paquetes de aplicaciones de Android), alterando su estructura para que parezcan cifrados o añadiendo información engañosa como $JADXBLOCK. Además, traslada gran parte de su código dañino a la parte Java de la aplicación y dificulta la lectura de su archivo de manifiesto de Android con información irrelevante.

Investigaciones posteriores revelaron que GodFather aún utiliza los servicios de accesibilidad de Android (diseñados para ayudar a usuarios con discapacidades) para engañarlos y que instalen partes ocultas de su aplicación. Utiliza mensajes engañosos como "Necesita permiso para usar todas las funciones de la aplicación" y, una vez que obtiene los permisos de accesibilidad, puede otorgarse más permisos en secreto sin que el usuario lo sepa.

Además, el malware oculta información importante, como su conexión a su servidor de control (C2), de forma cifrada, lo que dificulta su rastreo. Una vez activo, envía detalles de la pantalla a los atacantes, brindándoles una vista en tiempo real del dispositivo. Este descubrimiento, por lo tanto, pone de relieve el desafío constante que enfrenta la seguridad móvil a medida que las amenazas se vuelven más complejas y difíciles de detectar.

"Esta es sin duda una técnica novedosa y veo su potencial", afirmó Casey Ellis, fundador de Bugcrowd. "Será interesante ver su eficacia real en la práctica, independientemente de si los actores de amenazas deciden implementarla fuera de Turquía y si otros actores intentan replicar un enfoque similar".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16

Noticias Informáticas / La filtración de datos récord de 16 mil millones de la que nadie ha oído hablar

Junio 19, 2025, 12:34:58 AM

Varias recopilaciones de credenciales de inicio de sesión revelan una de las mayores filtraciones de datos de la historia, con un total de 16 mil millones de credenciales expuestas. Es muy probable que los datos provengan de diversos ladrones de información (stealer).

Recopilar información confidencial innecesariamente puede ser tan perjudicial como intentar robarla activamente. Por ejemplo, el equipo de investigación de Cybernews descubrió una gran cantidad de conjuntos de datos gigantescos que albergan miles de millones de credenciales de inicio de sesión. Desde redes sociales y plataformas corporativas hasta VPN y portales para desarrolladores, no se escatimó en esfuerzos.

Nuestro equipo ha estado monitoreando de cerca la web desde principios de año. Hasta la fecha, han descubierto 30 conjuntos de datos expuestos que contienen desde decenas de millones hasta más de 3500 millones de registros cada uno. En total, los investigadores descubrieron la inimaginable cifra de 16 mil millones de registros.

Ninguno de los conjuntos de datos expuestos se había reportado previamente, salvo uno: a finales de mayo, la revista Wired informó que un investigador de seguridad descubrió una "misteriosa base de datos" con 184 millones de registros. Apenas roza los 20 primeros descubrimientos del equipo. Lo más preocupante es que los investigadores afirman que aparecen nuevos conjuntos de datos masivos cada pocas semanas, lo que indica la prevalencia real del malware ladrón de información.

"Esto no es solo una filtración, sino un modelo para la explotación masiva. Con más de 16 mil millones de registros de inicio de sesión expuestos, los ciberdelincuentes ahora tienen un acceso sin precedentes a credenciales personales que pueden usarse para el robo de cuentas, el robo de identidad y el phishing altamente selectivo."

Los investigadores afirmaron:

"Esto no es solo una filtración, sino un modelo para la explotación masiva. Con más de 16 mil millones de registros de inicio de sesión expuestos, los ciberdelincuentes ahora tienen un acceso sin precedentes a credenciales personales que pueden usarse para el robo de cuentas, el robo de identidad y el phishing altamente selectivo. Lo especialmente preocupante es la estructura y la actualidad de estos conjuntos de datos; no se trata solo de filtraciones antiguas que se reciclan. Se trata de inteligencia nueva y susceptible de ser utilizada como arma a gran escala", afirmaron los investigadores.

El único aspecto positivo es que todos los conjuntos de datos estuvieron expuestos solo brevemente: el tiempo suficiente para que los investigadores los descubrieran, pero no el suficiente para descubrir quién controlaba grandes cantidades de datos. La mayoría de los conjuntos de datos fueron accesibles temporalmente a través de Elasticsearch o instancias de almacenamiento de objetos no seguras.

¿Qué contienen los miles de millones de registros expuestos?

Los investigadores afirman que la mayoría de los datos de los conjuntos de datos filtrados son una mezcla de información del malware stealer, conjuntos de robo de credenciales y filtraciones reempaquetadas.

No fue posible comparar eficazmente los datos entre diferentes conjuntos de datos, pero es seguro afirmar que existen registros superpuestos. En otras palabras, es imposible determinar cuántas personas o cuentas fueron realmente expuestas.

Sin embargo, la información que el equipo logró recopilar reveló que la mayor parte de la información seguía una estructura clara: URL, seguida de los datos de inicio de sesión y una contraseña. La mayoría de los ladrones de información modernos (software malicioso que roba información confidencial) recopilan datos exactamente de esta manera.

La información de los conjuntos de datos filtrados abre las puertas a prácticamente cualquier servicio en línea imaginable, desde Apple, Facebook y Google hasta GitHub, Telegram y diversos servicios gubernamentales. Es difícil pasar algo por alto cuando hay 16 mil millones de registros en juego.

Según los investigadores, las filtraciones de credenciales a esta escala alimentan campañas de phishing, robo de cuentas, intrusiones de ransomware y ataques de compromiso de correo electrónico empresarial (BEC).

«La inclusión de registros de robo de información, tanto antiguos como recientes, a menudo con tokens, cookies y metadatos, hace que estos datos sean particularmente peligrosos para las organizaciones que carecen de autenticación multifactor o prácticas de higiene de credenciales», declaró el equipo.

¿Qué conjunto de datos expuso miles de millones de credenciales?

Los conjuntos de datos que descubrió el equipo difieren considerablemente. Por ejemplo, el más pequeño, cuyo nombre hace referencia a un software malicioso, contenía más de 16 millones de registros. Mientras tanto, el más grande, probablemente relacionado con la población de habla portuguesa, contenía más de 3500 millones de registros. En promedio, un conjunto de datos con credenciales expuestas contenía 550 millones de registros.

Algunos conjuntos de datos tenían nombres genéricos, como "inicios de sesión", "credenciales" y términos similares, lo que impidió al equipo comprender mejor su contenido. Otros, sin embargo, insinuaban los servicios con los que estaban relacionados.

Por ejemplo, un conjunto de datos con más de 455 millones de registros recibió un nombre que indicaba su origen en la Federación Rusa. Otro conjunto de datos, con más de 60 millones de registros, recibió el nombre de Telegram, una plataforma de mensajería instantánea en la nube.

"La inclusión de registros antiguos y recientes de robo de información, a menudo con tokens, cookies y metadatos, hace que estos datos sean particularmente peligrosos para las organizaciones que carecen de autenticación multifactor o prácticas de higiene de credenciales", afirmó el equipo.

Si bien nombrarlos no es la mejor manera de deducir la procedencia de los datos, parece que parte de la información se relaciona con servicios en la nube, datos empresariales e incluso archivos bloqueados. Algunos nombres de conjuntos de datos probablemente apuntan a un tipo de malware utilizado para recopilarlos.

No está claro quién es el propietario de los datos filtrados. Si bien podrían ser investigadores de seguridad los que recopilan datos para verificar y monitorear las filtraciones, es prácticamente seguro que algunos de los conjuntos de datos filtrados pertenecían a ciberdelincuentes. A los ciberdelincuentes les encantan los conjuntos de datos masivos, ya que las recopilaciones agregadas les permiten escalar diversos tipos de ataques, como el robo de identidad, los esquemas de phishing y el acceso no autorizado.

Una tasa de éxito inferior al uno por ciento puede abrir las puertas a millones de personas, que pueden ser engañadas para que revelen detalles más sensibles, como cuentas financieras. Es preocupante que, dado que no se sabe con certeza quién posee los conjuntos de datos expuestos, los usuarios puedan hacer poco para protegerse.

Sin embargo, una ciberseguridad básica es esencial. Unas contraseñas seguras y cambiadas con frecuencia pueden marcar la diferencia entre una cuenta segura y el robo de datos. Los usuarios también deben revisar sus sistemas en busca de ladrones de información para evitar perder sus datos a manos de atacantes.

Miles de millones de registros expuestos en línea

Las grandes filtraciones de datos, con miles de millones de registros expuestos, se han vuelto casi omnipresentes. La semana pasada, Cybernews publicó sobre la que probablemente sea la mayor filtración de datos jamás registrada en China: miles de millones de documentos con datos financieros, detalles de WeChat y Alipay, así como otros datos personales sensibles.

El verano pasado, la mayor recopilación de contraseñas, con casi diez mil millones de contraseñas únicas, RockYou2024, se filtró en un popular foro de hacking. En 2021, se filtró en línea una recopilación similar con más de 8 mil millones de registros.

A principios de 2024, el equipo de investigación de Cybernews descubrió la que probablemente siga siendo la mayor filtración de datos de la historia: la Madre de Todas las Brechas (MOAB), con la asombrosa cifra de 26 mil millones de registros.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17

Noticias Informáticas / Iraníes se niegan a las restricciones gubernamentales a Internet

Junio 19, 2025, 12:31:15 AM

Mientras el gobierno iraní endurece las restricciones a internet en un momento crítico, muchos iraníes siguen conectados, al menos aquellos que han logrado acceder y usar una VPN.

Irán ha restringido el acceso a internet tras los ataques aéreos israelíes. Según Iran Wire, el fiscal general iraní incluso amenazó a los usuarios de redes sociales con acciones legales, ya que algunos contenidos supuestamente "perjudican la seguridad psicológica de la sociedad".

Según datos de telemetría, el acceso a internet sigue restringido.

Desde entonces, el interés en las VPN para Irán se ha disparado. Según Google Trends, ahora es el quinto tema de búsqueda más popular, con un aumento de más del 250 % en las búsquedas relacionadas con VPN en los últimos 30 días.

Como suele ocurrir durante conflictos armados, disturbios sociales o protestas, los regímenes y los países menos democráticos tienden a bloquear sitios de medios occidentales como Facebook, X, YouTube, Telegram y otros, en un intento por limitar la capacidad de los ciudadanos para comunicarse, compartir información y organizarse.

Por esta razón, los iraníes buscan VPN para eludir las restricciones y seguir usando las aplicaciones de redes sociales occidentales. También se recomienda a periodistas y activistas que utilicen una VPN para comunicaciones seguras y privadas.

Top10VPN, un sitio web de análisis de VPN que rastrea las restricciones de internet en todo el mundo, afirmó que la demanda de VPN en Irán ha aumentado drásticamente desde el viernes pasado. "Drásticamente" significa que la demanda está aproximadamente un 700 % por encima de la línea base.

"Muchos iraníes, a pesar de que las VPN están oficialmente prohibidas, recurren a estas herramientas para mantenerse conectados a noticias globales, plataformas de comunicación y contenido digital sin censura mientras navegan por la agitación actual que afecta al país", declaró el sitio web.

La escalada del conflicto está repercutiendo en todo el mundo. Los expertos en ciberseguridad ahora observan de cerca el ámbito cibernético, ya que esperan más ciberataques y otros intentos de hacktivismo dirigidos contra las partes en conflicto y sus aliados por igual.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18

Noticias Informáticas / Internet colapsa en Irán, según empresas de monitoreo web

Junio 19, 2025, 12:29:26 AM

La conectividad a internet en Irán desapareció casi por completo el miércoles, según empresas de monitoreo web, mientras la guerra con Israel entra en su sexto día.

NetBlocks, una empresa que monitorea el acceso a internet en todo el mundo, escribió en X que Irán se encuentra "ahora en medio de un apagón nacional casi total de internet".

La evaluación de la empresa fue confirmada por otras organizaciones de monitoreo de internet.

Los datos recopilados por IODA, un sistema que "monitorea la conectividad de la infraestructura de internet casi en tiempo real, con el objetivo de identificar cortes de internet macroscópicos", mostraron el miércoles el repentino colapso de la conectividad a internet en Irán.

David Belson, director de análisis de datos de la empresa de infraestructura de internet Cloudflare, declaró a TechCrunch que los niveles de tráfico de internet en Irán "están ahora un 97 % por debajo de los de hace una semana", y citó los datos de la propia empresa sobre la conectividad a internet de Irán.

La noticia de los cortes de internet se produce en un momento en que Irán e Israel se encuentran enfrascados en un conflicto militar. Irán también ha sufrido varios ciberataques desde el inicio de este último conflicto, incluyendo el hackeo de un importante banco y una plataforma de intercambio de criptomonedas iraníes. Tras los ataques, el medio de comunicación iraní IRIB afirmó que Israel había lanzado una "ciberguerra masiva" contra Irán, y, según informes, las autoridades iraníes comenzaron a restringir el acceso a internet del país.

Sin embargo, no está claro cuál es la causa del colapso de internet en Irán, afirmó Belson.

"En casos similares de cortes de internet casi totales, solemos observar una caída simultánea del espacio de direcciones IP anunciadas, lo que significa que las redes del país dejan de ser visibles en internet. Sin embargo, no hemos observado tal actividad en este caso", declaró Belson a TechCrunch.

"Solo podemos ver que el tráfico disminuyó; los datos no nos indican el motivo", añadió Belson.

Otros expertos en monitoreo de internet, como Doug Madory, de Kentik, también observaron el mismo colapso.

"Numerosos proveedores de servicios iraníes se encuentran fuera de línea en el segundo apagón nacional de internet en pocos días", escribió Madory en X. "Este corte es más grave que el de ayer".

Fuente:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19

Noticias Informáticas / Plataforma de intercambio de criptomonedas iraní atacada

Junio 19, 2025, 12:26:56 AM

18 de junio (Reuters) - Un grupo de hackers antiiraní con posibles vínculos con Israel anunció el miércoles un ataque contra una de las mayores plataformas de intercambio de criptomonedas de Irán, destruyendo casi 90 millones de dólares y amenazando con exponer el código fuente de la plataforma.

Un grupo conocido como Gonjeshke Darande, o "Gorrión Depredador", se atribuyó el ataque, convirtiéndose en la segunda operación del grupo en dos días. El martes, el grupo afirmó haber destruido datos del banco estatal iraní Sepah, en medio del aumento de las hostilidades y los ataques con misiles entre Israel e Irán.

El ataque del miércoles tuvo como objetivo Nobitex, una de las mayores plataformas de intercambio de criptomonedas de Irán. La plataforma supuestamente ayuda al gobierno iraní a evitar sanciones y a financiar operaciones ilícitas en todo el mundo, según afirmaron los hackers en un mensaje publicado en sus redes sociales la madrugada del miércoles.

El sitio web de Nobitex no estuvo disponible el miércoles. Los mensajes enviados al canal de soporte de la compañía en Telegram no fueron devueltos. Gonjeshke Darande no respondió a las solicitudes de comentarios.

Nobitex anunció en una publicación en X que había retirado su sitio web y aplicación de la red tras revisar un "acceso no autorizado" a sus sistemas.

Gonjeshke Darande es un grupo de hackers consolidado con un historial de sofisticados ciberataques contra Irán. Una operación de 2021, reivindicada por el grupo, causó cortes generalizados en gasolineras, mientras que un ataque de 2022 contra una acería iraní provocó un gran incendio y daños tangibles en la red.

Israel nunca ha reconocido formalmente estar detrás del grupo, aunque los medios israelíes han reportado ampliamente que Gonjeshke Darande está "vinculado a Israel".

El ataque del miércoles comenzó en la madrugada cuando se transfirieron fondos a billeteras controladas por hackers que denunciaban al Cuerpo de la Guardia Revolucionaria Islámica (CGRI), según la firma de análisis blockchain TRM Labs, que calculó el robo total en aproximadamente 90 millones de dólares en múltiples tipos de criptomonedas.

La forma en que se crearon las billeteras controladas por hackers sugiere que estos no podrían acceder al dinero robado, lo que significa que "quemaron los fondos para enviar a Nobitex un mensaje político", según declaró la firma de análisis blockchain Elliptic en una publicación de blog.

La publicación de Elliptic compartía evidencia de que Nobitex había enviado y recibido fondos a billeteras de criptomonedas controladas por grupos hostiles a Israel, como la Yihad Islámica Palestina, Hamás y los hutíes de Yemen.

Los senadores Elizabeth Warren y Angus King expresaron su preocupación por el papel de Nobitex en la evasión de las sanciones iraníes en una carta de mayo de 2024 dirigida a altos funcionarios de la administración Biden, citando información de Reuters de 2022.

Andrew Fierman, jefe de inteligencia de seguridad nacional de Chainalysis, confirmó en un correo electrónico a Reuters que el valor del ataque fue de aproximadamente 90 millones de dólares y que probablemente tuvo motivaciones geopolíticas, dado que se quemó el dinero.

Chainalysis ha observado previamente que actores de ransomware afiliados al CGRI utilizan Nobitex para obtener ganancias, y que otros grupos aliados del CGRI utilizan la plataforma, afirmó Fierman.

Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20

Dudas y pedidos generales / Re:Cómo crean cuentas con BINs?

Junio 17, 2025, 10:09:22 PM

Hola.

Le modero su post pues cómo lo planteó no es permisible en este Foro. No obstante con la modificación se le brinda la guía.

--------------------

En efecto así es.

Se crea una cuenta de cualquier servicio de streaming u otro que requiera la corroboración de una cuenta bancaria (BIN >> Bank Identification Number). Se le añade la info provista por el proveedor en cuanto al BIN, VPN , etc.

El detalle está en que estas cuentas piratas (BIN) duran muy poco en validez. Eso es para las que realmente avalan que una gran mayoría, no.

Son un tanto difíciles de conseguir, pero no imposibles (las que realmente funcionan me refiero y con un proveedor serio):

Vías de proveedores: Foro Especializados >> Telegram sobre todo para un contacto diario y "en caliente" con el proveedor:

Ej:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Suerte

Páginas1 2 3 ... 219