Perplexity AI, una de las herramientas de inteligencia artificial más avanzadas del mundo, ha lanzado su aplicación nativa para Windows, permitiendo a los usuarios acceder a sus capacidades directamente desde el escritorio sin necesidad de un navegador. Esta innovación mejora la accesibilidad y eficiencia de la IA, ofreciendo un conjunto completo de funcionalidades, incluyendo búsqueda por voz.

Principales Características de Perplexity AI para Windows


La nueva aplicación de Perplexity AI para Windows está diseñada para proporcionar información precisa, contrastada y en tiempo real. Entre sus principales novedades destacan:

✅ Búsqueda por voz: Realiza consultas sin necesidad de teclear, agilizando el acceso a la información.
✅ Respuestas con fuentes verificadas: Perplexity AI supera a sus competidores en precisión y transparencia, citando siempre fuentes confiables.
✅ Interfaz optimizada para Windows 11: Compatible con la barra de tareas, modo oscuro y una integración fluida con el diseño del sistema operativo.
✅ Función de Historial: Permite volver a consultas previas, ideal tanto para usuarios casuales como para investigadores y profesionales.

Procesamiento de Datos Instantáneo con Perplexity AI

Una de las características más destacadas de Perplexity AI es su capacidad de procesamiento instantáneo de datos. Cada vez que realizamos una consulta, la IA accede a una base de datos extensa y confiable para generar un resumen en fracciones de segundo. Su funcionamiento se basa en tres fases clave:

• Análisis del texto: La IA identifica las palabras clave y el contexto de la consulta para comprender con precisión lo que se está solicitando.
• Búsqueda especializada: Explora miles de artículos, estudios, noticias y ensayos, garantizando información fidedigna y profesional.
• Síntesis del contenido: Organiza los datos recopilados en un formato conciso, eliminando el relleno innecesario y priorizando la información relevante.

Descarga Perplexity AI para Windows

Ya puedes disfrutar de la nueva versión de Perplexity AI para Windows. Dirígete a su página oficial y descarga la aplicación de escritorio para aprovechar al máximo esta potente herramienta de inteligencia artificial.

Con este lanzamiento, Perplexity AI revoluciona la interacción con la inteligencia artificial, facilitando el acceso a información confiable y agilizando la investigación y el análisis de datos. ¡Descúrgala ahora y descubre su potencial en tu PC con Windows!

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los ciberdelincuentes están promoviendo aplicaciones maliciosas de Microsoft OAuth que se hacen pasar por herramientas de Adobe y DocuSign para distribuir malware y robar credenciales de Microsoft 365.

Detalles del Ataque

Investigadores de Proofpoint descubrieron estas campañas de phishing, calificándolas como "altamente dirigidas" en un informe compartido en X (Twitter). Los atacantes han disfrazado aplicaciones fraudulentas bajo los nombres:

• Adobe Drive
• Adobe Drive X
• Adobe Acrobat
• DocuSign

Estas aplicaciones maliciosas solicitan permisos menos sensibles, como:

• Profile: Acceso al nombre completo, ID de usuario, foto de perfil y nombre de usuario.
• Correo electrónico: Permite ver la dirección principal (sin acceso a la bandeja de entrada).
• OpenID: Facilita la confirmación de identidad y la recuperación de detalles de la cuenta de Microsoft 365.

Este enfoque evita generar sospechas y facilita la infiltración en las cuentas de los usuarios.

Origen y Objetivos del Ataque

Los correos electrónicos de phishing provienen de organizaciones benéficas o pequeñas empresas cuyas cuentas de Office 365 han sido comprometidas. Los mensajes se dirigen a diversas industrias en EE. UU. y Europa, incluyendo:

• Gobierno
• Atención médica
• Cadena de suministro
• Comercio minorista

Los atacantes utilizan señuelos como solicitudes de propuestas y contratos falsos para engañar a los destinatarios y lograr que hagan clic en enlaces maliciosos.

Impacto y Consecuencias

Si bien los permisos concedidos a estas aplicaciones son limitados, los atacantes pueden explotar la información recopilada para ataques más dirigidos. Además, una vez que los usuarios otorgan acceso a la aplicación OAuth:

• Son redirigidos a páginas de phishing que roban credenciales de Microsoft 365.
• Se les presenta malware que se instala en sus dispositivos.

Proofpoint informó que las víctimas experimentaron múltiples redirecciones antes de ser llevadas a la página final de phishing o descarga de malware. En menos de un minuto tras la autorización, se detectó actividad sospechosa en las cuentas afectadas.

Aunque no se pudo identificar el tipo de malware distribuido, se observó el uso del ataque de ingeniería social ClickFix, una técnica en auge.

Prevención y Recomendaciones

Las aplicaciones OAuth siguen siendo un método efectivo para comprometer cuentas de Microsoft 365 sin necesidad de robar credenciales. Para evitar estos ataques:

✅ Verifique las solicitudes de permisos de aplicaciones OAuth antes de aprobarlas.
✅ Revise las aplicaciones autorizadas en Mis aplicaciones → Administrar sus aplicaciones → Revoque las no reconocidas.
✅ Los administradores de Microsoft 365 pueden restringir el acceso a aplicaciones OAuth de terceros en Aplicaciones empresariales → Consentimiento y permisos → Establecer "Los usuarios pueden dar su consentimiento a las aplicaciones" en "No".

Mantenerse alerta ante correos sospechosos y restringir permisos innecesarios puede prevenir el robo de credenciales y el acceso no autorizado a cuentas corporativas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una campaña de phishing a gran escala ha comprometido casi 12,000 repositorios de GitHub mediante falsos problemas etiquetados como "Alerta de seguridad". Los atacantes engañan a los desarrolladores para que autoricen una aplicación OAuth maliciosa, otorgándoles control total sobre sus cuentas y código.

Método de ataque y engaño

Los ciberdelincuentes crean un problema en los repositorios de GitHub con el siguiente mensaje fraudulento:

Citar"Alerta de seguridad: Intento de acceso inusual. Hemos detectado un intento de inicio de sesión en su cuenta de GitHub desde una nueva ubicación o dispositivo".

Todos los mensajes de phishing mencionan actividad sospechosa desde Reikiavik, Islandia, con la dirección IP 53.253.117.8, generando alarma entre los usuarios.

El investigador de ciberseguridad Luc4m detectó esta campaña, que insta a los usuarios a actualizar sus credenciales, revisar sesiones activas y activar la autenticación de dos factores. Sin embargo, los enlaces proporcionados redirigen a una página de autorización de GitHub para la aplicación OAuth fraudulenta "gitsecurityapp".

Permisos Peligrosos Solicitados

Esta aplicación maliciosa solicita permisos altamente riesgosos, entre ellos:

• Repo: Acceso total a repositorios públicos y privados.
• User: Lectura y escritura en el perfil del usuario.
• Read:org: Acceso a la organización, proyectos y equipos.
• Read:discussion / Write:discussion: Control sobre las discusiones.
• Gist: Acceso a GitHub gists.
• Delete_repo: Permiso para eliminar repositorios.
• Workflows: Control total sobre GitHub Actions.

Si un usuario autoriza la aplicación, se genera un token de acceso enviado a una URL maliciosa alojada en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Estado actual y respuesta de GitHub

El ataque comenzó hoy a las 6:52 a.m. ET y sigue activo. El número de repositorios afectados fluctúa, lo que sugiere que GitHub está respondiendo al incidente.

Cómo Proteger tu Cuenta de GitHub

Si has autorizado la aplicación maliciosa, sigue estos pasos de seguridad:

• Revoca el acceso de la aplicación OAuth maliciosa en Configuración > Aplicaciones.
• Elimina cualquier GitHub Action desconocida que pueda haberse agregado.
• Revisa y elimina gists privados inesperados.
• Rota todas las credenciales y tokens de acceso inmediatamente.

En conclusión, GitHub ha sido notificado sobre esta campaña de phishing y se espera una respuesta oficial. Para mantener la seguridad de tu cuenta, activa medidas de protección adicionales y verifica regularmente los accesos autorizados.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En las últimas horas, Alexa ha generado debate entre los usuarios tras un mensaje enviado por Amazon a algunos propietarios de dispositivos Echo. Este anuncio marca un cambio estratégico hacia la integración de una inteligencia artificial más avanzada en sus dispositivos.

Amazon elimina la opción de evitar el envío de grabaciones a la nube

Amazon ha notificado a ciertos usuarios que ya no podrán impedir que Alexa envíe sus grabaciones a la nube. Hasta ahora, algunos dispositivos como el Echo Show 10, Echo Dot de cuarta generación y Echo Show 15 permitían procesar respuestas de manera local, evitando que las peticiones fueran almacenadas en los servidores de Amazon. Sin embargo, esta opción solo estaba disponible en Estados Unidos y en inglés, por lo que los usuarios en España y en otros idiomas nunca tuvieron acceso a esta función.

Este cambio confirma la dirección de Amazon: todo lo que se diga a Alexa será enviado a la nube para su análisis por inteligencia artificial. La compañía refuerza así su apuesta por mejorar la capacidad de procesamiento y respuesta del asistente mediante tecnología avanzada.

¿Cómo afecta este cambio a los usuarios?

Para los usuarios fuera de EE.UU., este cambio no supone una diferencia práctica, ya que nunca contaron con la opción de evitar la subida de grabaciones. Sin embargo, es un golpe para quienes esperaban que la funcionalidad se expandiera a más regiones e idiomas. Ahora, con la eliminación definitiva de esta posibilidad, queda claro que el futuro de Alexa pasa por la nube sin excepciones.

Amazon sí mantiene la opción de "No guardar grabaciones", lo que evitará que las conversaciones se almacenen tras su análisis. La empresa ha confirmado que los usuarios que anteriormente activaron "No enviar grabaciones de voz" verán esta nueva opción activada automáticamente cuando la actualización entre en vigor el 28 de marzo.

Alexa+ y la evolución del asistente virtual

Con la llegada de Alexa+, se espera que la inteligencia artificial de Amazon analice aún más eficazmente las solicitudes de los usuarios. Aunque la compañía asegura que la IA no almacenará conversaciones ni muestras de voz, sí las procesará en tiempo real para mejorar la experiencia de uso.

Para quienes utilizan Alexa en funciones básicas como encender y apagar luces o gestionar dispositivos inteligentes, este cambio no tendrá un gran impacto. Sin embargo, aquellos que desean interactuar con Alexa+ de manera más avanzada deberán considerar esta nueva dinámica de procesamiento en la nube.

En cualquier caso, esta evolución no es exclusiva de Amazon, ya que otros asistentes con IA también dependen de la nube para ofrecer respuestas más rápidas y precisas. Con esta actualización, Alexa se alinea con la tendencia del sector, consolidándose como una herramienta aún más potente para la automatización del hogar y la asistencia virtual.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un ciudadano ruso e israelí de 51 años, presunto desarrollador del grupo de ransomware LockBit, ha sido extraditado a Estados Unidos tras ser acusado formalmente en un esquema de delitos electrónicos.

¿Quién es Rostislav Panev y cuál fue su rol en LockBit?

Rostislav Panev fue arrestado en Israel en agosto de 2024. Se le acusa de haber trabajado como desarrollador para la banda de ransomware LockBit desde 2019 hasta febrero de 2024, cuando las autoridades incautaron la infraestructura en línea de la operación.

El fiscal federal John Giordano afirmó: "La extradición de Rostislav Panev al Distrito de Nueva Jersey lo deja claro: si eres miembro de la conspiración del ransomware LockBit, Estados Unidos te encontrará y te llevará ante la justicia".

LockBit: Uno de los grupos de ransomware más peligrosos

Desde su origen, LockBit se consolidó como uno de los grupos de ransomware más prolíficos del mundo. Sus ataques afectaron a más de 2.500 entidades en 120 países, incluyendo 1.800 en Estados Unidos.

Las víctimas han abarcado desde individuos y pequeñas empresas hasta corporaciones multinacionales, hospitales, escuelas, organizaciones sin fines de lucro, infraestructura crítica y agencias gubernamentales.

El impacto financiero ha sido devastador:

• Al menos 500 millones de dólares en ganancias ilícitas.
• Miles de millones en pérdidas por ingresos interrumpidos y costos de recuperación de incidentes.

El papel de Panev en el desarrollo de LockBit

En su labor como desarrollador, Panev jugó un papel clave en el diseño y mantenimiento del código base del ransomware. Entre junio de 2022 y febrero de 2024, recibió aproximadamente 230.000 dólares por su trabajo.

Según el Departamento de Justicia, Panev admitió haber desarrollado código para:

• Desactivar software antivirus.
• Implementar malware en múltiples dispositivos dentro de una red.
• Imprimir automáticamente la nota de rescate de LockBit en todas las impresoras conectadas a la red de la víctima.
• Escribir y mantener el código malicioso de LockBit.
• Brindar soporte técnico al grupo de ransomware.

Otros miembros de LockBit acusados en EE.UU.

Además de Panev, otros seis integrantes de LockBit han sido acusados en Estados Unidos:

• Mikhail Vasiliev
• Ruslan Astamirov
• Artur Sungatov
• Ivan Gennadievich Kondratiev
• Mikhail Pavlovich Matveev
• Dmitry Yuryevich Khoroshev (identificado como administrador del grupo con el alias LockBitSupp)

Además, Khoroshev, Matveev, Sungatov y Kondratiev han sido sancionados por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU. por su participación en ciberataques.

En conclusión, la extradición de Panev refuerza los esfuerzos internacionales para desmantelar grupos de ransomware como LockBit. Con las autoridades avanzando en su ofensiva contra el cibercrimen, el caso subraya el compromiso de Estados Unidos en la lucha contra el ransomware y la persecución de sus responsables en cualquier parte del mundo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un ataque de phishing dirigido a usuarios de Coinbase se hace pasar por una migración obligatoria de billetera, engañando a los destinatarios para que configuren una nueva billetera con una frase de recuperación pregenerada controlada por los atacantes.

¿Cómo funciona este ataque de phishing?

Los correos electrónicos fraudulentos llevan el asunto "Migrar a Coinbase Wallet" e indican falsamente que todos los clientes deben cambiar a billeteras de autocustodia. También proporcionan instrucciones para descargar la billetera legítima de Coinbase.

El mensaje de phishing afirma:

• "A partir del 14 de marzo, Coinbase está haciendo la transición a billeteras de autocustodia. Tras una demanda colectiva por valores no registrados y operaciones sin licencia, el tribunal ha ordenado que los usuarios administren sus propias billeteras".
• "Coinbase operará como un corredor registrado, permitiendo compras, pero todos los activos deben moverse a Coinbase Wallet".
• "Tu frase de recuperación única a continuación es tu identidad de Coinbase. Otorga acceso a tus fondos: anótala y guárdala de forma segura. Impórtala a Coinbase Wallet ingresando cada palabra seguida de un espacio".

El correo parece legítimo, pero se envía desde la dirección No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y la IP 167.89.33.244, perteneciente a SendGrid y asociada con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Como el mensaje es enviado a través de SendGrid, pasa las comprobaciones de seguridad SPF, DMARC y DKIM, evitando filtros de spam en muchas cuentas.

Respuesta de Akamai

BleepingComputer contactó a Akamai sobre el posible uso indebido de su infraestructura. La empresa respondió:

"Akamai está al tanto de los informes sobre una posible estafa de phishing dirigida a usuarios de Coinbase que involucra un dominio de correo electrónico de Akamai. Nos tomamos muy en serio la seguridad de la información y estamos investigando activamente el asunto".

Además, recomendaron a los usuarios tener precaución con correos no solicitados, especialmente aquellos que solicitan información personal. Aconsejan no hacer clic en enlaces sospechosos ni proporcionar información confidencial.

Un ataque de phishing sofisticado

Esta campaña destaca porque no incluye enlaces de phishing. Todos los enlaces del correo llevan a la página legítima de Coinbase Wallet. En lugar de robar frases de recuperación existentes, proporciona una ya conocida y controlada por los atacantes.

Las frases de recuperación, o "semillas", son una serie de palabras que representan la clave privada de una billetera de criptomonedas. Si un usuario configura una billetera con la frase proporcionada, cualquier activo transferido a ella será inmediatamente accesible para los atacantes, quienes pueden vaciar los fondos.

Coinbase advierte sobre la estafa

Coinbase está al tanto del ataque y ha publicado una advertencia en X:

"Recordatorio: Cuidado con las estafas de frases de recuperación. Estamos al tanto de nuevos correos electrónicos de phishing haciéndose pasar por Coinbase y Coinbase Wallet. Nunca le enviaremos una frase de recuperación, y nunca debe ingresar una frase de recuperación que le haya dado otra persona".

Cómo protegerse

Si un usuario cae en esta estafa y los fondos aún están en la billetera comprometida, debe transferirlos rápidamente a una billetera segura antes de que los atacantes los roben.

Para protegerse contra ataques como este, es fundamental recordar:

• Nunca compartir su frase de recuperación con nadie.
• No ingresar frases de recuperación recibidas por correo electrónico o sitios web desconocidos.
• Verificar siempre la autenticidad de los correos electrónicos antes de tomar acción.

Este ataque subraya la importancia de la seguridad en el manejo de criptomonedas y la necesidad de estar alerta ante nuevas tácticas de phishing.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El investigador de seguridad Yohanes Nugroho ha desarrollado un descifrador para la variante de Linux del ransomware Akira. Esta herramienta utiliza la potencia de la GPU para recuperar la clave de descifrado, permitiendo desbloquear archivos cifrados de forma gratuita.

Desarrollo del descifrador de Akira para Linux

Nugroho creó este descifrador tras la solicitud de ayuda de un amigo, estimando inicialmente que el cifrado de Akira podía resolverse en una semana. Su análisis se basó en la forma en que Akira genera claves de cifrado utilizando marcas de tiempo. Sin embargo, el proceso se prolongó a tres semanas debido a complejidades técnicas imprevistas. Para lograrlo, el investigador invirtió $1,200 en recursos de GPU hasta obtener la clave de descifrado.

Cómo funciona el descifrador

A diferencia de los descifradores convencionales, la herramienta de Nugroho no requiere una clave de descifrado previa. En su lugar, emplea fuerza bruta para encontrar las claves de cifrado, aprovechando que Akira las genera en función del tiempo actual en nanosegundos como semilla.

Una semilla de cifrado es un dato crucial para la generación de claves seguras. En el caso de Akira, se utilizan cuatro marcas de tiempo diferentes con una precisión de nanosegundos y se someten a 1.500 rondas de SHA-256. Posteriormente, estas claves se cifran con RSA-4096 y se incrustan al final de cada archivo cifrado, lo que hace que el descifrado sin la clave privada sea extremadamente difícil.

El alto nivel de precisión de tiempo implica que se generan más de mil millones de valores posibles por segundo, lo que complica la fuerza bruta. Además, Akira en Linux cifra múltiples archivos simultáneamente mediante subprocesos múltiples, lo que dificulta aún más la determinación de las marcas de tiempo exactas.

Uso de GPU para recuperar archivos cifrados

Para reducir el rango de marcas de tiempo posibles, Nugroho analizó los archivos de registro compartidos por su amigo. Esto le permitió identificar el momento en que se ejecutó el ransomware y estimar los tiempos de finalización del cifrado. También realizó pruebas de cifrado en diferentes configuraciones de hardware para generar perfiles predecibles.

Inicialmente, intentó forzar la clave de descifrado con una GPU RTX 3060, pero el rendimiento fue insuficiente, alcanzando solo 60 millones de pruebas por segundo. La actualización a una RTX 3090 tampoco ofreció mejoras significativas. Finalmente, recurrió a los servicios de GPU en la nube RunPod y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que proporcionaron la potencia necesaria a un costo accesible.

Utilizando dieciséis GPU RTX 4090, logró descifrar la clave en aproximadamente 10 horas. No obstante, el tiempo de recuperación varía según la cantidad de archivos cifrados, pudiendo extenderse varios días.

Disponibilidad del descifrador

Nugroho ha publicado su herramienta en GitHub junto con instrucciones detalladas para recuperar archivos cifrados por Akira. Se recomienda realizar una copia de seguridad de los archivos cifrados antes de intentar el descifrado, ya que existe el riesgo de corrupción si se usa una clave incorrecta.

BleepingComputer no ha probado la herramienta y no puede garantizar su seguridad o efectividad. Por lo tanto, su uso es bajo responsabilidad del usuario.

En conclusion, el descifrador de Nugroho representa un avance significativo en la lucha contra el ransomware Akira en Linux. Sin embargo, su rendimiento aún puede mejorar con la optimización del código. Este desarrollo destaca la importancia del análisis criptográfico y el poder de las GPU en la recuperación de archivos cifrados.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

A poco más de un mes de su lanzamiento, LibreOffice 25.2, la suite ofimática de código abierto, está experimentando un crecimiento sin precedentes, con más de un millón de descargas semanales registradas por The Document Foundation (TDF). Este éxito no se veía desde 2023 y plantea una pregunta clave: ¿qué está impulsando su popularidad?

Factores que impulsan el auge de LibreOffice

Expertos señalan varias razones detrás del incremento en la adopción de LibreOffice, incluyendo:

✅ Resistencia a la nube: Muchos usuarios y empresas buscan mantener sus aplicaciones instaladas localmente, en contraste con la tendencia de gigantes como Microsoft 365 y Google Docs de trasladar todo a la nube.

✅ Estrategias de suscripción costosas: Los modelos de pago recurrente de Microsoft y Google han llevado a que más usuarios busquen alternativas gratuitas y de código abierto.

✅ Soporte empresarial y formación: La nueva estrategia de LibreOffice incluye planes de soporte y formación para empresas, facilitando su implementación en el sector profesional.

 "Muchos clientes prefieren una suite ofimática que puedan controlar localmente", explica Jason Wong, analista de Gartner. "El costo de transición y la adaptación a un nuevo entorno son factores clave en la decisión de migrar."

LibreOffice en empresas y gobiernos

Aunque LibreOffice ha sido tradicionalmente una opción popular para usuarios domésticos, cada vez más empresas y organismos gubernamentales están adoptando esta suite ofimática. Un ejemplo destacado es la reciente migración de Schleswig-Holstein, un estado alemán que ha reemplazado más de 30.000 equipos con Microsoft Office por LibreOffice.

🔹 200 millones de usuarios estimados: Según Mike Saunders, miembro de la junta directiva de TDF, LibreOffice mantiene una sólida base de usuarios, aunque no rastrea a sus usuarios para garantizar su privacidad.

Distribución de usuarios:

• 85% en Windows
• macOS en segundo lugar
• Linux con un número difícil de estimar debido a su naturaleza de código abierto.

LibreOffice sigue apostando por el escritorio y evita la IA invasiva

A diferencia de Microsoft y Google, LibreOffice mantiene un compromiso con la privacidad y la autonomía del usuario.

⚠️ Sin IA intrusiva: "Nuestros usuarios no quieren suscripciones ni que la IA interfiera en su trabajo, como el antiguo Clippy", afirma Saunders.

🔹 LibreOffice seguirá centrado en la versión de escritorio, aunque existen versiones en la nube para quienes las necesiten.

Alternativas de código abierto a Microsoft y Google

Mientras que Apache OpenOffice sigue perdiendo relevancia, ONLYOFFICE Docs emerge como una alternativa robusta con implementación en la nube y local.

La conclusión es clara: hay vida más allá de Microsoft 365 y Google Docs, y LibreOffice se posiciona como la mejor alternativa de código abierto para quienes buscan una solución sin suscripciones y con mayor control sobre sus datos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Open Source Initiative (OSI) ha anunciado su apoyo a los Principios de Código Abierto de las Naciones Unidas, un conjunto de directrices aprobadas recientemente que buscan fomentar la adopción de tecnologías abiertas a nivel global. Esta iniciativa refuerza el papel del software de código abierto en la transformación digital y promueve su implementación en instituciones, empresas y gobiernos.

¿Qué son los Principios de Código Abierto de la ONU?

Estos principios han sido adoptados por la Red de Tecnología Digital del Consejo de la ONU con el objetivo de garantizar que las soluciones desarrolladas sean accesibles, reutilizables y seguras. La comunidad Open Source United, una iniciativa dentro de la ONU, ya trabaja en su integración en distintas agencias del organismo, facilitando la colaboración entre sectores.

Los 8 Principios de Código Abierto de la ONU

1️⃣ Abierto por defecto: El software debe ser, por norma, de código abierto.
2️⃣ Contribuir de vuelta: No solo utilizar, sino también aportar al ecosistema.
3️⃣ Seguro por diseño: La seguridad debe ser una prioridad desde la base.
4️⃣ Fomentar la participación inclusiva: Crear espacios donde todos puedan contribuir.
5️⃣ Diseño para la reutilización: Soluciones interoperables y escalables.
6️⃣ Proporcionar documentación: Código abierto con instrucciones claras.
7️⃣ RISE (Reconocer, Incentivar, Soportar y Empoderar): Capacitar a individuos y comunidades.
8️⃣ Sostener y escalar: No basta con crear, hay que mantener y hacer crecer los proyectos.

El impacto del código abierto en la economía y la innovación

Según Stefano Maffulli, director ejecutivo de la OSI, estos principios reflejan el impacto del código abierto en la economía digital global:

"El código abierto impulsa soluciones sostenibles y contribuye a un impacto económico de 8,8 mil millones de dólares. Nos honra ser los primeros en respaldar los Principios de Código Abierto de la ONU y apoyar su adopción a nivel mundial."

La ONU y la OSI han hecho un llamado a otras organizaciones para que se sumen a la iniciativa, no solo firmando el compromiso, sino colaborando activamente en la construcción de un futuro donde el software libre juegue un papel clave en la transformación digital global.

¿Cómo respaldar la iniciativa?

Las organizaciones interesadas pueden manifestar su apoyo a los Principios de Código Abierto de la ONU a través de un formulario en Microsoft 365. Esta iniciativa representa un paso crucial para consolidar el código abierto como estándar en la innovación tecnológica y la cooperación global.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

GitLab ha lanzado actualizaciones de seguridad para Community Edition (CE) y Enterprise Edition (EE), abordando nueve vulnerabilidades, incluidas dos fallas críticas en la biblioteca ruby-saml que permiten la omisión de autenticación en entornos SAML Single Sign-On (SSO).

Detalles de la vulnerabilidad

Las fallas críticas, identificadas como CVE-2025-25291 y CVE-2025-25292, afectan a la biblioteca ruby-saml, utilizada para la autenticación SAML a nivel de instancia o grupo. Estas vulnerabilidades permiten que un atacante autenticado con acceso a un documento SAML firmado suplante la identidad de otro usuario dentro del mismo proveedor de identidad (IdP).

Impacto de la vulnerabilidad:

• Acceso no autorizado a cuentas de usuario.
• Posibles violaciones de datos y escalada de privilegios.
• Riesgo de explotación en sistemas sin parchear.

Versiones afectadas y solución

Todas las versiones anteriores a 17.7.7, 17.8.5 y 17.9.2 son vulnerables. GitLab ha corregido los fallos en estas versiones, por lo que se recomienda actualizar de inmediato.

✅ No tienes permitido ver enlaces. Registrate o Entra a tu cuenta ya ha sido parcheado.
✅ GitLab Dedicated se actualizará automáticamente.
❌ Los usuarios con instalaciones autogestionadas deben actualizar manualmente.

"Recomendamos encarecidamente actualizar a la última versión lo antes posible", advierte el boletín oficial de GitLab.

Otras vulnerabilidades corregidas

Además de los fallos en ruby-saml, se corrigieron:

• CVE-2025-27407: Vulnerabilidad de ejecución remota de código (RCE) explotable a través de la función de transferencia directa (deshabilitada por defecto).
• Otras fallas de seguridad de gravedad baja a media, incluyendo denegación de servicio (DoS), exposición de credenciales e inyección de código de shell.

Medidas de mitigación temporales

Si no es posible actualizar de inmediato, GitLab recomienda aplicar las siguientes mitigaciones:

1️⃣ Activar la autenticación en dos pasos (2FA) en todos los usuarios. (Nota: MFA a nivel de IdP no mitiga el problema).
2️⃣ Deshabilitar la opción de omisión de 2FA en SAML.
3️⃣ Requerir aprobación del administrador para cuentas creadas automáticamente, configurando:


gitlab_rails['omniauth_block_auto_created_users'] = true

Estas acciones reducen el riesgo de explotación, pero solo deben considerarse soluciones temporales hasta que sea posible actualizar a GitLab 17.9.2, 17.8.5 o 17.7.7.

En fin, las actualizaciones de seguridad de GitLab son críticas para evitar accesos no autorizados y ataques a infraestructuras que utilicen SAML Single Sign-On (SSO). Actualizar ahora es la mejor forma de proteger los entornos autogestionados y mitigar riesgos de seguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Facebook ha revelado una vulnerabilidad en FreeType, la popular biblioteca de representación de fuentes utilizada en Linux, Android, motores de juegos y plataformas en línea. La falla, identificada como CVE-2025-27363, afecta a todas las versiones hasta la 2.13 y ha sido explotada en ataques reales, lo que representa un riesgo alto de seguridad.

¿Qué es FreeType y por qué es importante?

FreeType es una biblioteca de código abierto empleada para cargar, rasterizar y mostrar fuentes en múltiples formatos, como TrueType (TTF) y OpenType (OTF). Su amplia adopción la hace un objetivo atractivo para los ciberdelincuentes, ya que se encuentra en millones de sistemas y aplicaciones.

Detalles de la vulnerabilidad

• CVE-2025-27363 tiene una puntuación de gravedad CVSS v3 de 8.1 (alta).
• Error de escritura fuera de límites en versiones 2.13.0 e inferiores al analizar subglifos de fuentes TrueType GX.
• Puede llevar a la asignación de un búfer de memoria insuficiente, permitiendo la ejecución de código arbitrario.

¿Cómo mitigar el riesgo?

La vulnerabilidad fue corregida en FreeType 2.13.0 el 9 de febrero de 2023, pero la última versión disponible es FreeType 2.13.3. Se recomienda actualizar de inmediato, ya que versiones antiguas pueden seguir presentes en software desactualizado, aumentando la exposición a ataques.

Facebook y la seguridad del código abierto

Facebook, al detectar la vulnerabilidad, alertó sobre su explotación activa y destacó su compromiso con la seguridad en línea. Meta confirmó a BleepingComputer que su equipo de seguridad reporta fallas en software de código abierto para mejorar la protección global.

En fin dado el impacto de FreeType en múltiples plataformas, desarrolladores y administradores de sistemas deben actualizar a FreeType 2.13.3 cuanto antes. Mantener el software al día es clave para evitar ataques y garantizar la seguridad en entornos digitales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU.) ha informado que la operación de ransomware Medusa ha impactado a más de 300 organizaciones en sectores de infraestructura crítica en los Estados Unidos hasta febrero de 2025.

Este aviso fue emitido en conjunto con la Oficina Federal de Investigaciones (FBI) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC).

Impacto del ransomware Medusa en infraestructura crítica

Según el informe, Medusa ha atacado una amplia gama de industrias, incluyendo:

• Salud y medicina
• Educación
• Sector legal
• Seguros
• Tecnología
• Manufactura

La CISA, el FBI y MS-ISAC han instado a las organizaciones a aplicar medidas de seguridad recomendadas para reducir el riesgo de infecciones por ransomware Medusa.

Historia y evolución de la operación Medusa


El ransomware Medusa apareció por primera vez en enero de 2021, pero su actividad aumentó significativamente en 2023 con el lanzamiento del sitio de filtraciones Medusa Blog. A través de este portal, la banda presiona a sus víctimas para que paguen rescates mediante la publicación de datos robados.

Desde su aparición, Medusa ha afectado a más de 400 víctimas en todo el mundo. Algunos ataques notables incluyen:

• Marzo de 2023: Ataque al distrito escolar Minneapolis Public Schools (MPS), con la posterior publicación de un video de los datos robados.
• Noviembre de 2023: Filtración de archivos de Toyota Financial Services tras negarse a pagar un rescate de 8 millones de dólares.

Inicialmente, Medusa operaba como un ransomware cerrado, con un solo grupo de ciberdelincuentes a cargo del desarrollo y ataques. Sin embargo, ha evolucionado hacia un modelo de Ransomware-as-a-Service (RaaS), donde múltiples afiliados realizan ataques mientras los desarrolladores supervisan las operaciones clave, incluidas las negociaciones de rescate.

Cómo protegerse del ransomware Medusa

Para minimizar el riesgo de ataques de ransomware Medusa, CISA recomienda implementar las siguientes medidas de seguridad:

✅ Actualizar software y sistemas operativos para corregir vulnerabilidades de seguridad conocidas.
✅ Segmentar redes internas para evitar el movimiento lateral de malware entre dispositivos.
✅ Filtrar el tráfico de red, bloqueando accesos no confiables a sistemas internos.

Diferencias entre Medusa y otras amenazas con el mismo nombre

Es importante diferenciar el ransomware Medusa de otras amenazas con el mismo nombre, como:

• Medusa Botnet: Basada en Mirai, con capacidades de ransomware.
• Medusa Malware-as-a-Service (MaaS): Malware para Android, también conocido como TangleBot (descubierto en 2020).
• MedusaLocker: Otra operación de ransomware diferente a Medusa.

La confusión en torno a estas amenazas ha generado informes incorrectos sobre el ransomware Medusa, lo que ha llevado a que algunos lo relacionen erróneamente con MedusaLocker.

En conclusión, el ransomware Medusa sigue siendo una amenaza activa para la infraestructura crítica en EE.UU. y a nivel mundial. Con más de 400 víctimas desde su aparición y un crecimiento sostenido, es crucial que organizaciones de todos los sectores implementen medidas de seguridad para prevenir ataques y proteger sus datos.

El mes pasado, la CISA y el FBI también emitieron una alerta sobre el ransomware Ghost, que ha afectado a organizaciones en más de 70 países, incluyendo sectores clave de infraestructura crítica.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las autoridades de India han arrestado a Aleksej Besciokov, cofundador y administrador del exchange de criptomonedas ruso Garantex, mientras estaba de vacaciones con su familia en Varkala.

El periodista de seguridad Brian Krebs informó que Besciokov, ciudadano lituano de 46 años y residente en Rusia, fue detenido el martes por la policía estatal de Kerala bajo la ley de extradición de India.

Acusaciones contra los fundadores de Garantex

Besciokov, también conocido como "proforg" e "iram", controló Garantex junto a Aleksandr Mira Serda, de 40 años y residente en Emiratos Árabes Unidos, entre 2019 y 2025.

Ambos fueron acusados en Estados Unidos de:

• Facilitar el lavado de dinero para organizaciones criminales (pena máxima de 20 años de prisión).
• Violar la Ley de Poderes Económicos de Emergencia Internacional (pena máxima de 20 años).
• Conspiración para operar un negocio de transmisión de dinero sin licencia (5 años de prisión para Besciokov).

Según documentos judiciales, los fundadores de Garantex sabían que la plataforma estaba siendo utilizada para lavar dinero procedente de delitos como piratería, ransomware, tráfico de drogas y terrorismo. Además, intentaron ocultar la participación del exchange en actividades ilegales.

Operación internacional contra Garantex

El jueves, las fuerzas de seguridad realizaron un operativo conjunto en el que participaron:

• Departamento de Justicia de EE.UU.
• Servicio Secreto de EE.UU.
• Autoridades policiales de Alemania y Finlandia

Como parte de la operación:

• Se incautaron los dominios Garantex[.]org, Garantex[.]io y Garantex[.]academy.
• Se tomaron copias de los servidores, incluyendo bases de datos de clientes y contabilidad.
• Se congelaron más de 26 millones de dólares en fondos vinculados a actividades ilícitas.
• Tether bloqueó las billeteras digitales de Garantex, lo que obligó al exchange a suspender sus operaciones.

Garantex y su historial de sanciones

Garantex ya había sido sancionado en abril de 2022 por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU., tras detectarse transacciones por más de 100 millones de dólares vinculadas a:

• Mercados de la dark web, incluyendo el ahora incautado Hydra.
• Cibercriminales y grupos de ransomware, como la operación Conti Ransomware-as-a-Service (RaaS).
• Evasión de sanciones por parte de élites rusas.
• Robo de criptomonedas atribuido al Grupo Lazarus de Corea del Norte.

Según la firma de análisis blockchain Elliptic, desde su sanción en 2022, Garantex ha procesado transacciones por más de 60.000 millones de dólares, acumulando un volumen total de 96.000 millones de dólares.

En fin, el arresto de Aleksej Besciokov y la reciente ofensiva contra Garantex refuerzan el enfoque global en la lucha contra el lavado de dinero con criptomonedas. Las sanciones y operativos coordinados subrayan la creciente presión sobre los exchanges de criptomonedas vinculados a actividades ilícitas y financiamiento del crimen organizado.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La firma de inteligencia de amenazas GreyNoise ha detectado un incremento coordinado en la explotación de vulnerabilidades de falsificación de solicitudes del lado del servidor (SSRF) en diversas plataformas. Según la compañía, al menos 400 direcciones IP han sido identificadas realizando ataques simultáneamente contra múltiples CVE de SSRF, lo que sugiere una explotación automatizada y estructurada.

Detalles del ataque

GreyNoise informó que estos intentos de explotación fueron observados el 9 de marzo de 2025, con un aumento significativo en Israel el 11 de marzo de 2025. Otros países afectados incluyen Estados Unidos, Alemania, Singapur, India, Lituania y Japón.

La empresa advierte que las mismas direcciones IP están atacando varias vulnerabilidades a la vez, en lugar de enfocarse en una sola, lo que sugiere un proceso automatizado de recopilación de inteligencia previo al compromiso.

Lista de vulnerabilidades SSRF activamente explotadas

A continuación, se detallan las principales vulnerabilidades SSRF que están siendo aprovechadas por los atacantes:

• CVE-2017-0929 (CVSS: 7.5) - DotNetNuke
• CVE-2020-7796 (CVSS: 9.8 ) - Zimbra Collaboration Suite
• CVE-2021-21973 (CVSS: 5.3) - VMware vCenter
• CVE-2021-22054 (CVSS: 7.5) - VMware Workspace ONE UEM
• CVE-2021-22175 (CVSS: 9.8 ) - GitLab CE/EE
• CVE-2021-22214 (CVSS: 8.6) - GitLab CE/EE
• CVE-2021-39935 (CVSS: 7.5) - GitLab CE/EE
• CVE-2023-5830 (CVSS: 9.8 ) - ColumbiaSoft DocumentLocator
• CVE-2024-6587 (CVSS: 7.5) - BerriAI LiteLLM
• CVE-2024-21893 (CVSS: 8.2) - Ivanti Connect Secure
• Intento de SSRF autenticado en OpenBMCS 2.4 (sin CVE asignado)
• Intento de SSRF en Zimbra Collaboration Suite (sin CVE asignado)

Impacto y recomendaciones de seguridad

Los ataques SSRF pueden representar un riesgo grave para los servicios en la nube, ya que permiten a los atacantes:

• Acceder a APIs de metadatos internas, si no están debidamente protegidas.
• Mapear redes internas y localizar servicios vulnerables.
• Robar credenciales en la nube mediante el acceso no autorizado a configuraciones sensibles.

Para mitigar estos riesgos, GreyNoise recomienda a los administradores de TI y equipos de ciberseguridad:

• Aplicar los parches de seguridad más recientes para todas las vulnerabilidades mencionadas.
• Restringir las conexiones salientes únicamente a los puntos de conexión necesarios.
• Supervisar las solicitudes salientes sospechosas para detectar actividad maliciosa.

En conclusión, el aumento de estos ataques SSRF refuerza la importancia de mantener los sistemas actualizados y aplicar estrategias de seguridad proactivas. Dado el nivel de automatización observado, se recomienda a las organizaciones implementar controles estrictos de acceso y reforzar la monitorización en tiempo real.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Apple ha lanzado una actualización de seguridad crítica para abordar una vulnerabilidad de día cero (CVE-2025-24201) en WebKit, el motor del navegador de Safari. La compañía confirmó que la falla ha sido explotada en ataques altamente sofisticados dirigidos a usuarios específicos con versiones anteriores a iOS 17.2.

¿Qué es la vulnerabilidad CVE-2025-24201?

Se trata de un error de escritura fuera de los límites que permite a los atacantes crear contenido web malicioso capaz de evadir el entorno de seguridad del navegador. Si se explota con éxito, un ciberdelincuente podría ejecutar código malicioso en el dispositivo afectado.

Para mitigar el riesgo, Apple ha implementado controles mejorados que bloquean acciones no autorizadas dentro del sistema operativo. Esta solución complementa las medidas de seguridad ya introducidas en iOS 17.2.

¿Quiénes están en riesgo?

Apple ha reconocido que la vulnerabilidad ha sido utilizada en ataques dirigidos a individuos específicos. Sin embargo, no ha revelado detalles sobre los responsables de los ataques, su duración ni cómo se descubrió la falla.

Dispositivos y versiones afectadas

La actualización de seguridad está disponible para los siguientes dispositivos y sistemas operativos:

• iOS 18.3.2 y iPadOS 18.3.2: iPhone XS y posteriores, iPad Pro (13" y 12,9" desde la 3.ª generación), iPad Pro de 11" (1.ª generación y posteriores), iPad Air (3.ª generación y posteriores), iPad (7.ª generación y posteriores) y iPad mini (5.ª generación y posteriores).
• macOS Sequoia 15.3.2: Disponible para Mac con macOS Sequoia.
• Safari 18.3.1: Para Mac con macOS Ventura y macOS Sonoma.
• visionOS 2.3.2: Exclusivo para Apple Vision Pro.

Apple y las vulnerabilidades de día cero en 2025

Con esta actualización, Apple ha corregido un total de tres vulnerabilidades de día cero en 2025, las otras dos identificadas como CVE-2025-24085 y CVE-2025-24200.

Recomendaciones para los usuarios

Para evitar posibles ataques, se recomienda actualizar inmediatamente a la última versión del sistema operativo y mantener las configuraciones de seguridad activadas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

PipeWire 1.4 es la última versión del potente servidor multimedia diseñado para gestionar audio y video en Linux. Desde su lanzamiento estable con la versión 1.0 en noviembre de 2023, PipeWire ha evolucionado significativamente, integrando funciones que antes requerían soluciones separadas como PulseAudio y JACK.

Principales Novedades de PipeWire 1.4


🔹 Unificación de Configuración de Clientes

Ahora, en lugar de archivos separados como client-rt.conf, todos los clientes utilizan client.conf, asegurando una gestión simplificada y una priorización automática de hilos en tiempo real, lo que mejora el rendimiento en aplicaciones de audio y video.

🔹 Soporte para MIDI 2 (UMP)

Esta actualización introduce compatibilidad con MIDI 2 (Universal MIDI Packet - UMP), permitiendo una transmisión de datos más eficiente. Además, incorpora herramientas de conversión entre el formato tradicional y UMP, asegurando la compatibilidad con software y equipos existentes.

🔹 Mejoras en el Resampler

El resampler, encargado de ajustar la frecuencia de muestreo de audio, ahora puede precomputar filtros de conversión durante la compilación, optimizando la eficiencia en tiempo de ejecución. También se ha mejorado el reporte de latencia, ofreciendo una sincronización más precisa en aplicaciones de audio profesional.

🔹 Conectividad Mejorada con Bluetooth y ASHA

Se ha añadido soporte para BAP (Broadcast Audio Profile) en Bluetooth, así como compatibilidad con ASHA (Audio Streaming for Hearing Aids), asegurando una mejor experiencia de audio inalámbrica en dispositivos modernos.

🔹 Integración con ALSA y Soporte para DSD

La compatibilidad con ALSA ahora permite la reproducción de DSD (Direct Stream Digital) cuando se habilita mediante alsa.formats, una mejora clave para audiófilos que buscan audio en alta resolución sin pérdidas.

🔹 Optimización para Usuarios de JACK

Los usuarios de JACK ahora cuentan con mejoras en la gestión del transporte y sincronización de audio en tiempo real, facilitando la integración de PipeWire en entornos de producción profesional.

🔹 Nuevas Funcionalidades para Video

Un nuevo plugin de conversión basado en FFmpeg para optimizar el flujo de video.
Mejoras en los elementos de GStreamer, optimizando la gestión de buffers y tasas de coincidencia, permitiendo captura y reproducción de video más fluidas.

Más Mejoras en PipeWire 1.4

✅ Un nuevo servicio de sistema para pipewire-pulse, mejorando la compatibilidad con aplicaciones que dependen de PulseAudio.
✅ Optimización de módulos existentes y la incorporación de nuevos plugins para potenciar las capacidades de procesamiento de audio.
✅ Correcciones y ajustes menores, mejorando la estabilidad y rendimiento general del servidor multimedia.

PipeWire 1.4 sigue consolidándose como la solución multimedia definitiva para Linux, ofreciendo mejoras en audio, video, conectividad y rendimiento. Con cada actualización, este servidor multimedia se posiciona como una alternativa robusta a PulseAudio y JACK, ideal tanto para usuarios generales como para profesionales del audio y video.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Moxa, la empresa taiwanesa especializada en soluciones de conectividad industrial, ha lanzado una actualización de seguridad para abordar una vulnerabilidad crítica que afecta a sus switches PT. La falla, identificada como CVE-2024-12297, podría permitir a los atacantes evadir la autenticación y comprometer dispositivos de red.

CVE-2024-12297: Un Riesgo de Seguridad Crítico

Con una puntuación de 9,2 en el CVSS v4, esta vulnerabilidad permite a los atacantes aprovechar fallos en el mecanismo de autorización de los switches Moxa PT.

Según el aviso oficial de Moxa, aunque se implementa verificación tanto en el cliente como en el servidor back-end, los atacantes pueden explotar estas debilidades mediante:

✅ Ataques de fuerza bruta para adivinar credenciales válidas.
✅ Colisiones de hash MD5 para falsificar autenticaciones.

Esto podría otorgar acceso no autorizado a configuraciones críticas o interrumpir los servicios de red.

Dispositivos Afectados por la Vulnerabilidad

Los modelos afectados incluyen:

• Serie PT-508 (firmware 3.8 y anteriores)
• Serie PT-510 (firmware 3.8 y anteriores)
• Serie PT-7528 (firmware 5.0 y anteriores)
• Serie PT-7728 (firmware 3.9 y anteriores)
• Serie PT-7828 (firmware 4.0 y anteriores)
• Serie PT-G503 (firmware 5.3 y anteriores)
• Serie PT-G510 (firmware 6.5 y anteriores)
• Serie PT-G7728 (firmware 6.5 y anteriores)
• Serie PT-G7828 (firmware 6.5 y anteriores)

Los parches de seguridad están disponibles a través del soporte técnico de Moxa.

Recomendaciones para Mitigar el Riesgo

Para evitar explotaciones de esta vulnerabilidad, se recomienda:

🔹 Actualizar el firmware con los parches más recientes.
🔹 Restringir el acceso a la red mediante firewalls y listas de control de acceso (ACLs).
🔹 Segmentar la red para reducir la exposición.
🔹 Minimizar la exposición a Internet de los dispositivos afectados.
🔹 Implementar autenticación multifactor (MFA) en sistemas críticos.
🔹 Habilitar el registro de eventos y supervisar el tráfico en busca de actividades sospechosas.

Antecedentes: Otras Vulnerabilidades en Moxa

En enero de 2025, Moxa corrigió esta misma vulnerabilidad en el conmutador Ethernet EDS-508A (firmware 3.11 y anteriores).

Además, en los últimos meses, la empresa ha lanzado parches para varias vulnerabilidades críticas, incluyendo:

✔ CVE-2024-9138 y CVE-2024-9140: permitían escalada de privilegios y ejecución de comandos en enrutadores celulares y dispositivos de seguridad de red.
✔ CVE-2024-7695, CVE-2024-9404 y CVE-2024-9137: afectaban a múltiples switches y podían provocar ataques de denegación de servicio (DoS) o ejecución de comandos.

En conclusión, la vulnerabilidad CVE-2024-12297 representa un riesgo significativo para infraestructuras industriales y empresariales que utilizan switches Moxa PT. Actualizar el firmware y fortalecer la seguridad de la red es esencial para mitigar posibles ataques.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los routers TP-Link Archer sin parches se han convertido en el objetivo de una nueva campaña de botnets denominada Ballista, según un informe del equipo de Cato CTRL.

Exploit en TP-Link Archer: CVE-2023-1389 y su Impacto

La botnet Ballista explota la vulnerabilidad de ejecución remota de código (RCE) CVE-2023-1389, un fallo crítico que afecta a los routers TP-Link Archer AX-21. Esta vulnerabilidad permite la inyección de comandos, facilitando la ejecución de código malicioso en los dispositivos comprometidos.

Desde abril de 2023, actores maliciosos han explotado esta falla para desplegar el malware de la botnet Mirai y otras variantes como Condi y AndroxGh0st.

Cronología del Ataque de Ballista

El equipo de Cato CTRL detectó la campaña de Ballista el 10 de enero de 2025, con intentos de explotación recientes registrados hasta el 17 de febrero.

La botnet se propaga mediante un dropper de malware llamado No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, un script de shell diseñado para descargar y ejecutar un binario malicioso en arquitecturas como mips, mipsel, armv5l, armv7l y x86_64.

Una vez instalado, el malware establece un canal de comando y control (C2) cifrado en el puerto 82, permitiendo a los atacantes ejecutar comandos de shell, realizar ataques de denegación de servicio (DoS) y acceder a archivos sensibles en el sistema infectado.

Funciones Clave del Malware Ballista

Ballista admite varios comandos maliciosos, entre ellos:

• flooder: desencadena un ataque de inundación.
• exploiter: explota la vulnerabilidad CVE-2023-1389.
• start: inicia el módulo del exploit.
• close: detiene la activación del módulo.
• shell: ejecuta comandos de Linux en el sistema comprometido.
• killall: finaliza procesos en ejecución.

Además, Ballista elimina instancias previas de sí misma y borra su rastro tras la ejecución, evitando detecciones. También intenta propagarse a otros routers TP-Link Archer mediante la explotación de la misma vulnerabilidad.

Origen y Distribución de la Botnet Ballista

El análisis del C2 (2.237.57[.]70) y la presencia de cadenas de idioma italiano en los binarios sugieren que el ataque podría estar vinculado a un grupo de cibercriminales italianos.

Ballista sigue en desarrollo activo. Recientemente, los atacantes han cambiado la dirección IP del C2 por dominios en la red TOR, dificultando su rastreo.

Según datos de Censys, más de 6.000 dispositivos están actualmente infectados, con focos en Brasil, Polonia, Reino Unido, Bulgaria y Turquía. También se ha identificado actividad en sectores como manufactura, salud, tecnología y servicios en EE.UU., Australia, China y México.

En fin, aunque Ballista comparte similitudes con botnets conocidas como Mirai y Mozi, presenta características únicas que la diferencian de las amenazas tradicionales.

Para prevenir infecciones, se recomienda actualizar los routers TP-Link Archer, aplicar parches de seguridad y monitorear la actividad de red para detectar conexiones sospechosas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una innovadora herramienta llamada Chirp permite la transmisión de datos, como mensajes de texto, entre computadoras y teléfonos inteligentes utilizando distintos tonos de audio. Desarrollada por el investigador de ciberseguridad solst/ICE, esta tecnología mapea cada carácter en una frecuencia de sonido específica y lo reproduce con una visualización en tiempo real.

¿Cómo funciona Chirp?


Los dispositivos que ejecutan Chirp y cuentan con micrófono pueden captar los sonidos transmitidos y convertirlos nuevamente en texto, facilitando la comunicación sin necesidad de conexiones inalámbricas tradicionales. Esta tecnología, aunque limitada por la interferencia del ruido ambiental, es ideal para comunicaciones de corto alcance, entornos offline y aplicaciones de bajo consumo energético.

El software está disponible tanto en línea como en una aplicación independiente, accesible de forma gratuita a través de GitHub.

Limitaciones y desafíos

• Interrupción en la recepción: Chirp deja de escuchar mientras transmite, lo que significa que cualquier mensaje recibido en ese momento se pierde.
• Velocidad de transmisión: Un mensaje de 100 palabras puede tardar aproximadamente 70 segundos en enviarse.
• Ausencia de corrección de errores: Actualmente, Chirp no cuenta con mecanismos de redundancia o corrección de errores, lo que puede provocar una alta tasa de fallos en entornos con ruido excesivo.

Un concepto antiguo con un enfoque innovador

La transmisión de datos mediante altavoces y micrófonos no es nueva. En 2018, investigadores israelíes desarrollaron el ataque MOSQUITO, basado en un concepto similar. Además, en 2020, Sonos adquirió No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, una plataforma con capacidades comparables para la comunicación entre dispositivos sin redes inalámbricas.

El investigador solst/ICE se inspiró en una demostración en la que dos modelos de IA se comunicaban mediante señales de audio generadas por ggwave, una biblioteca compacta desarrollada por Georgi Gerganov para la transmisión de mensajes a través de ondas sonoras.

El futuro de Chirp: sonidos hipersónicos

El próximo paso en la evolución de Chirp es la implementación de frecuencias inaudibles para transmitir mensajes de manera más sigilosa y eficiente. Esta mejora podría ampliar su utilidad en aplicaciones de ciberseguridad y privacidad.

Privacidad y accesibilidad

Para los usuarios preocupados por la privacidad, Chirp se ejecuta completamente en el lado del cliente a través de GitHub Pages, sin enviar datos a servidores externos. Las pruebas han confirmado que el servicio sigue funcionando correctamente incluso en modo offline.

Con su enfoque único en la transmisión de datos por sonido, Chirp se posiciona como una herramienta innovadora para la comunicación alternativa y la experimentación en ciberseguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ha dado un paso significativo en la integración de herramientas avanzadas en Android con el lanzamiento de un terminal Linux nativo, que permite ejecutar Debian en una máquina virtual dentro del sistema operativo móvil. Esta función está dirigida a desarrolladores y administradores de sistemas, ofreciendo un acceso eficiente a entornos Linux directamente desde un smartphone.

Disponibilidad y requisitos

Actualmente, el terminal Linux en Android solo está disponible en dispositivos Pixel con la actualización Pixel Feature Drop de marzo de 2025. Aunque no hay confirmación oficial, se especula que esta funcionalidad podría expandirse a otros dispositivos con el lanzamiento de Android 16.

¿Por qué es relevante un terminal Linux en Android?

Si bien la mayoría de los usuarios de Android no requieren un entorno Linux en su dispositivo, para desarrolladores, expertos en ciberseguridad y administradores de servidores, esta herramienta representa un avance clave. Entre sus principales beneficios destacan:

• Acceso a comandos avanzados para desarrollo y administración de sistemas.
• Automatización de tareas sin necesidad de un PC o soluciones de terceros.
• Mayor seguridad y estabilidad, ya que se ejecuta en una máquina virtual aislada.
• Alternativa nativa a emuladores de terminal como Termux.

Esta implementación es similar a la que se encuentra en ChromeOS, donde los usuarios pueden ejecutar aplicaciones Linux de manera segura dentro del sistema.


Funciones y características clave

Google ha optimizado la experiencia del usuario en el terminal Linux de Android, incorporando opciones avanzadas como:

• Gestión del almacenamiento: permite redimensionar el espacio asignado a la máquina virtual.
• Controles de red: configuración de permisos de red para el entorno Linux.
• Opción de recuperación: facilita la restauración del sistema en caso de fallos.

Además, Google trabaja en la compatibilidad con aceleración de hardware y entornos gráficos, lo que hará que esta terminal sea aún más versátil en futuras actualizaciones. Esto podría posicionarla como una opción competitiva frente a herramientas populares como CPU Fetch para la visualización de información del sistema.

¿Se expandirá a otros dispositivos?

Por ahora, el terminal Linux en Android es exclusivo de los dispositivos Pixel, pero su expansión a otros modelos dependerá de la evolución de Android 16. Si esta función se generaliza, marcaría un cambio importante en cómo Android maneja entornos de desarrollo avanzados, eliminando la necesidad de aplicaciones de terceros para ejecutar comandos Linux.

Esta integración acerca aún más a Android al ecosistema Linux, permitiendo que los smartphones se conviertan en herramientas poderosas para el desarrollo de software y la administración de servidores. Con futuras mejoras, como la integración de servicios en la nube como Dropbox en el terminal Linux, se abrirían nuevas oportunidades para profesionales de TI.

Sin duda, este avance puede redefinir la manera en que los expertos en tecnología utilizan Android como una plataforma de desarrollo en el futuro.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

DuckDuckGo no solo es el motor de búsqueda más potente en términos de privacidad, sino que también ofrece una de las experiencias de inteligencia artificial más accesibles y seguras. Su compromiso con la privacidad sigue siendo una prioridad, como lo ha reiterado su CEO, Gabriel Weinberg, en el blog oficial de la compañía.

Un enfoque de IA centrado en la privacidad y utilidad

Weinberg destaca que la estrategia de DuckDuckGo en inteligencia artificial es privada, útil y opcional. «No estamos creando funciones de IA solo por crearlas. Deben ser realmente útiles en el día a día», afirmó. Y lo cierto es que DuckDuckGo está ejecutando este enfoque con gran acierto, superando a otros asistentes de IA centrados en la privacidad.

Uno de los principales avances es la evolución de DuckDuckGo AI Chat, ahora renombrado como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Tras un extenso periodo de pruebas, durante el cual ha procesado millones de respuestas diarias, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta sale de su fase beta con modelos actualizados y nuevas funcionalidades.

Modelos de IA disponibles en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


No tienes permitido ver enlaces. Registrate o Entra a tu cuenta permite a los usuarios elegir entre diversos modelos de IA según sus necesidades:

• GPT-4o mini: rápido, eficiente y versátil para conversaciones y generación de contenido.
• Llama 3.37 0B: diseñado para tareas específicas con un enfoque diferenciado.
• Claude 3 Haiku: ideal para creatividad y generación de texto literario.
• o3-mini: optimizado para respuestas rápidas y eficiencia de recursos.
• Mistral Small 3: modelo ligero para tareas que requieren menor consumo de recursos.

Es importante destacar que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta utiliza GPT-4o mini, una versión más rápida y eficiente de GPT-4, aunque con ciertas limitaciones. No obstante, estos modelos cubren las necesidades básicas de la mayoría de los usuarios. Para quienes buscan más potencia, siempre pueden recurrir a opciones comerciales como ChatGPT, Gemini o Claude.

Privacidad sin compromisos en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una de las mayores ventajas de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta es que no impone límites de uso y respeta la privacidad del usuario. Esto significa que todas las solicitudes se camuflan, no se requiere registro y no se almacenan registros más allá del dispositivo del usuario. Existe, eso sí, la opción de conservar mensajes hasta por 30 días, lo que supone un pequeño compromiso en funcionalidad, pero garantiza un nivel de privacidad sin precedentes.

IA en las búsquedas de DuckDuckGo

Además de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, la compañía ha implementado un asistente de IA en los resultados de búsqueda. A diferencia del enfoque tradicional de redirigir preguntas al chatbot, esta nueva funcionalidad integra respuestas generadas por IA directamente en los resultados, similar a Brave Search con Leo, pero con una ventaja: el usuario puede configurar su uso y comportamiento. De momento, este despliegue comienza en inglés.

DuckDuckGo: una alternativa confiable para quienes buscan privacidad

Si no te interesa la IA, DuckDuckGo sigue siendo una excelente opción por su enfoque en la privacidad. Pero si te preocupa el impacto de la inteligencia artificial en la seguridad de tus datos, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta es una de las mejores alternativas disponibles, combinando accesibilidad y protección de la información personal sin concesiones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Garuda Linux se ha convertido en una de las distribuciones derivadas de Arch Linux más comentadas en los últimos tiempos. Con actualizaciones constantes y mejoras significativas, su nueva versión, Garuda Linux 'Broadwing', trae consigo importantes cambios diseñados para mejorar la experiencia del usuario.

¿Qué hace especial a Garuda Linux?

Originaria de la India, Garuda Linux despegó en 2020 y ha ido ganando popularidad rápidamente. Su enfoque en el alto rendimiento y la optimización lo distingue de otras distribuciones basadas en Arch. A diferencia de muchas derivadas de Arch Linux, que suelen limitarse a ofrecer actualizaciones dentro de su modelo rolling release, Garuda introduce características innovadoras en cada versión.

Esta distribución destaca por utilizar el kernel Zen, una versión optimizada de Linux que mejora el rendimiento, y por su fuerte orientación al gaming. Además, ofrece una amplia variedad de entornos de escritorio, incluyendo Cinnamon, Dr460nized (KDE Plasma), Dr460nized-Gaming, GNOME, Hyprland, i3, KDE-Lite, Sway y Xfce, proporcionando opciones para todo tipo de usuarios.

Novedades en Garuda Linux 'Broadwing'


La nueva versión Broadwing introduce dos ediciones adicionales a su catálogo:

Garuda Mokka: basada en KDE Plasma y con un diseño moderno inspirado en el popular tema Catppuccin.

Garuda Cosmic: utiliza el entorno de escritorio Cosmic de System76, aunque aún se encuentra en fase alfa.

Garuda Rani: la nueva herramienta de administración del sistema

Una de las grandes innovaciones de esta versión es Garuda Rani, una aplicación diseñada para unificar y mejorar las utilidades del sistema. Rani (Reliable Assistant for Native Installations) reemplaza herramientas como Welcome, Gamer y Assistant, consolidando en una sola interfaz el control y la personalización del sistema. Con esta nueva aplicación, Garuda Linux busca simplificar la experiencia del usuario y ofrecer un entorno más intuitivo.

Garuda Mokka: un nuevo diseño visual con Catppuccin

El diseño siempre ha sido un aspecto debatido en Garuda Linux, pero con Mokka han apostado por un estilo más moderno y atractivo. Basado en KDE Plasma, este nuevo sabor adopta el tema Catppuccin, ofreciendo una apariencia más refinada y agradable a la vista.

Mejoras en los repositorios con Chaotic-AUR e Infra 4.0

Otro cambio significativo en Broadwing es la optimización del sistema de repositorios, con la actualización a Infra 4.0 para Chaotic-AUR. Esta mejora incluye nuevas formas de visualizar datos y una página de inicio renovada, facilitando la gestión de paquetes y la instalación de software.

Descarga y prueba Garuda Linux

Si te interesa probar Garuda Linux, puedes descargar las nuevas imágenes de instalación desde las notas de lanzamiento oficiales. Explora esta potente distribución basada en Arch Linux y comparte tu experiencia.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este fin de semana, Linux Mint publicó su boletín mensual, revelando datos interesantes sobre el uso de sus entornos de escritorio. Mientras que muchos medios han resaltado el rediseño del menú de inicio de Cinnamon, un aspecto que merece atención son las estadísticas sobre la popularidad de cada escritorio en la distribución.

Cinnamon domina en Linux Mint

Como es sabido, Linux Mint se ofrece en tres variantes: Cinnamon, MATE y Xfce. Si bien todas son opciones populares en el ecosistema Linux, Cinnamon se considera la alternativa más moderna y completa, comparable con KDE Plasma y GNOME.

Según las cifras compartidas en el boletín, Cinnamon es la opción más descargada, con un 60% de las descargas, seguido de Xfce y MATE, cada uno con un 20%. Es importante destacar que estos datos reflejan solo las descargas recientes y no necesariamente el uso real, aunque pueden servir como indicador de tendencias dentro de la comunidad.

Distribución de versiones de Linux Mint

Además de los entornos de escritorio, el boletín incluye información sobre la popularidad de las versiones de Linux Mint. La versión más reciente lidera con una amplia ventaja:

📌 Linux Mint 22.1 – 70%
📌 Linux Mint Debian Edition (LMDE) 6 – 14%
📌 Linux Mint 22 – 8%
📌 Linux Mint 21.3 – 8%

Estos resultados coinciden con encuestas previas y reflejan una preferencia clara por las versiones más modernas.

Linux Mint 21.3 Edge será la última de su tipo

El boletín también informa sobre un cambio importante: Linux Mint 21.3 Edge será la última versión en este formato. A partir de Linux Mint 22, la distribución adoptará las actualizaciones del LTS Enablement Stack de Ubuntu, alineándose con su calendario de lanzamientos. Esto significa que la próxima versión de Linux Mint incluirá las novedades introducidas en Ubuntu 24.04.2 LTS.

Sin embargo, aún faltan varios meses para el lanzamiento de Linux Mint 22.2, por lo que los usuarios deberán esperar antes de ver estos cambios en acción.

Así es el nuevo menú de inicio de Cinnamon

Finalmente, el boletín muestra una vista previa del nuevo menú de inicio de Cinnamon, una de las novedades más comentadas. Este rediseño busca mejorar la usabilidad y ofrecer una experiencia más moderna a los usuarios de este entorno de escritorio.


Para más información sobre Linux Mint y sus últimas novedades, visita el sitio oficial del proyecto.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

DeepSeek, la empresa china especializada en inteligencia artificial (IA), continúa su expansión tecnológica con Fire-Flyer File System (3FS), un sistema de archivos distribuido de alto rendimiento diseñado para gestionar grandes volúmenes de datos en entornos de IA. Este desarrollo optimiza el almacenamiento y acceso a información clave en procesos de entrenamiento e inferencia de modelos avanzados, superando las limitaciones de los sistemas de archivos tradicionales.

DeepSeek: la IA china que desafía el sector tecnológico

DeepSeek ha revolucionado la industria de la IA con soluciones capaces de competir con los modelos de lenguaje más avanzados. Aunque la compañía se ha presentado como un proyecto de código abierto, existen ciertos matices en esta afirmación. Si bien ha liberado modelos como DeepSeek LLM y DeepSeek Coder, aún no ha divulgado información esencial sobre los datos y procesos de entrenamiento.

Pese a los desafíos regulatorios y la creciente competencia, DeepSeek sigue avanzando con iniciativas como 3FS, demostrando su apuesta por el desarrollo tecnológico y el código abierto.

Fire-Flyer File System (3FS): almacenamiento eficiente para IA a gran escala

El sistema de archivos 3FS ha sido diseñado para optimizar la gestión de datos en infraestructuras de IA, abordando problemas como la latencia y la escalabilidad. Basado en FUSE (Filesystem in Userspace), permite ejecutar el sistema de archivos en el espacio de usuario sin modificar el kernel de Linux, facilitando su integración en distintas distribuciones.

Principales características de 3FS

✔ Alto rendimiento: diseñado para manejar grandes volúmenes de datos con latencia mínima, optimizando el entrenamiento e inferencia de modelos de IA.
✔ Escalabilidad: su arquitectura distribuida permite ampliar la capacidad de almacenamiento sin afectar la velocidad o estabilidad.
✔ Optimización para hardware moderno: el uso de SSD y RDMA (Remote Direct Memory Access) reduce la latencia y mejora el rendimiento.
✔ Basado en FUSE: se ejecuta en el espacio de usuario, facilitando la implementación sin requerir modificaciones en el kernel.

Un modelo de desarrollo abierto

A diferencia de otras soluciones propietarias, DeepSeek ha publicado el código de 3FS bajo licencia MIT, permitiendo que la comunidad de desarrolladores pueda acceder, modificar y mejorar el sistema según sus necesidades. Toda la información sobre Fire-Flyer File System (3FS) está disponible en GitHub, donde DeepSeek también ha compartido otros componentes de su ecosistema tecnológico.

Con este lanzamiento, DeepSeek refuerza su posición en el sector de la inteligencia artificial, apostando por soluciones de alto rendimiento y código abierto que impulsan el desarrollo de modelos más eficientes y escalables.

Fuente:  No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha identificado cinco vulnerabilidades en el controlador Paragon Partition Manager BioNTdrv.sys, una de las cuales ha sido explotada por bandas de ransomware en ataques de día cero para obtener privilegios de SISTEMA en Windows.

Ataques BYOVD: Un riesgo creciente en Windows

Los atacantes han utilizado los controladores vulnerables en ataques "Bring Your Own Vulnerable Driver" (BYOVD), una técnica en la que los ciberdelincuentes instalan un controlador del kernel en un sistema objetivo para elevar sus privilegios y ejecutar código malicioso.

"Un atacante con acceso local a un dispositivo puede explotar estas vulnerabilidades para escalar privilegios o causar una denegación de servicio (DoS) en la máquina de la víctima", alertó CERT/CC. "Dado que el ataque involucra un controlador firmado por Microsoft, un atacante puede aprovechar la técnica BYOVD incluso si Paragon Partition Manager no está instalado".

Dado que BioNTdrv.sys es un controlador a nivel de kernel, los ciberdelincuentes pueden explotar estas fallas para ejecutar comandos con privilegios elevados, eludiendo las protecciones de seguridad y los sistemas antivirus.

Vulnerabilidad explotada en ataques de ransomware

Microsoft descubrió cinco fallas, incluyendo CVE-2025-0289, utilizada en ataques de ransomware BYOVD para escalar privilegios al nivel de SISTEMA y ejecutar código malicioso. Aunque Microsoft no ha especificado qué bandas de ransomware han explotado esta falla, se sabe que actores como Scatter Spider, Lazarus, BlackByte y LockBit han empleado ataques BYOVD en el pasado.

Detalle de las vulnerabilidades encontradas

Las cinco vulnerabilidades identificadas son:

• CVE-2025-0288: Escritura arbitraria en la memoria del kernel debido a un manejo incorrecto de la función 'memmove', permitiendo escalamiento de privilegios.
• CVE-2025-0287: Desreferencia de puntero nulo por falta de validación en una estructura 'MasterLrp', permitiendo ejecución de código de kernel arbitrario.
• CVE-2025-0286: Escritura arbitraria de memoria del kernel por validación incorrecta de longitudes de datos proporcionados por el usuario, permitiendo ejecución de código.
• CVE-2025-0285: Asignación arbitraria de memoria del kernel, permitiendo escalada de privilegios mediante manipulación de asignaciones de memoria.
• CVE-2025-0289: Acceso inseguro a recursos del kernel debido a validación inadecuada del puntero 'MappedSystemVa', comprometiendo los recursos del sistema.

Las primeras cuatro vulnerabilidades afectan a Paragon Partition Manager v7.9.1 y anteriores, mientras que CVE-2025-0289 afecta a la versión 17 y anteriores.

Medidas de mitigación y protección

Se recomienda actualizar a la última versión del software, que incluye BioNTdrv.sys v2.0.0, la cual corrige todas las vulnerabilidades. No obstante, incluso si Paragon Partition Manager no está instalado, los ataques BYOVD siguen siendo una amenaza, ya que los ciberdelincuentes pueden incluir el controlador vulnerable en sus propios paquetes maliciosos.

Microsoft ha actualizado su "Lista de bloqueo de controladores vulnerables" para evitar la carga de BioNTdrv.sys en Windows. Para verificar que esta protección esté activa, los usuarios deben ir a:

Configuración → Privacidad y seguridad → Seguridad de Windows → Seguridad del dispositivo → Aislamiento principal → Lista de bloqueo de controladores vulnerables de Microsoft y asegurarse de que esté habilitada.


Paragon Software también ha emitido una advertencia recomendando la actualización de Paragon Hard Disk Manager, ya que también utiliza el controlador vulnerable.

Creciente uso de ataques BYOVD en ransomware

El uso de ataques BYOVD está en aumento, ya que permite a los ciberdelincuentes obtener privilegios elevados en dispositivos Windows con facilidad. Grupos de amenazas conocidos como Scatter Spider, Lazarus, BlackByte y LockBit han empleado esta técnica en diversas campañas maliciosas.

Dada la gravedad de estas vulnerabilidades, se recomienda a usuarios y empresas implementar medidas de seguridad adicionales, incluyendo la actualización constante del software y el monitoreo de actividad sospechosa en sus sistemas.

En fin, las vulnerabilidades en Paragon Partition Manager representan un riesgo significativo para la seguridad de los sistemas Windows, especialmente debido al uso de ataques BYOVD por parte de bandas de ransomware. La aplicación de parches de seguridad y la activación de la lista de bloqueo de controladores vulnerables son pasos clave para mitigar esta amenaza y proteger la integridad de los dispositivos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La banda de ransomware Qilin ha reivindicado el ciberataque contra Lee Enterprises, ocurrido el 3 de febrero de 2025, causando interrupciones operativas significativas. Los ciberdelincuentes han filtrado muestras de datos supuestamente robados y han amenazado con publicar toda la información el 5 de marzo de 2025, a menos que se pague el rescate.

Lee Enterprises: objetivo del ransomware Qilin

Lee Enterprises, una de las principales compañías de medios en Estados Unidos, opera más de 77 periódicos diarios, 350 publicaciones y múltiples plataformas digitales. Su audiencia mensual alcanza decenas de millones de usuarios.

En una presentación ante la Comisión de Bolsa y Valores de EE. UU. (SEC), la empresa confirmó que fue víctima de un ciberataque el 3 de febrero de 2025, lo que resultó en graves interrupciones operativas. Según BleepingComputer, el ataque provocó pérdida de acceso a sistemas internos, fallos en el almacenamiento en la nube y en las VPN corporativas.

Una semana después, Lee Enterprises actualizó su declaración a la SEC, revelando que los atacantes cifraron aplicaciones críticas y exfiltraron archivos, confirmando así un ataque de ransomware.

Datos filtrados y amenaza de publicación

El ransomware Qilin ha agregado a Lee Enterprises a su sitio de extorsión en la dark web, publicando muestras de datos confidenciales que incluyen:

• Escaneos de identificaciones gubernamentales.
• Acuerdos de confidencialidad.
• Hojas de cálculo financieras.
• Contratos y otros documentos sensibles.

Los ciberdelincuentes afirman haber robado 120.000 archivos con un tamaño total de 350 GB y amenazan con publicar la totalidad de los datos el 5 de marzo de 2025.

BleepingComputer contactó a Lee Enterprises para confirmar la legitimidad de los datos filtrados. Un portavoz de la empresa respondió: "Estamos al tanto de las afirmaciones y actualmente las estamos investigando".

Evolución del ransomware Qilin

Qilin, anteriormente conocido como Agenda, surgió en agosto de 2022 y ha evolucionado significativamente en los últimos años. A pesar de no ser la banda de ransomware más prolífica, ha atacado a organizaciones importantes, incluyendo:

• Yangfeng, gigante de la industria automotriz.
• Servicios Judiciales de Victoria (Australia).
• Hospitales del NHS en Londres.

Innovaciones técnicas de Qilin


El ransomware ha mejorado su capacidad de ataque con el tiempo:

• Diciembre de 2023: Introducción de una variante para Linux (VMware ESXi).
• Agosto de 2024: Implementación de un ladrón de credenciales para Chrome.
• Octubre de 2024: Incorporación de un bloqueador de datos en Rust, con cifrado avanzado y mejor evasión de detección.

Además, un informe de Microsoft reveló que Scatter Spider, un colectivo de hackers conocido, ha comenzado a utilizar Qilin en sus ataques.

En fin, el ataque a Lee Enterprises demuestra la creciente amenaza del ransomware y la sofisticación de grupos como Qilin. Las empresas de medios y otras organizaciones deben reforzar sus estrategias de ciberseguridad para mitigar riesgos y proteger datos sensibles.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un activista serbio de 23 años fue víctima de un exploit de día cero desarrollado por Cellebrite para desbloquear su dispositivo Android, según un informe de Amnistía Internacional.

Exploit de día cero en dispositivos Android

Amnistía Internacional reveló que el teléfono de un estudiante manifestante fue atacado con una cadena de exploits de día cero dirigidos a controladores USB de Android. "El exploit permitió a los clientes de Cellebrite con acceso físico al dispositivo eludir la pantalla de bloqueo y obtener acceso privilegiado", afirmó la organización.

La vulnerabilidad clave es CVE-2024-53104 (CVSS 7.8 ), una escalada de privilegios en el controlador USB Video Class (UVC) del kernel de Linux. Un parche para esta falla se lanzó en diciembre de 2024 y fue incorporado en Android a principios de este mes.

Este exploit se combinó con otras dos vulnerabilidades:

• CVE-2024-53197: acceso fuera de límites en dispositivos Extigy y Mbox.
• CVE-2024-50302 (CVSS 5.5): uso de recursos no inicializados que pueden causar pérdida de memoria del kernel.

Uso del exploit en manifestaciones en Serbia

El activista, identificado como "Vedran" por razones de privacidad, fue detenido el 25 de diciembre de 2024 tras una protesta estudiantil en Belgrado. Su teléfono, un Samsung Galaxy A32, fue confiscado y desbloqueado mediante el exploit de Cellebrite.

El análisis de Amnistía Internacional sugiere que las autoridades intentaron instalar una aplicación desconocida en el dispositivo. Aunque la naturaleza exacta de esta app sigue sin determinarse, el procedimiento es similar a infecciones previas del spyware NoviSpy, reportadas en diciembre de 2024.

Reacciones y respuesta de Cellebrite

Cellebrite, empresa israelí de ciberseguridad, declaró que sus herramientas no están diseñadas para actividades cibernéticas ofensivas y que trabaja activamente para prevenir el uso indebido de su tecnología.

Además, la compañía anunció que prohibirá el uso de su software en Serbia, afirmando: "Consideramos apropiado detener el uso de nuestros productos por parte de los clientes relevantes en este momento".

En fin, este caso destaca la creciente preocupación sobre el abuso de herramientas forenses en la represión de activistas y la explotación de vulnerabilidades en Android. La comunidad de ciberseguridad sigue alerta ante nuevas amenazas relacionadas con el acceso no autorizado a dispositivos móviles.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han detectado una campaña de phishing masiva que utiliza imágenes CAPTCHA falsas en documentos PDF alojados en la red de entrega de contenido (CDN) de Webflow para distribuir el malware ladrón Lumma Stealer.

Detalles de la campaña de phishing

Netskope Threat Labs identificó 260 dominios únicos que alojan 5,000 archivos PDF maliciosos. Estos archivos redirigen a las víctimas a sitios fraudulentos diseñados para robar credenciales y datos financieros.

Los ciberdelincuentes emplean estrategias de SEO malicioso para posicionar estas páginas en los motores de búsqueda, engañando a los usuarios para que accedan a los documentos infectados. "Si bien muchas páginas de phishing buscan robar información de tarjetas de crédito, algunos archivos PDF contienen CAPTCHA falsos que inducen a las víctimas a ejecutar comandos de PowerShell, lo que finalmente descarga Lumma Stealer", explicó Jan Michael Alcantara, investigador de seguridad de Netskope.

Se estima que esta operación ha afectado a más de 1,150 organizaciones y a 7,000 usuarios desde mediados de 2024, con un impacto significativo en América del Norte, Asia y el sur de Europa. Los sectores más afectados incluyen tecnología, servicios financieros y manufactura.

Distribución y métodos de ataque

La mayoría de los 260 dominios comprometidos están vinculados a Webflow, seguidos de GoDaddy, Strikingly, Wix y Fastly. Además, los atacantes han subido los archivos PDF a bibliotecas y repositorios legítimos como PDFCOFFEE, PDF4PRO, PDFBean e Internet Archive, aumentando su visibilidad en los motores de búsqueda.

Los documentos PDF incluyen imágenes CAPTCHA fraudulentas diseñadas para obtener información financiera o descargar malware. Al hacer clic en estas imágenes, la víctima es redirigida a una página de verificación CAPTCHA falsa que utiliza la técnica ClickFix para ejecutar un comando MSHTA, activando un script de PowerShell que instala Lumma Stealer.

En las últimas semanas, Lumma Stealer se ha disfrazado de juegos de Roblox y versiones crackeadas de Total Commander para Windows. Estos archivos maliciosos se promocionan en videos de YouTube, posiblemente desde cuentas comprometidas. "Los enlaces y archivos infectados suelen aparecer en videos, comentarios o descripciones de YouTube", advirtió Silent Push. "Evitar fuentes no verificadas al descargar contenido es clave para prevenir estas amenazas".

Lumma Stealer y su modelo de distribución

Lumma Stealer es un malware vendido bajo el modelo de Malware como Servicio (MaaS), permitiendo a los ciberdelincuentes recopilar información de equipos infectados. A principios de 2024, sus operadores anunciaron una integración con GhostSocks, un malware proxy basado en Golang.

"Agregar la función de backconnect SOCKS5 a Lumma Stealer es altamente lucrativo", señaló Infrawatch. "Permite a los atacantes eludir restricciones geográficas y controles de IP, facilitando accesos no autorizados a cuentas bancarias y otros servicios críticos".

Otras amenazas emergentes

Las revelaciones coinciden con la distribución de otros malware, como Vidar y Atomic macOS Stealer (AMOS), utilizando la técnica ClickFix con señuelos relacionados con el chatbot de IA DeepSeek, según Zscaler ThreatLabz y eSentire.

Asimismo, se han identificado ataques de phishing que emplean una técnica de ofuscación de JavaScript basada en caracteres Unicode invisibles. Este método, documentado en octubre de 2024, usa caracteres de relleno Unicode Hangul (U+FFA0 y U+3164) para representar valores binarios y convertir texto ASCII en código JavaScript malicioso.

"Estos ataques son altamente personalizados, incorporan información no pública y cuentan con mecanismos para evadir análisis", reveló Juniper Threat Labs. "Si se detecta un entorno de depuración, el código aborta el ataque y redirige a un sitio legítimo".

En fin, la campaña de phishing con CAPTCHA falsos demuestra la creciente sofisticación de los ataques cibernéticos, combinando técnicas avanzadas de engaño con estrategias de SEO malicioso. Para protegerse, los usuarios deben evitar descargar archivos de fuentes no verificadas, prestar atención a señales de phishing y emplear soluciones de seguridad actualizadas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha corregido un problema conocido en Outlook clásico que impedía la función de arrastrar y soltar correos electrónicos y eventos del calendario tras instalar actualizaciones recientes en Windows 11 24H2.

¿Qué causó el problema en Outlook clásico?

🔹 Actualización KB5050094 (enero 2025): actualización acumulativa de vista previa.
🔹 Actualización KB5051987 (febrero 2025): actualización de seguridad de Windows 11.

Según Microsoft, tras instalar estas actualizaciones, los usuarios de Outlook clásico en Windows 24H2 encontraron dificultades para mover correos electrónicos o elementos del calendario a carpetas.

Solución oficial de Microsoft

El error ha sido corregido en la actualización acumulativa de vista previa KB5052093, lanzada el martes 25 de febrero de 2025. Sin embargo, la corrección se implementará completamente para todos los usuarios en el martes de parches de marzo 2025.

Solución temporal para restaurar arrastrar y soltar en Outlook

Si no puedes instalar la actualización KB5052093 de inmediato, puedes restaurar la funcionalidad de arrastrar y soltar en Outlook clásico siguiendo estos pasos:

1️⃣ Abre Outlook clásico y ve a la pestaña Archivo.
2️⃣ Selecciona Opciones.
3️⃣ En la pestaña General, busca Opciones de la interfaz de usuario.
4️⃣ Selecciona "Optimizar para obtener la mejor apariencia" y guarda los cambios.

Importante: Esta es una solución temporal hasta que se aplique la actualización oficial.

Otros problemas recientes en Outlook y sus soluciones

Desde principios de 2025, Microsoft ha solucionado múltiples errores en Outlook, incluyendo:

✔️ Outlook clásico se bloquea al escribir, responder o reenviar correos.
✔️ Fallo en Microsoft 365 y Outlook en Windows Server 2016 y 2019.
✔️ Errores de inicio de sesión en Gmail desde Outlook clásico.
✔️ Cierres inesperados de Outlook tras abrir la aplicación.

Transición al nuevo cliente de Outlook en Windows 10


A partir de febrero de 2025, Microsoft comenzará a forzar la instalación del nuevo cliente de Outlook en dispositivos con Windows 10. Este cambio, anunciado en enero, se probó inicialmente con la actualización KB5050081.

Mantén Outlook actualizado para evitar problemas

Microsoft sigue mejorando la estabilidad de Outlook con actualizaciones constantes. Si experimentas errores, asegúrate de:

✔️ Mantener Windows y Outlook actualizados.
✔️ Aplicar las soluciones temporales recomendadas.
✔️ Revisar las actualizaciones mensuales de seguridad y parches.

 Si el problema persiste, revisa los documentos de soporte de Microsoft para más detalles y soluciones actualizadas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo malware para Linux ha surgido de manera inesperada, desconcertando a los expertos en ciberseguridad. Denominado Auto-Color, este software malicioso fue detectado por primera vez en noviembre de 2023 y, hasta la fecha, su origen y método exacto de infección siguen siendo un misterio.

¿Cómo se propaga Auto-Color?

Investigadores de Palo Alto Networks han identificado Auto-Color en servidores gubernamentales y universitarios en América del Norte y Asia. Sin embargo, aún no han determinado cómo se produce la infección.

Lo que sí se sabe es que Auto-Color requiere ejecución manual en la máquina, lo que sugiere que su método de propagación podría estar basado en ingeniería social y phishing.

 Punto clave: No se ejecuta mediante explotación remota, sino que necesita que la víctima lo active explícitamente.

Funciones y capacidades del malware Auto-Color

Una vez en el sistema, Auto-Color otorga acceso remoto total al atacante, permitiendo:

✅ Crear un shell inverso para el control del sistema.
✅ Ejecutar comandos para recopilar información sensible.
✅ Modificar y crear archivos en el sistema infectado.
✅ Ejecutar aplicaciones maliciosas sin ser detectado.
✅ Convertir el dispositivo en un proxy para ocultar actividades ilícitas.
✅ Autodesinstalarse para eliminar rastros de su presencia.

Además, Auto-Color evade la detección con técnicas avanzadas como:

🔹 Uso de nombres de archivo genéricos (ejemplo: "door" o "egg") antes de su instalación.
🔹 Ocultación de conexiones de red para evitar su rastreo.
🔹 Modificación de permisos para impedir su eliminación sin software especializado.

¿Auto-Color es una backdoor?

Aunque el informe de Palo Alto Networks describe a Auto-Color como una backdoor, aún no se han identificado los vectores exactos de infección. Sin embargo, el patrón sigue el de otros malwares conocidos:

1️⃣ Aprovecha vulnerabilidades desconocidas.
2️⃣ Escala privilegios en el sistema infectado.
3️⃣ Otorga acceso total al atacante.

¿Por qué se llama Auto-Color?

El nombre Auto-Color proviene de la denominación interna que el propio malware se asigna tras la infección. Antes de instalarse, los archivos ejecutables utilizan nombres genéricos y poco sospechosos, dificultando su identificación.

Una amenaza creciente para Linux

Auto-Color representa una amenaza significativa para servidores y sistemas Linux en instituciones académicas y gubernamentales. Su capacidad para otorgar acceso remoto, modificar archivos y ocultar su presencia lo convierte en un malware altamente peligroso.

Recomendaciones para mitigar el riesgo:

✔️ Evitar la ejecución de archivos sospechosos en Linux.
✔️ Actualizar regularmente el sistema operativo y los paquetes de seguridad.
✔️ Implementar soluciones de detección de malware especializadas.
✔️ Educar a los usuarios sobre phishing y técnicas de ingeniería social.

La evolución de Auto-Color y su propagación global demuestran que Linux sigue siendo un objetivo atractivo para los ciberdelincuentes. 🚀 Mantener buenas prácticas de ciberseguridad es clave para prevenir infecciones y proteger sistemas críticos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva campaña de malware ha sido detectada apuntando a dispositivos periféricos de Cisco, ASUS, QNAP y Synology, infectándolos con la botnet PolarEdge desde finales de 2023.

Según la firma de ciberseguridad Sekoia, los atacantes están explotando CVE-2023-20118 (puntuación CVSS: 6.5), una vulnerabilidad crítica en enrutadores Cisco Small Business (RV016, RV042, RV042G, RV082, RV320 y RV325). Esta falla permite la ejecución de comandos arbitrarios, lo que facilita el control remoto de los dispositivos.

Vulnerabilidad en routers Cisco: Un problema sin parche
Punto clave: Cisco no ha lanzado un parche para esta vulnerabilidad, ya que los dispositivos afectados han alcanzado el estado End of Life (EoL).

Como medida de mitigación, Cisco recomendó en 2023:

✅ Desactivar la gestión remota
✅ Bloquear los puertos 443 y 60443

A pesar de estas recomendaciones, los atacantes han explotado activamente la vulnerabilidad para instalar una puerta trasera TLS en los dispositivos comprometidos.

Cómo funciona el ataque de PolarEdge

Los ciberdelincuentes utilizan esta vulnerabilidad para inyectar un implante malicioso en los dispositivos comprometidos. La botnet PolarEdge opera de la siguiente manera:

1️⃣ Explota CVE-2023-20118 para acceder al dispositivo.
2️⃣ Descarga un script de shell ("q") vía FTP, que ejecuta el código malicioso.
3️⃣ Limpia registros y termina procesos sospechosos para evitar la detección.
4️⃣ Descarga una carga maliciosa ("t.tar") desde la dirección IP 119.8.186[.]227.
5️⃣ Ejecuta "cipher_log", un binario que actúa como puerta trasera TLS.
6️⃣ Establece persistencia, modificando el archivo /etc/flash/etc/cipher.sh para que "cipher_log" se ejecute repetidamente.

Una vez activo, PolarEdge entra en un bucle infinito, estableciendo una sesión TLS y generando un proceso secundario para recibir comandos de los atacantes.

Comunicación con el Servidor C2

📡 El malware informa al servidor de comando y control (C2) que la infección ha sido exitosa, enviando datos del dispositivo comprometido, incluyendo IP y puerto.

Expansión de la botnet: ASUS, QNAP y Synology también afectados

Investigaciones posteriores han identificado cargas útiles similares dirigidas a dispositivos de ASUS, QNAP y Synology.

🔹 Todos los artefactos fueron subidos a VirusTotal por usuarios ubicados en Taiwán.
🔹 Se distribuyen a través de FTP, utilizando la IP 119.8.186[.]227 (perteneciente a Huawei Cloud).

Impacto global: Se estima que PolarEdge ha comprometido más de 2.017 direcciones IP en países como:

• 🇺🇸 Estados Unidos
• 🇹🇼 Taiwán
• 🇷🇺 Rusia
• 🇮🇳 India
• 🇧🇷 Brasil
• 🇦🇺 Australia
• 🇦🇷 Argentina

¿Cuál es el propósito de la botnet PolarEdge?

Aunque el objetivo exacto de PolarEdge aún no está claro, los expertos creen que:

🔹 Podría convertir los dispositivos comprometidos en nodos de retransmisión para lanzar ciberataques ofensivos.
🔹 Su sofisticación sugiere que está operada por actores altamente calificados.

Ataques de fuerza bruta contra Microsoft 365: Relación con una botnet masiva

La revelación de PolarEdge coincide con un informe de SecurityScorecard, que ha identificado una botnet de 130,000 dispositivos infectados utilizada para ataques de rociado de contraseñas contra cuentas de Microsoft 365 (M365).

Método utilizado:

Los atacantes explotan inicios de sesión no interactivos con autenticación básica, que:

✅ No activan la autenticación multifactor (MFA) en muchas configuraciones.
✅ Permiten enviar credenciales en texto plano, aumentando el riesgo de robo de datos.

Se sospecha que esta actividad está vinculada a actores de amenazas chinos, utilizando infraestructura de CDS Global Cloud y UCLOUD HK para acceder a cuentas comprometidas.

Una amenaza en expansión

 PolarEdge es una botnet emergente que está comprometiendo dispositivos de Cisco, ASUS, QNAP y Synology en todo el mundo. Su capacidad para evadir detección, establecer persistencia y comunicarse con servidores C2 la convierte en una amenaza seria para la seguridad de redes y dispositivos IoT.

Recomendaciones clave para mitigar riesgos:

✔️ Desactivar la gestión remota en dispositivos vulnerables.
✔️ Bloquear puertos utilizados en ataques (443 y 60443).
✔️ Actualizar firmwares y reemplazar hardware obsoleto.
✔️ Monitorizar actividad inusual en redes empresariales.

La rápida evolución de PolarEdge y su relación con otras botnets sugiere que esta amenaza seguirá creciendo. La ciberseguridad proactiva es clave para proteger infraestructuras críticas y datos sensibles.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[/color]

Los investigadores de ciberseguridad han descubierto una versión actualizada de TgToxic (también conocido como ToxicPanda), un malware bancario para Android que sigue evolucionando para evadir la detección y mejorar sus capacidades de ataque.

Según un informe de Intel 471, las modificaciones recientes reflejan la vigilancia de los ciberdelincuentes sobre los informes públicos y su compromiso con el perfeccionamiento de este troyano bancario.

¿Qué es TgToxic y cómo afecta a los usuarios de Android?

TgToxic fue identificado por primera vez a principios de 2023 por Trend Micro, que lo describió como un troyano bancario capaz de robar credenciales de acceso, fondos de billeteras criptográficas y datos financieros de aplicaciones bancarias. Su actividad ha sido rastreada desde al menos julio de 2022, con un enfoque inicial en usuarios de Taiwán, Tailandia e Indonesia.

En noviembre de 2024, la empresa italiana de prevención de fraudes Cleafy identificó una variante mejorada con funciones avanzadas de recopilación de datos y un alcance ampliado a Italia, Portugal, Hong Kong, España y Perú. Se cree que este malware de Android proviene de un grupo de habla china.

Métodos de distribución de TgToxic

El último análisis de Intel 471 señala que TgToxic se propaga mediante archivos APK cuentagotas, probablemente a través de:

• Mensajes SMS maliciosos
• Sitios web de phishing

Sin embargo, el mecanismo exacto de entrega aún no se ha confirmado.

Principales mejoras en la última versión de TgToxic

Las modificaciones recientes de TgToxic incluyen técnicas más avanzadas para evadir la detección y mantener el control de los dispositivos infectados.

1. Mejor detección de emuladores

El malware ahora analiza el hardware y el sistema del dispositivo para identificar entornos de prueba o emulación, dificultando su análisis por parte de los investigadores de ciberseguridad.

Cómo lo hace:

• Examina propiedades clave del dispositivo, como marca, modelo y huella digital
• Detecta discrepancias típicas de los sistemas emulados

2. Cambio de servidores C2 mediante foros públicos

TgToxic ha pasado de usar dominios C2 codificados a aprovechar foros públicos, como el foro de desarrolladores de Atlassian, para ocultar su infraestructura maliciosa.

Cómo funciona:

• Crea perfiles falsos en foros que contienen cadenas cifradas con la dirección del servidor C2 real
• El APK de TgToxic selecciona aleatoriamente una URL del foro para obtener la dirección del servidor de comando y control

Ventaja clave: Los ciberdelincuentes pueden cambiar los servidores C2 simplemente actualizando el perfil del foro, sin necesidad de modificar el malware.

3. Uso de un algoritmo de generación de dominios (DGA)

Las versiones más recientes de TgToxic (diciembre de 2024) implementan un DGA (Domain Generation Algorithm), lo que le permite crear nuevos dominios dinámicamente para sus servidores C2.

Ventaja clave: Mayor resistencia a la eliminación de dominios, ya que el malware siempre puede generar nuevas direcciones para comunicarse con los atacantes.

¿Por qué TgToxic es una amenaza tan peligrosa?

Según Ted Miracco, CEO de Approov, TgToxic se ha convertido en uno de los troyanos bancarios más sofisticados para Android debido a sus técnicas avanzadas de evasión, que incluyen:

✅ Ofuscación del código y cifrado de la carga útil
✅ Mecanismos anti-emulación para evitar la detección
✅ Automatización de ataques para robar credenciales y realizar transacciones fraudulentas

Un malware en constante evolución

La rápida evolución de TgToxic demuestra cómo los atacantes ajustan sus estrategias para evadir la detección y maximizar su impacto. Con su capacidad para robar datos financieros, evadir análisis y persistir en los dispositivos infectados, este troyano bancario de Android sigue representando una amenaza crítica para usuarios y empresas.

Recomendaciones para protegerse de TgToxic

⚠️ Evita descargar APKs fuera de la Google Play Store
⚠️ No hagas clic en enlaces sospechosos de SMS o correos electrónicos
⚠️ Utiliza soluciones de ciberseguridad que detecten malware avanzado

La ciberseguridad es clave para mantenerse protegido frente a amenazas como TgToxic. 🚨

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han identificado una campaña de malware en GitHub, dirigida a jugadores e inversores en criptomonedas mediante proyectos de código abierto falsos.

La campaña, bautizada como GitVenom por Kaspersky, abarca cientos de repositorios infectados, diseñados para robar datos personales, credenciales bancarias y criptomonedas.

Cómo funciona GitVenom: malware oculto en proyectos de GitHub

Los atacantes han subido proyectos fraudulentos en GitHub, que supuestamente ofrecen herramientas como:

• Bots de automatización para Instagram.
• Gestión remota de billeteras de Bitcoin a través de Telegram.
• Cracks para juegos como Valorant.

Sin embargo, estas herramientas son falsas y contienen carga maliciosa que permite a los ciberdelincuentes:

• Robar datos personales y financieros.
• Secuestrar direcciones de billeteras criptográficas.
• Infectar dispositivos con malware adicional.

Impacto de GitVenom: criptomonedas robadas y alcance global

• Se han robado al menos 5 bitcoins, con un valor estimado de 456.600 dólares.
• La campaña ha estado activa por más de dos años.
• Principales países afectados: Rusia, Brasil y Turquía.

Técnicas de ataque: desde robo de credenciales hasta malware clipper

Los proyectos maliciosos están escritos en Python, JavaScript, C, C++ y C#, pero todos tienen un mismo propósito: ejecutar malware que descarga más componentes desde un repositorio de GitHub controlado por los atacantes.

Entre los módulos maliciosos detectados se incluyen:

1. Ladrón de información basado en Node.js

• Extrae contraseñas, credenciales bancarias y datos de criptobilleteras.
• Recopila historial de navegación y datos guardados.
• Envía la información robada a los atacantes mediante Telegram.

2. RATs (Troyanos de Acceso Remoto)

• Se han identificado AsyncRAT y Quasar RAT, que permiten el control remoto de los dispositivos infectados.

3. Malware Clipper

• Reemplaza direcciones de billeteras de criptomonedas copiadas al portapapeles, redirigiendo los fondos a los ciberdelincuentes.

El riesgo de software malicioso en GitHub

Según Georgy Kucherin, investigador de Kaspersky, las plataformas de código abierto como GitHub seguirán siendo utilizadas para propagar malware.

Recomendación de seguridad:

Antes de ejecutar o integrar código de terceros, es crucial verificar qué acciones realiza para evitar infecciones.

Estafas en torneos de eSports: un nuevo peligro para jugadores de CS2

Paralelamente, Bitdefender ha revelado otra amenaza dirigida a jugadores de Counter-Strike 2 (CS2).

Los ciberdelincuentes están secuestrando cuentas de YouTube para suplantar a jugadores profesionales como s1mple, NiKo y donk, atrayendo a sus seguidores con falsos sorteos de skins de CS2.

Consecuencias de esta estafa:

• Robo de cuentas de Steam.
• Pérdida de criptomonedas.
• Sustracción de artículos valiosos dentro del juego.

En fin, las campañas de malware en GitHub y las estafas en torneos de eSports demuestran cómo los ciberdelincuentes están evolucionando para explotar plataformas digitales populares.

Para evitar ser víctima de estos ataques:

✅ Verifica siempre el código fuente en GitHub antes de ejecutarlo.
✅ No descargues software de fuentes no oficiales.
✅ Desconfía de sorteos sospechosos en redes sociales y YouTube.

La seguridad en línea es clave para proteger datos personales, criptomonedas y cuentas de juegos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una campaña de malware a gran escala ha sido descubierta utilizando un controlador de Windows vulnerable vinculado a la suite de productos de Adlice para evadir detección y distribuir el troyano de acceso remoto Gh0st RAT.

Cómo los ciberdelincuentes explotan un controlador vulnerable para evitar la detección

Según un informe de Check Point, los atacantes han modificado deliberadamente múltiples versiones del controlador Truesight.sys (versión 2.0.2) para mantener una firma válida mientras cambian partes específicas del PE (Portable Executable). Este método les permite evadir herramientas de seguridad como EDR (Endpoint Detection and Response) mediante una técnica conocida como BYOVD (Bring Your Own Vulnerable Driver).

Impacto de la vulnerabilidad y número de muestras detectadas

• Se han identificado hasta 2.500 variantes del controlador Truesight.sys en VirusTotal, aunque la cifra real podría ser mayor.
• El módulo EDR-killer, utilizado para desactivar soluciones de seguridad, fue detectado por primera vez en junio de 2024.
• La vulnerabilidad afecta a todas las versiones anteriores a la 3.4.0 del controlador y ha sido explotada en ataques anteriores, como los desarrollados con Darkside y TrueSightKiller.

Relación con Silver Fox APT y distribución del malware

Investigaciones sugieren que la campaña podría estar vinculada al grupo Silver Fox APT, basándose en patrones de ataque, vectores de infección y similitudes con muestras previas.

• 75% de las víctimas están en China, mientras que el resto se encuentra en Singapur y Taiwán.
• El malware se propaga mediante sitios web falsos con ofertas en productos de lujo y canales fraudulentos en Telegram.
• Las cargas maliciosas se disfrazan de archivos PNG, JPG y GIF para evadir detección.

Objetivo final: Gh0st RAT y desactivación de medidas de seguridad

Una vez en el sistema, la segunda etapa del ataque descarga HiddenGh0st, una variante avanzada de Gh0st RAT, diseñada para:

• Tomar control remoto del sistema.
• Robar datos sensibles.
• Realizar vigilancia y manipulación del sistema.

El ataque utiliza BYOVD para deshabilitar procesos de seguridad y evitar la lista de bloqueo de controladores vulnerables de Microsoft, lo que le otorga una ventaja significativa en términos de persistencia.

Respuesta de Microsoft y medidas de seguridad

El 17 de diciembre de 2024, Microsoft actualizó su lista de controladores bloqueados, impidiendo la explotación del Truesight.sys. Sin embargo, los atacantes lograron evadir las protecciones de Microsoft y LOLDrivers durante meses al modificar el controlador mientras mantenían su firma digital.

En fin, esta campaña de malware demuestra cómo los ciberdelincuentes siguen evolucionando sus tácticas para evadir soluciones de seguridad y distribuir RATs avanzados como Gh0st RAT. Empresas y usuarios deben implementar actualizaciones de seguridad, fortalecer sus estrategias de detección de malware y monitorear posibles intentos de explotación de controladores vulnerables.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

DISA Global Solutions, una empresa líder en investigación de antecedentes y pruebas de drogas y alcohol en EE. UU., ha sufrido una violación de datos masiva que afectó a 3,3 millones de personas.

Detalles del ciberataque a DISA Global Solutions

La empresa informó por primera vez sobre el incidente en enero, señalando que ocurrió entre el 9 de febrero de 2024 y el 22 de abril de 2024, fecha en que detectó la brecha de seguridad. Inicialmente, DISA aseguró que no había evidencia de uso indebido de los datos. Sin embargo, tras una investigación más profunda, se confirmó que 3.332.750 personas fueron afectadas.

DISA cuenta con más de 55.000 clientes, incluyendo el 30% de las empresas Fortune 500, lo que significa que esta violación de datos podría tener graves consecuencias en múltiples sectores.

Datos filtrados en la violación de seguridad

En una notificación enviada a los afectados, DISA confirmó que los datos expuestos incluyen:

• Nombre completo
• Número de Seguro Social (SSN)
• Número de licencia de conducir
• Número de identificación oficial
• Información de cuentas financieras
• Otros datos sensibles

Si bien DISA no detalló qué más se filtró, la empresa maneja información altamente confidencial, como historial laboral y educativo, antecedentes penales, datos médicos, pruebas de drogas y alcohol, y más.

¿Fue un ataque de ransomware?

DISA no ha revelado el tipo de ciberataque sufrido, pero un aviso eliminado sugiere que la empresa pagó un rescate para evitar que los datos robados fueran publicados en la dark web.

En dicho aviso, DISA afirmaba que "tomó medidas para disuadir al actor de amenazas de divulgar públicamente cualquier dato adquirido y obtuvo confirmación de su eliminación".

Medidas de protección para los afectados

Para mitigar los riesgos de la exposición de datos, DISA ofrece 12 meses de monitoreo de crédito y protección contra el robo de identidad a través de Experian. Además, recomienda a los afectados:

• Activar alertas de fraude en sus cuentas bancarias y financieras.
• Implementar bloqueos de seguridad para evitar accesos no autorizados.

En fin, la violación de datos en DISA Global Solutions es una de las más graves en lo que va del año, afectando a millones de personas y poniendo en riesgo información altamente sensible. Este incidente resalta la importancia de la ciberseguridad en empresas que manejan datos críticos, especialmente en sectores de recursos humanos, salud y cumplimiento normativo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Anthropic ha comenzado a desplegar Claude 3.7 Sonnet, su modelo de IA más avanzado hasta la fecha y el primero con razonamiento híbrido. Este innovador enfoque permite combinar respuestas rápidas y sencillas con la capacidad de procesar tareas complejas paso a paso, lo que lo posiciona como una de las mejores opciones para programación y desarrollo de software.

Claude 3.7 Sonnet supera a ChatGPT y DeepSeek en precisión

Las primeras pruebas muestran que Claude 3.7 Sonnet supera a modelos de OpenAI (ChatGPT) y DeepSeek, logrando una precisión líder en evaluaciones de ingeniería de software. Según la prueba "Ingeniería de software (verificado por SWE-bench)", Claude 3.7 alcanza un 62% de precisión, aumentando al 70% con pruebas adicionales, mientras que otros modelos como Claude 3.5 Sonnet y las variantes de OpenAI se quedan en torno al 50%.

Este estándar de referencia mide la capacidad de la IA para codificar programas con precisión, y los resultados indican que Claude 3.7 Sonnet es significativamente más eficiente que sus competidores.

Un "momento AGI" para los usuarios

La comunidad ha expresado su asombro ante las capacidades del modelo. Usuarios en Reddit afirman que Claude 3.7 Sonnet resuelve problemas de programación complejos que otros modelos no pueden abordar.

• Un usuario comentó: "Claude Code fue mi momento 'Feel the AGI'. Le envié errores que ningún otro modelo pudo solucionar, pero Claude Code los resolvió sin problemas."
• Otro añadió: "Claude 3.7 eliminó un proyecto en el que trabajé durante meses: 5000 líneas de código, frontend, depuración... todo desde cero y sin interrupciones."

Claude 3.7 Sonnet destaca en matemáticas y ciencias

Además de su rendimiento en programación, Claude 3.7 Sonnet sobresale en matemáticas y ciencias gracias a su capacidad de razonamiento extendido, superando modelos como OpenAI 0.1 y DeepSeek R1 en múltiples pruebas.

En conclusión, Claude 3.7 Sonnet representa un salto significativo en la inteligencia artificial, estableciendo un nuevo estándar en precisión y rendimiento para programación y tareas complejas. Con su razonamiento híbrido y mejora en múltiples áreas, se posiciona como una de las mejores opciones para desarrolladores y empresas que buscan eficiencia en IA.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una estafa por correo electrónico de PayPal en curso explota la configuración de direcciones de la plataforma para enviar notificaciones falsas de compra, con el objetivo de engañar a los usuarios y obtener acceso remoto a sus dispositivos.

Cómo funciona la estafa del correo falso de PayPal

Durante el último mes, BleepingComputer y otros medios han recibido correos electrónicos de PayPal con el asunto:

"Agregaste una nueva dirección. Esta es solo una confirmación rápida de que agregaste una dirección en tu cuenta de PayPal".

El correo también incluye un mensaje que parece una confirmación de compra falsa para una MacBook M4. Además, solicita que los usuarios llamen a un número de teléfono fraudulento si no autorizaron la compra.

Ejemplo del mensaje:

"Confirmación: Su dirección de envío para el MacBook M4 Max 1TB ($1,098.95) ha sido cambiada. Si no autorizó esta actualización, comuníquese con PayPal al +1-888-668-2508."

Estos correos son enviados directamente desde "[email protected]", lo que genera preocupación entre los usuarios al hacerles creer que su cuenta ha sido hackeada.

¿Por qué los correos parecen legítimos?

✔️ Son enviados desde los servidores oficiales de PayPal.
✔️ Pasan los filtros de seguridad y spam, ya que provienen de una dirección confiable.
✔️ Incluyen encabezados de seguridad DKIM que validan su autenticidad.

Sin embargo, no se han agregado nuevas direcciones a las cuentas de PayPal afectadas, lo que indica que es una táctica de phishing avanzada.

El objetivo de los estafadores

Los ciberdelincuentes buscan generar pánico en los usuarios, haciéndoles creer que su cuenta fue utilizada para una compra no autorizada. Esto los lleva a llamar al número falso de soporte de PayPal, donde la estafa sigue estos pasos:

• Reproducción de una grabación falsa que imita el soporte de PayPal.
• Un falso agente de atención al cliente convence al usuario de que su cuenta ha sido hackeada.
• Le solicitan descargar software remoto, supuestamente para "recuperar el acceso".
• Se instala ConnectWise ScreenConnect, una herramienta de acceso remoto utilizada para robar datos, instalar malware o vaciar cuentas bancarias.

En una prueba realizada por BleepingComputer, los estafadores dirigieron a los usuarios a sitios como pplassist[.]com, donde ingresaban un código de servicio falso que descargaba el software malicioso.

Cómo los estafadores logran enviar correos desde PayPal

El truco radica en el uso de la función "direcciones de regalo" de PayPal.

📌 Paso 1: Los estafadores agregan una nueva dirección a su cuenta de PayPal.
📌 Paso 2: En el campo "Dirección 2", insertan un mensaje falso de confirmación de compra.
📌 Paso 3: PayPal envía un correo automático a la dirección del estafador, incluyendo el mensaje fraudulento.
📌 Paso 4: La dirección de correo del estafador reenvía automáticamente el mensaje a una cuenta de Microsoft 365 configurada como lista de correo.
📌 Paso 5: La lista de correo distribuye el mensaje a múltiples víctimas.

De esta manera, el correo falso de PayPal se distribuye masivamente sin ser detectado por los filtros de seguridad.

Cómo protegerse de esta estafa de PayPal

🔹 No llames al número proporcionado en el correo electrónico.
🔹 Inicia sesión en tu cuenta de PayPal desde el sitio oficial y verifica que no haya cambios en tu dirección.
🔹 No descargues ningún software de asistencia remota si alguien te lo solicita.
🔹 Reporta el correo como phishing a PayPal y a tu proveedor de correo electrónico.
🔹 Activa la autenticación en dos pasos en tu cuenta de PayPal para mayor seguridad.

Medidas que PayPal debería tomar

Esta estafa es posible debido a que PayPal permite ingresar mensajes largos en los campos de dirección. Para prevenir estos fraudes, la compañía debería:

✔️ Limitar la cantidad de caracteres en los campos de dirección.
✔️ Implementar validaciones que detecten mensajes sospechosos en estos campos.
✔️ Alertar a los usuarios cuando se detecten cambios sospechosos en sus cuentas.

En fin, las estafas de PayPal continúan evolucionando, y esta nueva táctica demuestra cómo los ciberdelincuentes explotan funciones legítimas para hacer pasar sus correos por auténticos. Si recibes un correo de PayPal que menciona una nueva dirección o una compra no autorizada, verifica directamente en tu cuenta y no contactes a los números proporcionados en el correo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha lanzado versiones con publicidad de sus aplicaciones de escritorio de Office, que tienen funciones limitadas pero permiten a los usuarios de Windows editar sus documentos.

Si bien Microsoft permite a los clientes usar Word, Excel, PowerPoint y otras aplicaciones de Microsoft 365 de forma gratuita con Office en la web, la compañía no ha compartido ninguna información sobre estas nuevas aplicaciones de Office para escritorio con publicidad.

Una vez iniciadas, las aplicaciones mostrarán un panel vertical en el lado derecho de la ventana, mostrando anuncios mientras ve y edita sus documentos de Office.

Las aplicaciones de Office con publicidad también mostrarán los mensajes "Para quitar anuncios, suscríbase a Microsoft 365" debajo de los anuncios, lo que pedirá a los usuarios que hagan clic en el vínculo "Ver beneficios".

Para probar las nuevas aplicaciones de Microsoft Office con publicidad para usuarios de Windows, debe descargar e instalar Microsoft 365 (anteriormente Office 365) y presionar "Omitir por ahora" en la pantalla "Iniciar sesión para comenzar".

Esto abrirá un "Bienvenido a Word, Excel y PowerPoint gratuitos", donde debe hacer clic en el botón "Continuar gratis" y en "Guardar en OneDrive" en la siguiente pantalla.

Como el sitio de noticias tecnológicas Beebom detectó por primera vez, debe pagar una suscripción a Microsoft 365 para guardar documentos editados con estas aplicaciones de Office con publicidad en unidades locales.

Además de permitirle solo guardar en OneDrive, las aplicaciones de Word, Excel y PowerPoint con publicidad tienen funcionalidad básica y restricciones adicionales, como se detalla en la tabla a continuación:


BleepingComputer no pudo replicar los hallazgos, lo que indica que puede tratarse de una prueba regional.

Un portavoz de Microsoft no pudo compartir de inmediato un comentario de la compañía cuando BleepingComputer se comunicó anteriormente.

Anuncios en el menú Inicio, el Explorador de Windows y mucho más

Esta no es la primera vez que Microsoft experimenta con mostrar anuncios en sus productos y servicios. Por ejemplo, mostró anuncios en la sección "Recomendados" del menú Inicio de Windows 11 el año pasado, y también promocionó algunos de sus propios productos en el menú desplegable de cierre de sesión en noviembre de 2022, ampliando la función con nuevos "tratamientos" en marzo de 2023.

En marzo de 2021, también mostró anuncios de sus productos a Insiders en el Explorador de archivos de Windows y promocionó Microsoft Edge en el menú Inicio de Windows 10 un año antes. En septiembre de 2021, también rompió el menú Inicio y la barra de tareas mientras probaba los anuncios de Microsoft Teams.

Hace cinco años, la aplicación Wordpad de Windows 10 también mostraba anuncios que promocionaban las aplicaciones web gratuitas de Office de Microsoft en su barra de menú.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Australia ha prohibido la instalación de software de seguridad de la empresa rusa Kaspersky, citando riesgos de seguridad nacional relacionados con espionaje, interferencia extranjera y sabotaje.

Según Stephanie Foster PSM, secretaria del Departamento de Asuntos Internos, la decisión se tomó tras un análisis detallado de amenazas y riesgos asociados con el uso de los productos de Kaspersky en redes gubernamentales.

Citar"El uso de los productos y servicios web de Kaspersky Lab, Inc. representa un riesgo inaceptable para el gobierno australiano, sus redes y datos", afirmó Foster.

Motivos de la prohibición del software de Kaspersky en Australia

La principal preocupación del gobierno australiano es la amplia recopilación de datos de usuarios por parte de Kaspersky y la posibilidad de que dicha información esté expuesta a órdenes extrajudiciales de un gobierno extranjero, lo que podría entrar en conflicto con la legislación australiana.

Además, Foster enfatizó la necesidad de enviar una señal clara a las infraestructuras críticas y otros organismos gubernamentales sobre los riesgos asociados con el uso del software de Kaspersky.

Nueva directiva del gobierno australiano

Bajo la directiva 002-2025, emitida el 23 de febrero de 2025, todas las entidades gubernamentales deben:

✅ Eliminar cualquier instalación existente de productos Kaspersky antes del 1 de abril de 2025.
✅ Prohibir la instalación futura de software de Kaspersky en sistemas y dispositivos gubernamentales.
✅ Solicitar exenciones solo si existe una razón comercial legítima y se aplican medidas de mitigación adecuadas.

Las exenciones serán limitadas en el tiempo y estarán sujetas a un control estricto, especialmente en casos donde sea necesario cumplir con funciones de cumplimiento y aplicación de la ley.

Australia sigue los pasos de Estados Unidos en la prohibición de Kaspersky

La prohibición en Australia sigue a la decisión de Estados Unidos, que en junio de 2024 prohibió a Kaspersky vender software y emitir actualizaciones de productos en su territorio. Como resultado, la empresa abandonó el mercado estadounidense en julio de 2024.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google Cloud ha anunciado la integración de firmas digitales cuánticas seguras en Google Cloud Key Management Service (Cloud KMS) para claves basadas en software. Esta nueva funcionalidad busca proteger los sistemas de cifrado contra la amenaza que representan las computadoras cuánticas criptográficamente relevantes.

Actualmente en versión preliminar, esta tecnología coexiste con los estándares de criptografía poscuántica (PQC) del Instituto Nacional de Estándares y Tecnología (NIST), cuyas versiones finales se formalizaron en agosto de 2024.

Cloud KMS y la adopción de estándares de criptografía poscuántica

Google Cloud ha confirmado que su hoja de ruta para Cloud KMS PQC incluirá compatibilidad con los estándares de criptografía poscuántica del NIST (FIPS 203, FIPS 204, FIPS 205 y futuras actualizaciones). Este soporte se ofrecerá tanto en software (Cloud KMS) como en hardware (Cloud HSM).

Según la compañía, esta innovación permitirá a los clientes:

• Realizar importación e intercambio de claves cuánticas seguras.
• Ejecutar operaciones de cifrado y descifrado.
• Crear firmas digitales con mayor seguridad.

Además, las implementaciones de software para estos estándares estarán disponibles como código abierto, incluyendo:

• FIPS 203 (ML-KEM)
• FIPS 204 (CRYSTALS-Dilithium o ML-DSA)
• FIPS 205 (Sphincs+ o SLH-DSA)

Para fortalecer aún más la seguridad, Google Cloud colabora con proveedores de módulos de seguridad de hardware (HSM) y socios de Google Cloud External Key Manager (EKM), facilitando la adopción de criptografía cuántica segura en toda la plataforma.

Protección contra la amenaza Harvest Now, Decrypt Later (HNDL)

La implementación de firmas digitales cuánticas seguras responde a la creciente amenaza Harvest Now, Decrypt Later (HNDL). Este riesgo implica que actores malintencionados recolecten datos cifrados hoy con la intención de descifrarlos en el futuro, cuando las computadoras cuánticas sean capaces de romper los algoritmos actuales.

Aunque la computación cuántica con estas capacidades aún está en desarrollo, Google Cloud recomienda a organizaciones que administran infraestructura crítica y firman firmware considerar desde ahora estrategias de mitigación contra esta amenaza.

"Cuanto antes seamos capaces de asegurar estas firmas, más resistente será la base de confianza del mundo digital", afirmaron Jennifer Fernick y Andrew Foster de Google Cloud.

Disponibilidad de firmas digitales cuánticas seguras en Cloud KMS

Actualmente, las firmas digitales cuánticas seguras en Cloud KMS están disponibles en versión preliminar para:

• ML-DSA-65 (FIPS 204)
• SLH-DSA-SHA2-128S (FIPS 205)

Además, Google Cloud planea incorporar compatibilidad con esquemas de hibridación en futuras versiones, en función del consenso alcanzado por la comunidad criptográfica.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta