• CVE-2025-23120: Otra RCE con CVSS 9.9, que podría eludirse incluso después del parche inicial, según advertencias previas de CODE WHITE.
• CVE-2025-24286: Vulnerabilidad con una puntuación CVSS de 7.2 que permite a un usuario con rol de operador de backup modificar tareas de respaldo y ejecutar código arbitrario.
• CVE-2025-24287: Fallo en Veeam Agent para Microsoft Windows (CVSS 6.1) que permite a usuarios locales modificar contenido en el sistema y escalar privilegios.

• Actualizar a la versión 12.3.2 de Veeam Backup & Replication.
• Aplicar los parches correspondientes para Veeam Agent para Microsoft Windows.
• Restringir el acceso al servidor de respaldo a usuarios estrictamente necesarios.
• Monitorear los logs del sistema en busca de actividades sospechosas.
• Implementar políticas de segmentación de red y autenticación multifactor.

• Antidepuración
• Escalada de privilegios
• Modificación de configuraciones del sistema
• Desactivación de herramientas de defensa mediante PowerShell

• Robo de credenciales
• Secuestro de sesiones
• Reventa de accesos comprometidos

• Exfiltrar datos sensibles
• Registrar pulsaciones de teclas
• Tomar capturas de pantalla y grabar audio
• Descargar y subir archivos
• Ejecutar comandos arbitrarios

• El usuario recibe un enlace legítimo.
• Al hacer clic, es redirigido gradualmente a través de servicios reconocidos.
• Finalmente, se le presenta un formulario falso donde entrega sus credenciales sin sospechar.

• Pasarelas de correo electrónico seguras (SEG)
• Filtrado DNS
• Puertas de enlace web seguras (SWG)
• Sistemas EDR y antivirus
• Protecciones del navegador

• Implementa soluciones de protección del navegador que analicen el contenido renderizado.
• Supervisa interacciones en tiempo real y comportamiento contextual del usuario.
• Educa a los empleados sobre los nuevos vectores de ataque que ya no presentan "banderas rojas" evidentes.
• Considera tecnologías que identifican y bloquean formularios de recolección sospechosos, incluso en dominios conocidos.

• Tokens de cuentas de Minecraft
• Datos de lanzadores como Lunar, Feather y Essential
• Tokens de Discord y Telegram

• Credenciales de navegadores (Chromium, Edge, Firefox)
• Documentos personales y archivos del sistema
• Billeteras de criptomonedas (BitcoinCore, Monero, Ethereum, Zcash, entre otras)
• Cuentas de VPN (ProtonVPN, NordVPN, OpenVPN)
• Información de aplicaciones como Steam, Discord, FileZilla y Telegram

• Descargar mods únicamente de plataformas de confianza y comunidades oficiales.
• Verificar que los proyectos en GitHub tengan un historial legítimo de confirmaciones, colaboradores activos y una comunidad real.
• Evitar mods compartidos por usuarios desconocidos o repositorios con poca o ninguna actividad reciente.
• Utilizar cuentas de Minecraft secundarias o "desechables" al probar mods desconocidos.
• Contar con una solución de seguridad endpoint actualizada que pueda detectar cargas maliciosas.

• eslint-config-airbnb-compat (676 descargas)
• ts-runtime-compat-check (1 588 descargas)
• solders (983 descargas)
• @mediawave/lib (386 descargas)

Citar"Implementa un ataque de ejecución remota de código de múltiples etapas utilizando una dependencia transitiva para ocultar el código malicioso."

Citar"Desde una pared de caracteres japoneses hasta una RAT oculta dentro de los píxeles de un archivo PNG, el atacante hizo todo lo posible para ocultar su carga útil..."

• express-dompurify, pumptoolforvolumeandcomment: robadores de credenciales y claves de billetera.
• BS58JS: drena fondos de criptobilleteras via transferencias encadenadas.
• lsjglsjdv, asyncaiosignal, raydium-sdk-liquidity-init: clippers que sustituyen direcciones copiadas con las controladas por atacantes.

Citar"Los actores de amenazas motivados financieramente y los grupos patrocinados por el estado están evolucionando sus tácticas para explotar las debilidades sistémicas en la cadena de suministro de software."

Citar"Si un adversario sube un paquete con el mismo nombre en el repositorio, puede tener graves consecuencias de seguridad."

CitarSegún Guy Korolevski de JFrog:

"El enfoque dirigido empleado por este malware... lo distingue de las amenazas de malware de código abierto más genéricas..."

• Audita dependencias npm/PyPI con herramientas como npm-audit y pip-audit.
• Evita paquetes ofuscados o con nombres sospechosos; verifica reputación y descargas.
• Monitoriza vínculos en tiempo de instalación (post‑install).
• Limita permisos en scripts de instalación, especialmente PowerShell en Windows.
• Adopta mecanismos anti-slopsquatting: validaciones manuales y bloqueos de nombres fantasiosos.
• Ejercicios de red teaming controlado, como el caso de chimera-sandbox-extensions, son útiles, atendiendo la comunicación responsable.

• hlcand: Versión modificada de Slcand para trabajar con ELM327.
• VIN Info: Herramienta para decodificar identificadores de vehículos.
• CaringCaribou: Proporciona módulos como Listener, Dump, Fuzzer, UDS y XCP.
• ICSim: Un simulador potente para probar CARsenal sin hardware físico, usando VCAN.

• Mejoras en el escalado fraccional.
• Colores más precisos con Night Light.
• Un monitor del sistema más detallado.
• Mejor rendimiento en la gestión de CPU y batería.

• azurehound: Recolector de datos para BloodHound en entornos Azure.
• binwalk3: Análisis avanzado de firmware.
• bloodhound-ce-python: Ingestor para BloodHound CE.
• bopscrk: Generador de diccionarios inteligentes.
• crlfuzz: Escáner rápido de vulnerabilidad CRLF.
• donut-shellcode: Ejecuta shellcode desde la memoria.
• gitxray: OSINT sobre repositorios GitHub.
• ldeep: Enumerador LDAP.
• rubeus: Herramienta para abusar de Kerberos.
• tinja: Verificador de inyecciones de plantillas.
• Y más herramientas listas para pruebas avanzadas.

• Soporte para inyección inalámbrica y ataques de desautenticación.
• Captura de protocolo WPA2 en el TicWatch Pro 3, el primer reloj inteligente soportado.
• Nuevas compilaciones de kernel para dispositivos como:
• Xiaomi Redmi 4/4X (A13)
• Xiaomi Redmi Note 11 (A15)
• Realme C15 (A10)
• Samsung Galaxy S10 y S9 (A13–A15)

• Un sitio ofrecía figuras entre 30 y 79.99 dólares, incluyendo una historia ficticia sobre el origen del personaje.
• Otro portal en portugués anunciaba figuras "importadas desde Japón" por tan solo 47.90 reales brasileños.

• Diseño idéntico al sitio legítimo.
• Errores ortográficos leves y modificaciones sutiles en el dominio.
• Mensajes de urgencia, como "¡Últimas unidades disponibles!".
• Formas de pago riesgosas, como transferencias bancarias o criptomonedas.
• Precios absurdamente bajos que resultan demasiado buenos para ser ciertos.

Citar"Los ciberdelincuentes saben que la emoción de encontrar una 'oferta imperdible' puede hacer que bajemos la guardia. Por eso juegan con la urgencia y la apariencia de autenticidad".

Citar"WestJet está al tanto de un incidente de ciberseguridad que involucra sistemas internos y la aplicación WestJet, lo cual ha restringido el acceso para varios usuarios."

Citar"Hemos activado equipos internos especializados en cooperación con las fuerzas del orden y el Ministerio de Transporte de Canadá para investigar el asunto y limitar los impactos", declaró la empresa.

• 80% de las ganancias para afiliados de ransomware.
• 60% para afiliados centrados en extorsión de datos.
• 50% para los brokers de acceso inicial.

• El contenido de los archivos se borra completamente, reduciendo su tamaño a 0 KB.
• Se conservan los nombres de los archivos y la estructura de carpetas para simular que todo está intacto.
• El daño es irreversible: no se puede recuperar la información ni con herramientas forenses.

• Elevación de privilegios para maximizar el control del sistema.
• Exclusión de directorios críticos, como los de sistema y programas, para evitar bloquear completamente el sistema operativo.
• Selección de rutas objetivo para el cifrado.
• Eliminación de copias sombra de volumen.
• Terminación de procesos o servicios que interfieran con el cifrado.

• Añade la extensión .anubis a todos los archivos cifrados.
• Crea una nota de rescate en formato HTML en cada directorio afectado.
• Intenta cambiar el fondo de escritorio (aunque esta acción suele fallar).

• Filtrar el nombre completo de la víctima mediante la creación de un documento en Looker Studio y su transferencia, provocando que el nombre del destinatario se mostrara en la pantalla.
• Utilizar el flujo "Olvidé mi contraseña" de Google para obtener los últimos dos dígitos del número de teléfono asociado a la cuenta objetivo.
• Realizar fuerza bruta del número completo mediante el formulario vulnerable hasta adivinar los dígitos restantes.

• Periodistas
• Creadores de contenido
• Activistas
• Empresarios o empleados con acceso a información sensible

• Enero de 2025: Descubrió una vulnerabilidad que permitía revelar la dirección de correo electrónico de cualquier propietario de canal de YouTube, mediante el encadenamiento de errores en la API de YouTube y la API del Pixel Recorder. Fue recompensado con 10.000 dólares.
• Marzo de 2025: Reveló un problema de control de acceso en el endpoint /get_creator_channels, que exponía la dirección de correo electrónico y detalles de monetización de cualquier canal del Programa de Socios de YouTube (YPP). Recibió una recompensa de 20.000 dólares.

• Puntuación CVSS: 8.3
• Descripción: La interfaz central de administración utiliza credenciales predeterminadas débiles. El nombre de usuario es un identificador único impreso físicamente en el dispositivo, y la contraseña predeterminada no es modificada automáticamente.
• Impacto: Permite que un atacante obtenga acceso no autorizado a la plataforma web de gestión y controle remotamente funciones del vehículo.

• Puntuación CVSS: 8.6
• Descripción: El nombre de usuario (identificador del dispositivo) es un número de hasta 10 dígitos, lo que facilita su descubrimiento por fuerza bruta o enumeración.
• Impacto: Permite a los atacantes descubrir dispositivos válidos e ingresar a sus perfiles sin autenticación robusta.

• Acceder a la interfaz web de administración.
• Rastrear la ubicación geográfica en tiempo real del vehículo.
• Ejecutar funciones críticas como desactivar la bomba de combustible, si el modelo lo permite.
• Robar información sensible del vehículo y del usuario.

Citar"Debido a su falta de seguridad, este dispositivo permite la ejecución y el control remoto de los vehículos a los que está conectado y también roba información confidencial sobre usted y sus vehículos."

• Cambiar la contraseña predeterminada del dispositivo SinoTrack lo antes posible.
• Ocultar o cubrir el identificador físico impreso en el dispositivo para evitar su exposición en imágenes públicas.
• Evitar publicar fotos de dispositivos GPS en sitios web de compraventa sin antes asegurarse de eliminar cualquier información visible.

• Monitorear regularmente la actividad del vehículo desde la interfaz de administración.

• Forzar el cambio de credenciales al primer uso.
• Implementar autenticación multifactor.
• Cifrar las comunicaciones entre el dispositivo y los servidores de gestión.
• Validar accesos mediante tokens temporales o certificados.

Citar"Su organización requiere que registre métodos de autenticación adicionales, pero actualmente no hay métodos compatibles habilitados para su cuenta. Pídale a su administrador que habilite más métodos de autenticación para que seleccione, o que registre uno o más métodos por usted."

Citar"Hemos identificado que parte de la infraestructura que procesa las solicitudes relacionadas con la autenticación no está funcionando dentro de los umbrales esperados. Estamos realizando cambios en la configuración para mitigar el impacto, y la telemetría muestra mejoras en la disponibilidad del servicio."

• Europa
• Oriente Medio
• África (EMEA)
• Asia-Pacífico (APAC)

• "Lo sentimos, nos encontramos con un problema"
• "No hay métodos disponibles"

• Monitoreen constantemente el Centro de administración de Microsoft 365 para recibir alertas tempranas de incidentes.
• Implementen soluciones de respaldo para el acceso seguro, como métodos de autenticación alternativos o contingencias offline.
• Documenten procesos internos para restablecimiento manual de MFA y soporte técnico ante interrupciones.
• Evalúen herramientas de auditoría y telemetría para medir el impacto de estos incidentes en sus operaciones.

Citar"Violación de arranque seguro. Se ha detectado una firma no válida. Compruebe la política de arranque seguro en Configuración."

Citar"El 11 de junio de 2025 se lanzó una mitigación que evita que los dispositivos Surface Hub v1 adicionales encuentren este problema. Hemos confirmado que esta situación afecta a una parte de los dispositivos Surface Hub v1 y seguimos investigando. Proporcionaremos más información en cuanto esté disponible."

• CVE-2025-33053: una vulnerabilidad de día cero relacionada con WebDAV (Web Distributed Authoring and Versioning), activamente explotada.
• CVE-2025-33073: una vulnerabilidad de escalada de privilegios en SMB de Windows, ya divulgada públicamente.

• Probar las actualizaciones en entornos controlados antes de aplicarlas a gran escala.
• Revisar los registros de problemas conocidos (Known Issues) de Microsoft antes de implementar nuevas versiones.
• Estar atentos a mitigaciones o soluciones temporales proporcionadas por Microsoft en caso de errores post-actualización.
• Mantener una política de respaldo y recuperación activa para prevenir interrupciones críticas en caso de fallos.

Citar"Ya teníamos planes para fortalecer la gestión de certificados y mejorar la seguridad del producto. Ahora hemos acelerado ese calendario", explicó ConnectWise.

• Las instancias en la nube de ConnectWise Automate y RMM ya están recibiendo la actualización de certificados automáticamente.
• Los usuarios de instalaciones locales deben actualizar sus versiones antes de la fecha límite y validar que todos los agentes estén correctamente actualizados para evitar interrupciones de servicio.

Citar"Estas versiones contienen importantes correcciones de errores y seguridad. Recomendamos encarecidamente que todas las instalaciones autogestionadas se actualicen de inmediato", indicó GitLab. "GitLab.com ya opera con versiones parcheadas y los clientes de GitLab Dedicated no requieren ninguna acción adicional".

• CVE-2025-2254: una vulnerabilidad de XSS (cross-site scripting) que permitiría a atacantes ejecutar acciones maliciosas en nombre de usuarios legítimos.
• CVE-2025-0673: una vulnerabilidad de denegación de servicio (DoS) que podía provocar bucles de redireccionamiento infinitos, agotando recursos y dejando la plataforma inoperativa.

• Fortalecer los filtros de inyección de solicitudes, especialmente en plataformas que utilizan modelos de lenguaje.
• Implementar un control granular del alcance de entrada, para limitar qué datos se incorporan en las consultas del modelo.
• Aplicar filtros de posprocesamiento que bloqueen respuestas con enlaces externos o datos estructurados sospechosos.
• Configurar motores RAG para excluir fuentes externas no verificadas, especialmente correos electrónicos no empresariales.
• Auditar los permisos de acceso a aplicaciones como Teams y SharePoint, que podrían ser utilizados como canales de exfiltración.
• Mantenerse informado sobre nuevas técnicas de prompt injection y ataques a LLM para anticipar futuras amenazas.

• Una frecuencia de 18,5 kHz representa el bit "0".
• Una frecuencia de 19,5 kHz representa el bit "1".

• Los micrófonos de los relojes inteligentes son menos sensibles que los de los teléfonos inteligentes, lo que dificulta la captura de señales en ambientes ruidosos o con baja intensidad.
• La orientación de la muñeca afecta el éxito del ataque; la línea de visión entre el reloj y el altavoz es clave.
• El alcance máximo de transmisión varía entre 6 y 9 metros (20 a 30 pies).
• La velocidad de transmisión de datos es limitada, oscilando entre 5 y 50 bits por segundo, reduciendo la fiabilidad a mayores distancias o velocidades.

• Prohibir el uso de relojes inteligentes en zonas de alta seguridad.
• Eliminar altavoces incorporados en equipos con air gap, lo que neutralizaría los canales de exfiltración acústica.
• Implementar interferencia ultrasónica activa, como emisión de ruido de banda ancha.
• Aplicar cortafuegos de audio a nivel de software, para bloquear cualquier emisión sonora no autorizada.

• Robar contraseñas del sistema.
• Eludir controles de seguridad.
• Comunicar datos robados a un servidor de comando y control (C2).

• Troyanos de acceso remoto (RAT).
• Ladrones de información como Lumma y StealC.
• Herramientas como XWorm RAT, PureLogs Stealer y DanaBot.

• Uso de phishing dirigido (spear phishing).
• Distribución de malware mediante sitios web comprometidos o typosquatting.
• Verificaciones falsas de seguridad como método de distracción.
• Evasión de mecanismos de seguridad a través de scripts nativos del sistema.

• Nunca ejecutar scripts sugeridos por sitios desconocidos.
• Desconfiar de verificaciones CAPTCHA que soliciten comandos del sistema.
• Utilizar soluciones antimalware actualizadas y específicas para macOS.
• Capacitar a los empleados en detección de técnicas de phishing avanzado.

• Ataques DDoS masivos contra infraestructuras críticas
• Tráfico proxy encubierto
• Escaneo y explotación de otros dispositivos vulnerables

• China
• India
• Egipto
• Ucrania
• Rusia
• Turquía
• Brasil

• Novo
• CeNova
• QSee
• Pulnix
• XVR 5 en 1
• Securus
• Night OWL
• DVR Login
• HVR Login
• MDVR

• Para mitigar los riesgos asociados a esta vulnerabilidad, se recomienda:
• Desconectar de Internet cualquier DVR TBK afectado o rebrandeado hasta que se confirme su actualización.
• Aplicar parches de seguridad tan pronto estén disponibles.
• Implementar reglas de firewall que bloqueen accesos no autorizados a los dispositivos.
• Utilizar soluciones de seguridad IoT y segmentar la red para minimizar el impacto en caso de compromiso.
• Monitorizar comportamientos inusuales en los dispositivos, como un aumento en el tráfico saliente o conexiones inesperadas a servidores externos.

Citar"El incidente ha causado, y se espera que continúe causando, interrupciones temporales en las operaciones comerciales de la compañía", indicó UNFI.

Citar"La compañía continúa trabajando para restaurar sus sistemas de manera segura y minimizar el impacto en sus operaciones y en la cadena de suministro", agregó el comunicado.

Citar"Roundcube Webmail antes de 1.5.10 y 1.6.x antes de 1.6.11 permite la ejecución remota de código por parte de usuarios autenticados porque el parámetro _from no está validado en upload.php", describe el NIST.

Citar"Esta vulnerabilidad permite a los usuarios autenticados ejecutar comandos arbitrarios a través de la deserialización de objetos PHP", indicó la firma rusa.

• Actualizar Roundcube a la versión 1.6.11 o 1.5.10 LTS sin demora.
• Aplicar políticas de seguridad adicionales para monitorear actividad sospechosa de usuarios autenticados.
• Auditar los sistemas de correo web y analizar posibles compromisos previos.
• Estar atentos a la publicación de PoC y nuevas actualizaciones por parte de FearsOff y Positive Technologies.

• Ataques de superposición (overlay attacks): Suplantación de aplicaciones financieras legítimas para capturar nombres de usuario y contraseñas.
• Abuso de servicios de accesibilidad: Permite registrar entradas de teclado, leer la pantalla y controlar el dispositivo sin interacción del usuario.
• Robo de frases semilla y claves privadas: Captura frases asociadas a billeteras de criptomonedas, permitiendo el vaciamiento de activos digitales.
• Creación remota de contactos falsos: Recientemente, el malware puede agregar automáticamente contactos a la agenda del usuario tras recibir el comando "TRU9MMRHBCRO".

• Evita descargar aplicaciones desde enlaces en redes sociales o anuncios.
• Verifica siempre la legitimidad de una app en Google Play Store.
• Utiliza soluciones de seguridad móvil que incluyan detección de malware bancario.
• No compartas tu pantalla al utilizar apps financieras.
• Mantén Android y todas tus apps actualizadas con los últimos parches de seguridad.

• Información personal del personal de Tupolev
• Comunicaciones internas de la dirección ejecutiva
• Documentación sobre adquisiciones militares
• Currículums de ingenieros y diseñadores
• Actas de reuniones privadas y estratégicas

Citar"El valor de los datos obtenidos es difícil de exagerar. Prácticamente no queda nada secreto sobre las operaciones de Tupolev desde la perspectiva de la inteligencia ucraniana", afirmó la fuente anónima al Kyiv Post.

• La Agencia Federal de Transporte Aéreo (Rosaviatsia)
• El Centro Ruso de Hidrometeorología Espacial
• El Servicio Federal de Impuestos (FNS)

• Vladislav Surkov, asesor político de Vladimir Putin
• El Ministerio de Defensa ruso
• El Ministerio de Carbón y Energía de la República Popular de Donetsk
• El Instituto de la Comunidad de Estados Independientes, financiado por Gazprom
• Diversos oficiales militares y medios de comunicación rusos

• Versatilidad y personalización: Al seguir el modelo de instalación mínima de Arch Linux, AxOS permite configurar el sistema desde cero, adaptándolo completamente a tus necesidades.
• Diseño refinado: El equipo de desarrollo cuida cada detalle visual, integrando temas, iconos y fondos que ofrecen una experiencia moderna, clara y agradable.
• Actualizaciones continuas: Gracias a su modelo rolling release, AxOS permanece al día sin necesidad de reinstalaciones completas con cada nueva versión.
• Documentación útil: El proyecto cuenta con manuales descargables, como la guía en PDF sobre AxosVisual, enfocada en la gestión de inventarios y sistemas, accesible desde la web oficial.

• Descarga la imagen ISO desde el sitio oficial o GitHub.
• Graba la ISO en una memoria USB utilizando herramientas como Rufus, Balena Etcher o la terminal.
• Inicia el equipo desde el USB y sigue las instrucciones del instalador de AxOS.
• Elige el entorno de escritorio y las aplicaciones que deseas incluir.
• Completa la instalación y reinicia el sistema.

• Reportar errores o bugs.
• Proponer mejoras o nuevas funciones.
• Participar en discusiones sobre el rumbo del proyecto.
• Consultar el código fuente y sugerir pull requests.

• Sitio web oficial: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
• Repositorio GitHub con código y documentación.
• Manuales en PDF, como el de AxosVisual, orientado a gestión de inventarios y sistemas.
• Menciones en redes como LinkedIn y primeras apariciones en YouTube con reseñas y tutoriales.
• Seguimiento emergente en plataformas como DistroWatch.

• La potencia y libertad de Arch Linux.
• Una interfaz visual refinada.
• Actualizaciones constantes sin complicaciones.
• Una comunidad abierta al desarrollo colaborativo.
• Flexibilidad total para personalizar tu entorno.

CitarSegún Seethapathy:

"Este ataque no es una estafa de phishing común. Está cuidadosamente diseñado, con múltiples capas, dirigido a personas clave y adaptado para eludir tanto tecnologías de defensa como la conciencia del usuario."

• Uso de dominios de confianza de ISPs japoneses para eludir filtros SPF y DKIM.
• Abuso de Google Apps Script para alojar páginas de phishing que roban credenciales de Microsoft.
• Imitaciones de facturas de Apple Pay para robar información bancaria y cuentas de correo.
• Páginas de phishing en Notion para capturar credenciales mediante enlaces falsos.
• Explotación de la vulnerabilidad CVE-2017-11882 en Microsoft Office para distribuir el malware Formbook oculto en archivos PNG.

• Phishing de códigos de dispositivos.
• Phishing de consentimiento OAuth, con enlaces maliciosos disfrazados de aplicaciones legítimas.
• Phishing de unión de dispositivos, que engaña al usuario para registrar dispositivos en dominios controlados por el atacante.

• Contraseñas de cuentas
• Cookies de sesión
• Datos de tarjetas de crédito
• Credenciales de carteras de criptomonedas
• Información del sistema del dispositivo infectado

• El 61% de los registros disponibles en Russian Market contienen credenciales SaaS de plataformas como Google Workspace, Zoom y Salesforce.
• El 77% de los registros incluyen credenciales SSO (Single Sign-On), lo que permite a los atacantes acceder a múltiples servicios con un solo conjunto de credenciales.

Citar"Las cuentas en la nube comprometidas permiten a los atacantes acceder a sistemas críticos y representan una oportunidad para el robo de datos confidenciales", explican los investigadores de ReliaQuest.

• Contraseñas
• Cookies de sesión
• Billeteras de criptomonedas
• Datos de tarjetas de crédito

• Correos electrónicos de phishing
• Campañas de ClickFix
• Publicidad maliciosa de software pirata
• Contenido en plataformas como YouTube y TikTok

• Evitar descargar software de fuentes no oficiales
• Utilizar soluciones de seguridad actualizadas
• Habilitar la autenticación multifactor (MFA)
• Educar a los empleados sobre amenazas de phishing y enlaces maliciosos

Citar"Los parches para estas vulnerabilidades que afectan al controlador de GPU Adreno se han entregado a los fabricantes de equipos originales (OEM) en mayo de 2025, junto con una recomendación firme para su pronta implementación en los dispositivos afectados", indicó Qualcomm.

• CVE-2025-5054 (CVSS 4.7): Afecta al paquete Apport hasta la versión 2.32.0 en sistemas basados en Ubuntu. La vulnerabilidad permite la filtración de información sensible mediante la reutilización de PID y la manipulación de espacios de nombres (namespaces).
• CVE-2025-4598 (CVSS 4.7): Presente en systemd-coredump. Permite a un atacante provocar el fallo de un proceso SUID, reemplazarlo con un binario no privilegiado y así obtener acceso al volcado de memoria del proceso original. Esto incluye la posible exposición del archivo /etc/shadow, que contiene los hashes de contraseñas de los usuarios.

CitarSUID (Set User ID) es un permiso especial en Linux que permite a los usuarios ejecutar un programa con los privilegios del propietario del archivo, generalmente root.

echo 0 > /proc/sys/fs/suid_dumpable

• Filtración de credenciales y datos sensibles
• Tiempo de inactividad del sistema
• Pérdida de reputación
• Incumplimiento de normativas como GDPR o HIPAA

• Aplicar parches de seguridad tan pronto como estén disponibles para Apport y systemd-coredump.
• Deshabilitar los volcados de núcleo SUID en entornos donde no sean esenciales.
• Implementar monitoreo proactivo para detectar actividades sospechosas relacionadas con procesos SUID.
• Endurecer la seguridad de acceso local, limitando el uso de cuentas sin privilegios y restringiendo el acceso físico y remoto a los servidores.

Citar"Desconectar AVCheck marca un paso importante en la lucha contra el cibercrimen organizado", declaró Matthijs Jaspers de la policía neerlandesa.
"Con esta acción, interrumpimos a los ciberdelincuentes en una fase temprana y prevenimos que haya más víctimas".

• Ofuscan su malware mediante un servicio de cifrado.
• Lo prueban en plataformas CAV como AVCheck.
• Ajustan el código hasta hacerlo indetectable.
• Lo despliegan contra sus objetivos.

Citar"Los ciberdelincuentes no solo crean malware; lo perfeccionan para causar el máximo daño", afirmó Douglas Williams, agente especial del FBI.
"Gracias a estos servicios, los atacantes logran evadir firewalls, el análisis forense y comprometer sistemas críticos con precisión devastadora".

• 300 servidores
• 650 dominios web

• Catalyst 9800-CL (controladores inalámbricos en la nube)
• Catalyst 9800 integrado en switches Catalyst series 9300, 9400 y 9500
• Controladores inalámbricos Catalyst serie 9800
• Puntos de acceso Catalyst con controlador integrado

• Actualizar inmediatamente a una versión corregida de Cisco IOS XE, específicamente 17.12.04 o superior.
• Como medida temporal, desactivar la función de descarga de imágenes AP fuera de banda para eliminar la superficie de ataque vulnerable.

Citar"Autocompletar a través de Authenticator finaliza en julio de 2025. Puedes exportar tu información guardada (solo contraseñas) antes de esa fecha o cambiar a Microsoft Edge para seguir usando el autocompletado."

• Microsoft Defender SmartScreen
• Password Monitor
• Navegación InPrivate
• Integración con herramientas de inteligencia artificial

• Junio de 2025: ya no se podrán guardar nuevas contraseñas.
• Julio de 2025: la función de autocompletar dejará de estar disponible.
• Agosto de 2025: se eliminará el acceso a todas las contraseñas guardadas.

• Exportar contraseñas antes de julio de 2025.
• Migrar a Microsoft Edge como proveedor de autocompletado.
• Considerar otros administradores de contraseñas si se prefiere una solución distinta a Edge.

• Hospitales
• Empresas privadas
• Autoridades gubernamentales
• Particulares

Citar"El plugin es vulnerable a una vulnerabilidad de carga de archivos arbitrarios que permite a los atacantes subir archivos maliciosos al servidor sin autenticación", explicó Castro.

• Desactivar y eliminar el plugin hasta que se publique un parche oficial.
• Revisar si WC Fields Factory está activo, y desactivarlo en caso de no ser estrictamente necesario.
• Monitorear los archivos del servidor en busca de archivos PHP sospechosos recientemente subidos.
• Aplicar reglas de firewall a nivel de aplicación (WAF) para bloquear accesos a rutas sensibles.

• El encabezado DOS permite la compatibilidad con sistemas MS-DOS y facilita el reconocimiento del archivo como ejecutable válido.
• El encabezado PE, por su parte, contiene los metadatos necesarios para que Windows cargue y ejecute el programa correctamente.

Citar"Descubrimos malware que se había estado ejecutando en una máquina comprometida durante varias semanas", afirmaron Xiaopeng Zhang y John Simmons, del Equipo de Respuesta a Incidentes de FortiGuard, en un informe compartido con The Hacker News.

• Captura de pantalla del sistema comprometido.
• Enumeración y manipulación de servicios del sistema.
• Capacidad de operar como servidor remoto en espera de conexiones entrantes.

Citar"Este diseño convierte al sistema infectado en una plataforma de acceso remoto totalmente funcional", explicó Fortinet. "El atacante puede lanzar nuevos ataques o realizar acciones en nombre de la víctima."