Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - Dragora

#1

La Comisión de Protección de Datos de Irlanda (DPC) ha sancionado a LinkedIn con una multa de 310 millones de euros (335 millones de dólares) por infringir las normas de privacidad del Reglamento General de Protección de Datos (GDPR). Esta medida responde a que LinkedIn utilizó datos personales de sus usuarios para realizar análisis de comportamiento y desplegar publicidad dirigida sin el consentimiento adecuado.

Investigación y hallazgos del DPC sobre LinkedIn

La investigación, iniciada en 2018 tras una denuncia de la Autoridad de Protección de Datos de Francia, determinó que LinkedIn infringió varios principios del GDPR, entre ellos la transparencia y equidad en el procesamiento de datos. Estos incumplimientos se refieren específicamente a los artículos 5 y 6 del GDPR, que regulan la licitud y la necesidad de transparencia en el tratamiento de datos personales.

El DPC señaló que LinkedIn no obtuvo un consentimiento claro y explícito de sus usuarios para procesar datos con fines de publicidad dirigida. En su lugar, la plataforma utilizó la base de "intereses legítimos" para justificar el uso de datos personales en sus campañas publicitarias. Sin embargo, la DPC consideró que esta justificación no cumplía con los requisitos del GDPR. Además de la multa, LinkedIn debe adaptar sus prácticas para cumplir con las normativas de la Unión Europea en un plazo de tres meses.

Requisitos del GDPR para el consentimiento y la transparencia

El GDPR establece que el consentimiento de los usuarios debe ser libre, específico, informado y otorgado de forma clara. Asimismo, cualquier tratamiento de datos debe ser justo y transparente, asegurando que los usuarios comprendan cómo y por qué se utilizan sus datos. Según el comisionado adjunto de la DPC, Graham Doyle, "la legalidad del procesamiento de datos personales es fundamental para la protección de los derechos de privacidad de los usuarios". La falta de una base legal adecuada constituye una violación grave de estos derechos, afectando la confianza de los usuarios en la protección de sus datos personales.

Respuesta de LinkedIn y medidas futuras

Microsoft, empresa propietaria de LinkedIn, comentó que la plataforma está trabajando para que sus prácticas publicitarias cumplan con los requisitos del GDPR antes del plazo establecido. Aunque LinkedIn sostiene que sus prácticas publicitarias se ajustan a las normativas, asegura que revisará y ajustará cualquier proceso necesario para cumplir con la decisión del DPC.

Esta sanción a LinkedIn refleja el compromiso de las autoridades europeas por proteger la privacidad de los datos personales, y marca una advertencia para las empresas sobre la necesidad de adherirse estrictamente al GDPR. Las multas por violaciones de privacidad pueden alcanzar hasta el 4% de los ingresos anuales globales de una empresa, lo que convierte el cumplimiento en una prioridad estratégica.

Otros casos relevantes: Pinterest y la base legal de "intereses legítimos"

La organización de privacidad noyb, dirigida por el activista Max Schrems, también ha presentado una denuncia en Francia contra Pinterest, argumentando que la plataforma de redes sociales utiliza la base de "intereses legítimos" para rastrear la actividad de los usuarios sin su consentimiento explícito. Según noyb, Pinterest habilita el rastreo de usuarios de manera predeterminada, requiriendo que estos opten por la exclusión para evitar el seguimiento de sus datos.

Noyb sostiene que Pinterest debería buscar el consentimiento explícito de los usuarios para la publicidad dirigida, como estipula el artículo 6(1)(a) del GDPR, en lugar de invocar intereses legítimos para justificar su rastreo. Un portavoz de Pinterest afirmó que la empresa cumple con el GDPR en su enfoque hacia la publicidad personalizada, aunque la queja de noyb refleja una creciente presión en Europa sobre el uso de intereses legítimos para justificar el procesamiento de datos en campañas publicitarias.

Implicaciones de las sanciones del GDPR en el sector tecnológico

Las multas a empresas como LinkedIn subrayan la importancia de que las plataformas de redes sociales cumplan rigurosamente con las regulaciones de privacidad en Europa. La normativa GDPR exige a las empresas mantener una transparencia total sobre el uso de datos personales y obliga a las organizaciones a obtener el consentimiento expreso de los usuarios antes de realizar actividades de análisis de comportamiento o publicidad personalizada.

Este tipo de sanciones refuerza el mensaje de que las normativas de protección de datos en la Unión Europea están siendo estrictamente aplicadas y que las organizaciones deben adoptar prácticas sólidas de privacidad y transparencia. Las empresas tecnológicas que operan en la UE deben tomar en serio estos requisitos, dado que el incumplimiento puede resultar en sanciones financieras significativas y un daño reputacional considerable.

Con esta multa, LinkedIn se une a la lista de grandes plataformas tecnológicas que han enfrentado sanciones bajo el GDPR, resaltando la determinación de las autoridades europeas para asegurar que los derechos de privacidad de los usuarios estén debidamente protegidos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#2

Apple ha lanzado un entorno de investigación virtual para que los expertos en ciberseguridad puedan probar y evaluar la seguridad de su sistema Private Cloud Compute (PCC), una innovadora arquitectura de computación en la nube privada orientada a proteger la privacidad de los datos de los usuarios. Como parte de su estrategia para reforzar la seguridad, la compañía ha publicado el código fuente de varios "componentes clave" de PCC, lo que facilita a los investigadores el análisis de la privacidad y seguridad de esta arquitectura en un entorno controlado.

Private Cloud Compute: Innovación en privacidad y seguridad en la nube
Private Cloud Compute (PCC) es una infraestructura avanzada de inteligencia en la nube diseñada para procesar datos complejos de inteligencia artificial (IA) provenientes de dispositivos Apple sin comprometer la privacidad de los usuarios. PCC utiliza cifrado de extremo a extremo, lo cual garantiza que los datos enviados desde los dispositivos Apple estén accesibles solo para el usuario, impidiendo que incluso Apple pueda acceder a ellos.

Este entorno cumple con estrictos estándares de seguridad, de modo que los datos personales de los usuarios permanezcan privados y protegidos de accesos no autorizados. Poco después del lanzamiento de PCC, Apple permitió el acceso a un grupo de investigadores y auditores de seguridad seleccionados para validar la efectividad de sus protecciones de seguridad y privacidad.

Entorno Virtual de Investigación (VRE): Acceso público para verificar la seguridad de PCC

Apple ha ampliado el acceso al Entorno Virtual de Investigación (VRE), permitiendo a cualquier usuario interesado explorar cómo funciona PCC y confirmar el cumplimiento de las garantías de seguridad prometidas. La compañía ha puesto a disposición la "Guía de Seguridad de Cómputo en la Nube Privada," que describe la arquitectura de PCC y detalla los componentes técnicos.

El VRE permite ejecutar una réplica del sistema PCC en una máquina virtual, proporcionando a los investigadores la capacidad de inspeccionar y probar sus funcionalidades. En este entorno, es posible ejecutar el software del nodo PCC con solo mínimas modificaciones. El software en el espacio de usuario funciona como en un nodo PCC real, mientras que el proceso de arranque y el kernel han sido adaptados para la virtualización, permitiendo una evaluación de seguridad en profundidad.

Para usar el VRE, se requiere macOS Sequia 15.1 Developer Preview y un dispositivo Apple con chip Silicon y al menos 16 GB de memoria unificada. Gracias a este entorno, los investigadores pueden analizar a fondo el sistema, modificando y depurando el software de PCC y realizando inferencias en modelos de demostración.

Publicación del código fuente y herramientas clave para la investigación de PCC
Apple ha compartido el código fuente de varios componentes de PCC para promover una mayor transparencia en el funcionamiento de su sistema y facilitar la investigación de seguridad. Entre estos componentes se encuentran:

  • CloudAttestation: Encargado de construir y validar las atestaciones del nodo PCC, garantizando la autenticidad y la transparencia de los procesos.
  • Thimble: Incluye el demonio privatecloudcomputed, que aplica la transparencia verificable en el dispositivo del usuario mediante CloudAttestation.
  • Splunkloggingd: Un demonio que filtra los registros emitidos desde un nodo PCC, protegiéndolos contra la divulgación accidental de datos.
  • Srd_tools: Proporciona las herramientas de VRE que facilitan la ejecución del código de PCC, ayudando a los investigadores a comprender cómo funciona este entorno.

Estas herramientas permiten a los investigadores observar cómo funcionan los distintos componentes de PCC en condiciones simuladas, contribuyendo a identificar vulnerabilidades potenciales.

Programa de recompensas de seguridad para vulnerabilidades de PCC

Apple ha ampliado su programa de recompensas de seguridad, ofreciendo incentivos financieros para quienes descubran fallos significativos en PCC. La recompensa más alta es de hasta 1 millón de dólares por un ataque remoto que comprometa los datos de solicitud de los usuarios, logrando ejecución remota de código con permisos arbitrarios. Además, Apple ofrece recompensas de $250,000 para quienes demuestren métodos de acceso a datos de solicitud de usuarios o información confidencial.

Para ataques realizados desde la red con privilegios elevados, la recompensa varía entre $50,000 y $150,000, dependiendo de la complejidad del ataque y la naturaleza de la vulnerabilidad. Apple ha enfatizado que, aunque su programa incluye categorías específicas, cualquier vulnerabilidad significativa que afecte a PCC puede ser elegible para una recompensa.

Compromiso con la seguridad y privacidad en la computación en la nube

Apple considera que Private Cloud Compute es una de las arquitecturas de seguridad más avanzadas implementadas para computación en la nube de IA, pero reconoce que la colaboración con la comunidad de investigación es clave para seguir mejorando sus estándares de seguridad y privacidad. Con este entorno abierto, la compañía reafirma su compromiso en proporcionar soluciones seguras y transparentes a sus usuarios.

La apertura del acceso a PCC y la colaboración con investigadores no solo ayudan a fortalecer el ecosistema de seguridad de Apple, sino que también refuerzan su compromiso con la privacidad del usuario en un mundo digital en constante evolución. Este enfoque colaborativo es una señal de los esfuerzos de Apple por ofrecer un entorno de IA en la nube altamente seguro que responda a las crecientes demandas de privacidad de los usuarios.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#3

Amazon toma medidas contra el uso de dominios en campañas fraudulentas de Escritorio Remoto para proteger datos

Amazon ha tomado acción en la reciente campaña de ciberespionaje atribuida a APT29, un grupo de amenazas persistentes avanzadas (APT) vinculado a ataques sofisticados. En esta ocasión, el grupo empleó dominios que simulaban pertenecer a Amazon Web Services (AWS) para desplegar una campaña de phishing con el objetivo de capturar credenciales de Windows de usuarios desprevenidos, y no credenciales de AWS como podría pensarse. A través de su servicio de Escritorio Remoto de Microsoft (RDP), APT29 engañó a las víctimas para que se conectaran a servidores controlados por atacantes, comprometiendo así datos sensibles.

La Estrategia de Amazon para Contrarrestar el Fraude

Amazon respondió rápidamente al identificar esta actividad maliciosa, logrando la incautación de varios dominios utilizados por APT29. Estos dominios falsos simulaban servicios de AWS para atraer a los usuarios, aunque el verdadero objetivo del grupo era obtener credenciales de inicio de sesión de Windows. La intervención de Amazon resultó en la interrupción de esta operación, mitigando el riesgo para los usuarios.

Los actores de amenazas de APT29 se especializan en ataques dirigidos a instituciones gubernamentales, organizaciones de investigación y centros de análisis a nivel mundial. Emplean técnicas avanzadas de phishing y malware para infiltrarse y robar información crítica, especialmente de organizaciones consideradas adversarias de Rusia.

Alcance Global de la Campaña de APT29

La campaña de APT29 tuvo un impacto global, y aunque se descubrió inicialmente en Ucrania, se detectaron actividades de esta campaña en varios países, principalmente aquellos que mantienen una postura adversa hacia Rusia. Amazon observó que, a diferencia de las operaciones anteriores, esta campaña apuntó a un número significativamente mayor de objetivos. Este cambio en su enfoque sugiere una posible diversificación en las tácticas de APT29, ampliando su alcance para aumentar las posibilidades de éxito.

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) emitió alertas sobre los archivos adjuntos maliciosos utilizados en esta campaña, catalogados bajo el código "UAC-0215". Estos archivos estaban diseñados para activar conexiones RDP maliciosas, permitiendo a los atacantes obtener acceso a los dispositivos de las víctimas y comprometer la seguridad de sus redes. En los mensajes de phishing, los atacantes usaron temas relacionados con "problemas de integración" con los servicios de Amazon y Microsoft, aludiendo también a la implementación de arquitecturas de seguridad "de confianza cero" o "Zero Trust Architecture" (ZTA), una estrategia que suele despertar el interés en el sector empresarial.

Cómo Funciona la Amenaza de Escritorio Remoto

Los correos electrónicos de APT29 incluían archivos de conexión RDP con nombres engañosos como "Zero Trust Security Environment Compliance Check.rdp". Al abrir estos archivos, las víctimas activaban conexiones directas con los servidores de los atacantes, comprometiendo la seguridad de sus propios dispositivos. Estos archivos de conexión RDP configurados de forma maliciosa compartían automáticamente los recursos locales del dispositivo de la víctima con el servidor RDP de APT29. Entre los recursos comprometidos se encontraban:

  • Discos y archivos locales
  • Recursos de red
  • Impresoras
  • Puertos COM
  • Dispositivos de audio
  • Portapapeles

Además, los atacantes podían aprovechar esta conexión para ejecutar programas y scripts maliciosos en los dispositivos comprometidos, lo que les permitía obtener acceso directo a datos sensibles e incluso instalar software espía para mantener el control de los dispositivos infectados. Según CERT-UA, estos métodos son especialmente peligrosos, ya que permiten a los atacantes mantener una presencia persistente en las redes objetivo.

La Respuesta de Amazon y su Impacto en la Seguridad

Si bien la campaña de APT29 estaba enfocada en la obtención de credenciales de Windows a través de conexiones RDP, el acceso a los recursos locales compartidos brindaba a los atacantes una puerta abierta para robar información adicional. La rápida intervención de Amazon fue crucial para frenar la expansión de esta amenaza, y la incautación de los dominios comprometidos ha sido un paso esencial para mitigar el riesgo de futuros ataques similares.

Con estas acciones, Amazon ha reforzado su compromiso con la ciberseguridad y ha proporcionado un ejemplo para otras grandes organizaciones que enfrentan ataques sofisticados por parte de grupos APT. En un entorno de amenazas en constante evolución, las empresas tecnológicas están llamadas a actuar de manera proactiva para proteger tanto sus sistemas como los de sus usuarios.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#4

En el primer día de Pwn2Own Ireland, los participantes demostraron 52 vulnerabilidades de día cero en una variedad de dispositivos, ganando un total de $ 486,250 en premios en efectivo.

Viettel Cyber Security tomó una ventaja temprana, obteniendo 13 puntos en su persecución por el título de "Master of Pwn". El equipo phudq y namnp explotaron una cámara WiFi Lorex 2K a través de una vulnerabilidad de desbordamiento de búfer basada en pila y obtuvieron USD 30,000 y 3 puntos.

Sina Kheirkhah de Summoning Team se robó el show con una cadena de nueve vulnerabilidades para pasar del router QNAP QHora-322 al dispositivo TrueNAS Mini X, lo que le valió un pago de 100.000 dólares y 10 puntos Master of Pwn.

Jack Dates, de RET2 Systems, siguió con un exitoso exploit de escritura fuera de límites (OOB) en el altavoz inteligente Sonos Era 300, asegurando USD 60,000 y 6 puntos. Su hazaña permitió el control total sobre el dispositivo.

Un segundo intento de Viettel Cyber Security combinó cuatro nuevos errores para pasar del router QHora-322 de QNAP al TrueNAS Mini X, lo que les valió otros 50.000 dólares y 10 puntos.

Otros intentos notables del primer día de Pwn2Own incluyen:

  • El equipo Neodyme aprovechó un desbordamiento de búfer basado en pila para dirigirse a la impresora HP Color LaserJet Pro MFP 3301fdw. Su éxito fue recompensado con $20,000 y 2 puntos.
  • PHP Hooligans / Midnight Blue ganó $ 20,000 por explotar una impresora Canon imageCLASS MF656Cdw usando un solo error.
  • ExLuck de ANHTUD se unió a la tabla de clasificación con cuatro nuevos errores, incluida la verificación incorrecta de certificados y una clave criptográfica codificada, para explotar el dispositivo NAS TS-464 de QNAP. Este esfuerzo ganó $40,000 y 4 puntos Master of Pwn.
  • En el frente de la vigilancia, Ryan Emmons y Stephen Less de Rapid7 explotaron con éxito el Synology DiskStation DS1823xs+ a través de un error de neutralización incorrecta de delimitadores de argumentos, ganando 40.000 dólares y 4 puntos.

Sin embargo, el primer día no estuvo exento de desafíos y fracasos parciales. Summoning Team tuvo problemas para ejecutar sus exploits QNAP TS-464 y Synology BeeStation BST150-4T a tiempo, mientras que Synacktiv experimentó una colisión de errores en su exploit de cámara Lorex 2K, ganando un pago reducido de $ 11,250.

A pesar de algunos contratiempos, el primer día de Pwn2Own Ireland 2024 estuvo repleto de hacks de alto riesgo y recompensas equivalentes.

Quedan tres días más en la competencia y los participantes intentarán explotar los problemas de seguridad que se encuentran en los dispositivos SOHO completamente parcheados, incluidas impresoras, sistemas NAS, cámaras WiFi, enrutadores, altavoces inteligentes, teléfonos móviles (Samsung Galaxy S24), para obtener una parte del premio acumulado de $ 1 millón.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#5

Fortinet ha sido centro de atención en la industria de la ciberseguridad debido a una reciente vulnerabilidad crítica en su producto FortiManager, que ha sido explotada en ataques de día cero. Esta falla, identificada como CVE-2024-47575 y con una calificación de gravedad de 9.8 sobre 10, ha puesto en alerta a empresas y administradores de redes que utilizan esta herramienta esencial para la gestión de dispositivos FortiGate.

Explotación de la vulnerabilidad de FortiManager

Los administradores de dispositivos Fortinet han compartido que esta vulnerabilidad ha sido aprovechada por atacantes durante un tiempo considerable, incluso antes de que se enviaran notificaciones oficiales a los clientes. Un usuario en Reddit mencionó que su empresa fue atacada semanas antes de recibir un aviso formal, lo que indica la naturaleza de día cero de la vulnerabilidad.

Fortinet, en su comunicado público, ha confirmado que la vulnerabilidad afecta al protocolo FortiGate to FortiManager (FGFM), que facilita la administración remota de dispositivos FortiGate a través de FortiManager. Esta brecha permite que un atacante remoto no autenticado ejecute comandos arbitrarios mediante solicitudes diseñadas específicamente.

Dispositivos afectados y actualizaciones de seguridad

La vulnerabilidad impacta múltiples versiones de FortiManager, incluidas las versiones locales y en la nube. Entre las versiones afectadas están las 7.6, 7.4, 7.2, 7.0 y 6.4 de FortiManager. Fortinet ya ha lanzado parches de seguridad para corregir esta vulnerabilidad en las versiones más recientes, como la 7.2.8 y la 7.4.5. Las actualizaciones para otras versiones se esperan en los próximos días.

Los administradores de FortiManager deben aplicar estas actualizaciones de inmediato para mitigar el riesgo. Fortinet también ha ofrecido soluciones temporales, como el comando set fgfm-deny-unknown enable, que previene que dispositivos no autorizados se conecten al servidor FortiManager. Asimismo, recomienda la creación de listas de IP permitidas y el uso de certificados personalizados para establecer conexiones seguras.

Explotación de la vulnerabilidad para el robo de datos

Uno de los objetivos principales de los ataques ha sido el robo de datos críticos de los servidores FortiManager. Los atacantes han utilizado la vulnerabilidad para extraer información como direcciones IP, credenciales y configuraciones de dispositivos gestionados, que podrían ser utilizados para comprometer redes corporativas y servicios de proveedores de servicios administrados (MSP). Sin embargo, hasta el momento, no se ha reportado la instalación de malware en los servidores comprometidos.

Fortinet ha compartido Indicadores de Compromiso (IOC) para ayudar a los administradores de seguridad a detectar si sus sistemas FortiManager han sido violados. Entre estos, se destaca la aparición de dispositivos no registrados con el nombre "localhost" en los registros de FortiManager, así como la ejecución de comandos de API que permiten a los atacantes añadir estos dispositivos fraudulentos.

Prevención y mitigación de ataques futuros

La compañía ha ofrecido medidas proactivas para mitigar posibles explotaciones en el futuro. Además de las actualizaciones de software mencionadas anteriormente, Fortinet recomienda que los administradores configuren listas de control de acceso estrictas y monitoreen los registros de actividad para detectar comportamientos sospechosos.

Es importante destacar que la exposición de los puertos FGFM en dispositivos conectados a Internet ha sido uno de los principales factores que facilitó los ataques. Una búsqueda en Shodan realizada por el investigador de ciberseguridad Kevin Beaumont reveló que más de 59,000 dispositivos FortiManager con puertos FGFM están expuestos en línea, lo que los convierte en blancos fáciles para los atacantes. La mayoría de estos dispositivos se encuentran en los Estados Unidos, lo que subraya la necesidad de limitar la exposición de estos servicios a la red pública.

Críticas a la transparencia de Fortinet

La forma en que Fortinet manejó la divulgación de esta vulnerabilidad ha sido objeto de críticas por parte de la comunidad de ciberseguridad. Algunos clientes han expresado frustración por no haber recibido las notificaciones privadas a tiempo, lo que los dejó vulnerables durante semanas. Fortinet ha defendido su proceso, indicando que se priorizó la divulgación responsable para permitir a los clientes reforzar su seguridad antes de hacer pública la información. Sin embargo, esta no es la primera vez que Fortinet es criticado por su falta de transparencia en la divulgación de vulnerabilidades críticas. Casos anteriores, como las vulnerabilidades SSL-VPN de FortiOS en 2022 y 2023, siguieron un patrón similar.

En fin, la vulnerabilidad CVE-2024-47575 en FortiManager destaca la creciente importancia de mantener actualizados los sistemas de gestión de redes y aplicar medidas de seguridad proactivas. Las organizaciones que utilizan FortiManager deben actuar rápidamente para proteger sus entornos de TI, aplicar las actualizaciones correspondientes y revisar las configuraciones de seguridad para evitar ser víctimas de ataques similares en el futuro. La gestión eficiente de vulnerabilidades y la comunicación clara entre proveedores y clientes son esenciales para mitigar los riesgos asociados con las fallas de día cero.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#6

Recientemente, se ha detectado que los actores de amenazas están explotando la función de aceleración de transferencias de Amazon S3 (Simple Storage Service) para realizar ataques de ransomware dirigidos a exfiltrar los datos de las víctimas. Estos datos son transferidos rápidamente y almacenados en buckets de S3 controlados por los atacantes. Este enfoque permite a los ciberdelincuentes abusar de la infraestructura de la nube para sus fines maliciosos.

Investigadores de Trend Micro, como Jaromir Horejsi y Nitesh Surana, han identificado intentos de disfrazar ransomware escrito en Golang como el infame ransomware LockBit, una de las amenazas de ciberseguridad más conocidas. No obstante, han aclarado que esto es solo una táctica para aprovechar la notoriedad de LockBit y generar más presión sobre las víctimas, lo que es una estrategia común en los ataques de ransomware de alto perfil.

Uso de AWS en ataques de ransomware

El análisis también reveló que los artefactos de ransomware incrustan credenciales de Amazon Web Services (AWS) codificadas, lo que facilita la exfiltración de datos a través de la nube. Esta táctica resalta cómo los atacantes están utilizando servicios en la nube populares como armas para sus esquemas maliciosos. Los investigadores de Trend Micro también descubrieron más de 30 muestras con ID de clave de acceso y claves de acceso secretas incrustadas, lo que indica un desarrollo activo de estos ataques.

Se presume que las cuentas de AWS utilizadas en estas campañas de ransomware son gestionadas directamente por los atacantes o han sido comprometidas previamente. Tras la divulgación de estas actividades al equipo de seguridad de AWS, se tomaron medidas inmediatas para suspender las claves de acceso y las cuentas comprometidas.

Funcionamiento del ransomware multiplataforma

Este ransomware tiene la capacidad de atacar tanto sistemas Windows como macOS. Aunque no se conoce con exactitud cómo el malware llega al host objetivo, una vez ejecutado, el ransomware recopila el Identificador Único Universal (UUID) de la máquina afectada. Luego, lleva a cabo una serie de pasos que incluyen la generación de una clave maestra necesaria para cifrar los archivos. Antes de cifrarlos, el ransomware exfiltra los archivos a través de la función de S3 Transfer Acceleration (S3TA), lo que facilita una transferencia de datos más rápida y eficiente a los servidores de los atacantes.

Una vez completado el proceso de cifrado, los archivos se renombran siguiendo un formato específico: <nombre de archivo original>.<vector de inicialización>.abcd. Por ejemplo, un archivo llamado "text.txt" se transformaría en "text.txt.e5c331611dd7462f42a5e9776d2281d3.abcd". Además, el fondo de pantalla del dispositivo de la víctima es modificado para mostrar una imagen que menciona LockBit 2.0, lo que refuerza la intimidación y fomenta el pago del rescate.

Disfraz y presión sobre las víctimas

El uso de tácticas de disfraz en los ataques de ransomware no es nuevo, y los ciberdelincuentes suelen aprovechar la reputación de otros malware conocidos para presionar más a las víctimas. Los investigadores de Trend Micro señalaron que la notoriedad de LockBit y otros ransomwares de alto perfil hace que las víctimas se sientan más amenazadas, lo que puede aumentar la probabilidad de que cedan ante las demandas de los atacantes.

Casos recientes y herramientas de descifrado

Un desarrollo reciente es el lanzamiento de un descifrador por parte de Gen Digital para una variante del ransomware Mallox, detectada entre enero de 2023 y febrero de 2024. Este descifrador se creó después de que los investigadores descubrieran una falla en el esquema criptográfico del malware. Según el investigador Ladislav Zezula, las víctimas de esta variante específica de Mallox pueden restaurar sus archivos de forma gratuita. Sin embargo, esta vulnerabilidad fue corregida en marzo de 2024, lo que significa que las versiones posteriores del ransomware ya no son vulnerables a este descifrador.

Además, una filial de la operación Mallox, conocida como TargetCompany, ha utilizado una versión ligeramente modificada del ransomware Kryptina, conocida como Mallox v1.0, para atacar sistemas Linux. Esto resalta la evolución constante del panorama del ransomware, que se ha transformado en una compleja red de herramientas y códigos compartidos entre varios actores de amenazas.

Perspectivas sobre el ransomware en 2024

El ransomware sigue siendo una amenaza crítica. En el tercer trimestre de 2024, se reportaron 1.255 ataques de ransomware, una leve disminución respecto a los 1.325 ataques del trimestre anterior, según un informe de Symantec. No obstante, Microsoft advirtió en su Informe de Defensa Digital 2024 que los ataques de ransomware operados por humanos han aumentado 2,75 veces en comparación con el año anterior, y el número de ataques que alcanzan la fase de cifrado se ha triplicado en los últimos dos años.

En resumen, los actores de amenazas continúan adaptándose y utilizando nuevas técnicas, como el abuso de los servicios en la nube, para lanzar ataques más sofisticados y efectivos. La evolución de variantes como Mallox y el uso de Amazon S3 para exfiltración de datos subrayan la importancia de implementar medidas de seguridad robustas y estar alerta ante las amenazas emergentes

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#7

Los investigadores en ciberseguridad han descubierto una técnica adversarial innovadora que podría comprometer grandes modelos de lenguaje (LLM) durante interacciones conversacionales, colando instrucciones maliciosas entre indicaciones benignas. Esta técnica, conocida como Deceptive Delight, fue presentada por la Unidad 42 de Palo Alto Networks, y ha demostrado ser eficaz, alcanzando una tasa de éxito del 64,6% tras tres turnos de interacción.

¿Cómo funciona Deceptive Delight?

Deceptive Delight aprovecha vulnerabilidades en los LLM mediante la manipulación del contexto conversacional. Según Jay Chen y Royce Lu de Unit 42, esta técnica engaña a los modelos de lenguaje para generar contenido dañino al insertar poco a poco comandos maliciosos. Aunque su proceso es sutil, la técnica es capaz de superar las barreras de seguridad de los LLM, que están diseñadas para evitar la generación de contenido perjudicial.

A diferencia de otros métodos de ataque, como el "jailbreak de muchos disparos" o Crescendo, que intercalan temas peligrosos entre instrucciones inocuas, Deceptive Delight busca aumentar la peligrosidad del contenido generado de manera gradual. Esto hace que sea más difícil para los sistemas de seguridad detectar la amenaza antes de que el modelo sea completamente explotado.

Context Fusion Attack: otro riesgo para los modelos de lenguaje

Además de Deceptive Delight, los investigadores también han explorado otros métodos de jailbreak, como el Context Fusion Attack (CFA). Este método, que funciona como un ataque de caja negra, es capaz de eludir las protecciones de los LLM mediante la construcción de escenarios contextuales complejos alrededor de términos clave maliciosos. En lugar de lanzar un ataque frontal, CFA oculta su verdadera intención al sustituir palabras claves peligrosas dentro de un contexto aparentemente inofensivo.

Investigadores de la Universidad de Xidian y el Laboratorio de Seguridad de IA 360 describieron CFA en un artículo publicado en agosto de 2024. Según ellos, este método filtra y reestructura términos objetivo para integrarlos en escenarios contextuales, permitiendo que las indicaciones maliciosas pasen desapercibidas.

Limitaciones de los LLM y cómo son explotadas

Una de las razones detrás del éxito de técnicas como Deceptive Delight y CFA radica en las limitaciones de los LLM. Estos modelos, aunque avanzados, tienen una capacidad limitada de atención, lo que significa que pueden perder la capacidad de analizar completamente contextos largos o complejos. Cuando se enfrentan a indicaciones que mezclan contenido inofensivo con material peligroso, su capacidad de atención puede ser insuficiente para evaluar de manera consistente todo el contexto. Esto resulta en respuestas que priorizan aspectos benignos y pasan por alto o malinterpretan elementos peligrosos.

Esto fue claramente demostrado en un estudio de Unit 42, que probó ocho modelos de IA utilizando 40 temas inseguros en seis categorías: odio, acoso, autolesión, contenido sexual, violencia y peligro. Los resultados mostraron que la categoría de violencia tenía el índice más alto de éxito de ataque (ASR) en la mayoría de los modelos, lo que demuestra que ciertos tipos de contenido son más susceptibles a ser explotados.

Además, se observó un incremento en la puntuación de nocividad (HS) y la puntuación de calidad (QS) en un 21% y 33%, respectivamente, entre el segundo y tercer turno de conversación. Esto sugiere que la capacidad del modelo para generar contenido dañino aumenta a medida que avanza la interacción.

Medidas para mitigar el riesgo

A pesar de la gravedad de estas amenazas, hay formas de mitigar los riesgos asociados con técnicas como Deceptive Delight. Los investigadores recomiendan implementar una estrategia de filtrado de contenido robusta y utilizar ingeniería rápida para mejorar la resistencia de los LLM. Además, es crucial definir explícitamente el rango aceptable de entradas y salidas en los modelos de lenguaje, lo que ayudaría a reducir la posibilidad de que generen contenido peligroso de manera inadvertida.

El futuro de la seguridad en LLM

Aunque los avances en la ciberseguridad han mejorado la detección de ataques en LLM, es improbable que estos modelos lleguen a ser completamente inmunes a técnicas de jailbreak y a las llamadas "alucinaciones". Un estudio reciente ha demostrado que los modelos de IA generativa son vulnerables a la confusión de paquetes, lo que podría alimentar ataques a la cadena de suministro de software.

Este problema ocurre cuando los LLM recomiendan paquetes inexistentes a desarrolladores, lo que podría dar lugar a la creación de paquetes alucinados sembrados con malware en repositorios de código abierto. En este sentido, los investigadores señalaron que el porcentaje de paquetes alucinados es de al menos un 5,2% en modelos comerciales y un 21,7% en modelos de código abierto, destacando la magnitud de esta amenaza emergente.

En resumen, aunque los LLM continúan revolucionando la tecnología y la inteligencia artificial, es crucial que la industria avance hacia estrategias de defensa más sólidas y eficaces, que no solo mitiguen los riesgos de ataques como Deceptive Delight, sino que también preserven la utilidad y flexibilidad de estos potentes modelos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#8

El grupo de ciberespionaje chino conocido como APT41, también llamado Brass Typhoon, Earth Baku, Wicked Panda o Winnti, ha llevado a cabo un ataque cibernético altamente sofisticado contra la industria del juego y los casinos. Este ataque se prolongó durante al menos seis meses, durante los cuales los ciberdelincuentes recopilaron información valiosa de la empresa objetivo, como configuraciones de red, contraseñas y datos críticos del sistema.

Security Joes, una empresa de ciberseguridad israelí, fue la encargada de investigar el incidente. Ido Naor, cofundador de la compañía, informó que los atacantes ajustaron constantemente sus herramientas para evadir los sistemas de seguridad de la empresa afectada, demostrando una habilidad notable para mantener acceso persistente y evitar ser detectados. Este ataque muestra similitudes con una operación previamente identificada por Sophos, denominada "Operation Crimson Palace".

APT41 es un grupo vinculado al Estado chino que no solo realiza espionaje, sino que también ha estado involucrado en actividades financieras ilícitas, como ransomware y minería de criptomonedas. En este caso, se sospecha con gran certeza que el objetivo principal del ataque fue el beneficio económico. Los ataques de este grupo son metódicos y precisos, y en este caso específico, lograron infiltrarse en la red de una empresa de juegos de azar, recolectando datos valiosos y manteniendo su acceso durante un período prolongado.

Tácticas empleadas por APT41 en el ataque

Una de las técnicas clave utilizadas por APT41 fue un ataque DCSync, cuyo propósito es obtener credenciales de cuentas privilegiadas, como administradores y cuentas de servicio. Estas credenciales les permitieron mantener el control sobre la red y escalar privilegios para instalar y ejecutar software malicioso adicional. Durante la intrusión, los atacantes también ejecutaron un "secuestro de DLL fantasma" y abusaron de la herramienta legítima wmic.exe para disfrazar sus acciones dentro de la red.

La siguiente fase del ataque involucró la descarga de un archivo DLL malicioso llamado TSVIPSrv.dll, que fue transferido mediante el protocolo SMB. Este archivo estableció una conexión con un servidor de comando y control (C2) codificado, lo que permitió a los atacantes mantener acceso remoto y ejecutar más acciones maliciosas.

Adaptación constante y elusión de defensas

Una característica distintiva de este ataque fue la capacidad de APT41 para adaptarse rápidamente a las medidas de seguridad implementadas por la empresa afectada. Cada vez que el equipo de seguridad realizaba cambios para mitigar el ataque, los cibercriminales modificaban sus herramientas y técnicas para continuar evadiendo la detección. Incluso, utilizaron GitHub como una fuente para actualizar la información del servidor C2, empleando una técnica inusual para generar direcciones IP a partir de secuencias de caracteres en mayúsculas obtenidas del código HTML de la plataforma.

Security Joes destacó que los atacantes pausaron sus actividades tras ser detectados, pero regresaron semanas después con una nueva táctica, utilizando un archivo XSL modificado que contenía código JavaScript malicioso. Este archivo se ejecutó a través de la utilidad wmic.exe, un conocido living-off-the-land binary (LOLBIN), que permitió al grupo obtener más información del sistema comprometido sin levantar sospechas.

Focalización de redes específicas

El ataque también reveló que APT41 se enfocaba en dispositivos dentro de una subred específica, utilizando filtros de dirección IP para apuntar únicamente a máquinas de interés. Esta táctica resalta la meticulosidad del grupo para identificar y comprometer solo aquellos sistemas que podían ofrecerles un mayor valor.

En fin, el ataque de APT41 contra la industria del juego es un recordatorio del nivel de sofisticación que pueden alcanzar los actores estatales en el ciberespacio. Estos cibercriminales no solo buscan recopilar información, sino también obtener ganancias financieras a través de actividades ilícitas. Para las empresas que operan en sectores altamente lucrativos como el del juego, es esencial implementar medidas de seguridad avanzadas, realizar auditorías periódicas de su infraestructura digital y capacitar a su personal para reconocer y responder ante ataques de spear-phishing y otras amenazas cibernéticas.

Es fundamental que las empresas refuercen sus protocolos de seguridad y tomen medidas preventivas, como la monitorización de cuentas privilegiadas y el uso de herramientas de autenticación robustas, para mitigar el riesgo de futuros ataques por parte de grupos como APT41.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#9


Los trabajadores norcoreanos de tecnología de la información (TI) que se infiltran en empresas occidentales con identidades falsas no solo están robando propiedad intelectual, sino que también han comenzado a exigir rescates a cambio de no filtrar información confidencial. Este comportamiento marca una nueva fase en sus ataques, que anteriormente solo tenían motivaciones financieras más discretas.

Nuevas tácticas de extorsión en ataques cibernéticos


Según un análisis reciente publicado por la Unidad de Contraamenazas (CTU) de Secureworks, los trabajadores fraudulentos norcoreanos han intensificado sus actividades, solicitando rescates a sus empleadores después de obtener acceso a información sensible. "En algunos casos, los trabajadores fraudulentos exigieron el pago de un rescate a sus antiguos empleadores después de obtener acceso a información privilegiada", declaró Secureworks, añadiendo que esta táctica no se había observado en esquemas anteriores.

Un caso reciente destaca cómo un contratista comenzó a exfiltrar datos poco después de haber comenzado a trabajar en una empresa occidental a mediados de 2024. Esta actividad ha sido vinculada a un grupo de amenazas conocido como Nickel Tapestry, también identificado como Famous Chollima y UNC5267.

Cómo operan los trabajadores norcoreanos en empresas occidentales

El esquema detrás de estos ataques implica la infiltración de trabajadores de TI en empresas occidentales con el objetivo de generar ingresos ilícitos para Corea del Norte, una nación asfixiada por las sanciones internacionales. Estos trabajadores suelen ser enviados a países como China y Rusia, desde donde se hacen pasar por freelancers buscando oportunidades laborales en el sector tecnológico.

En otros casos, se ha descubierto que roban la identidad de personas legítimas residentes en los Estados Unidos para conseguir empleos en empresas occidentales. Estas identidades falsas les permiten acceder a información privilegiada y sistemas críticos de las empresas.

Redirección de equipos y tácticas de evasión

Además de las técnicas comunes de suplantación, algunos trabajadores norcoreanos han solicitado cambios en las direcciones de entrega de los equipos de TI enviados por la empresa, redirigiéndolos a intermediarios que luego permiten a los atacantes instalar software de escritorio remoto. Este software facilita el acceso a los sistemas corporativos desde Corea del Norte, sin levantar sospechas inmediatas.

También se han reportado casos en los que varios contratistas falsos son contratados por la misma empresa, o una persona asume varias identidades, complicando aún más la detección de la amenaza. Según Secureworks, estos trabajadores han pedido usar sus propios equipos personales en lugar de los proporcionados por la empresa, lo que elimina rastros forenses y permite mayor control desde el exterior.

Nuevas tácticas de extorsión: un riesgo creciente

Una escalada significativa en la táctica de los trabajadores norcoreanos ha sido la aparición de correos electrónicos de extorsión enviados por contratistas despedidos por bajo rendimiento. En un caso reciente, un trabajador envió archivos adjuntos con pruebas de los datos robados, exigiendo un rescate para no divulgarlos públicamente.

Rafe Pilling, director de inteligencia de amenazas de Secureworks, destacó que este cambio en la táctica aumenta el riesgo asociado con la contratación inadvertida de trabajadores norcoreanos. "Ya no buscan solo un salario fijo, sino que ahora apuntan a sumas más altas y más rápidas, obtenidas a través del robo de datos y la extorsión desde dentro de las defensas corporativas", señaló Pilling.

La operación norcoreana afecta a cientos, si no miles, de puestos de trabajo en todo el mundo, y aunque solo un pequeño porcentaje de estos casos termina en extorsión, el riesgo está aumentando, especialmente en empresas que desarrollan software o emplean contratistas remotos.

Cómo protegerse de la amenaza norcoreana

Para mitigar esta creciente amenaza, se insta a las empresas a mejorar sus procesos de verificación de identidad durante el reclutamiento. Algunas medidas preventivas incluyen:

  • Realizar entrevistas en persona o en video para confirmar la identidad del candidato.
  • Realizar exhaustivos controles de identidad, utilizando bases de datos confiables.
  • Estar atentos a intentos de redirigir la entrega de equipos de TI corporativos a direcciones distintas de las declaradas.
  • Monitorear el uso de herramientas de acceso remoto no autorizadas por parte de los trabajadores.
  • Revisar cualquier solicitud de cambiar el destino de los cheques de pago a servicios de transferencia de dinero sospechosos.

La alerta del FBI sobre estos esquemas subraya la necesidad de que las empresas mantengan una vigilancia constante. Además, el comportamiento evasivo, como la negativa de los trabajadores a habilitar el video durante las reuniones, puede ser una señal de alerta temprana de fraude.

En fin, la aparición de demandas de rescate marca un cambio importante en la forma en que los trabajadores norcoreanos de TI operan en empresas occidentales. Lo que solía ser una estrategia enfocada solo en el robo de propiedad intelectual se ha convertido en un esquema de extorsión más directo. Protegerse contra estas amenazas requiere un enfoque proactivo en la contratación y la seguridad de los sistemas corporativos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#10

El cargador de malware Bumblebee ha sido detectado en nuevos ataques, más de cuatro meses después de haber sido interrumpido por Europol durante la operación internacional llamada "Operación Endgame" en mayo. Este malware, que se cree que fue desarrollado por los creadores del famoso TrickBot, ha vuelto a estar activo, según informes recientes de investigadores de ciberseguridad.

¿Qué es Bumblebee y cuál es su origen?

Bumblebee surgió en 2022 como un reemplazo del malware BazarLoader, una herramienta utilizada por los actores de amenazas de ransomware para obtener acceso a las redes de las víctimas. BazarLoader había sido previamente utilizado para facilitar ataques de ransomware, y Bumblebee ha tomado su lugar como una puerta trasera para permitir que los ciberdelincuentes accedan y comprometan sistemas vulnerables.

A lo largo de su existencia, Bumblebee ha utilizado métodos de infección como el phishing, la publicidad maliciosa y el envenenamiento de SEO. Este último método es particularmente peligroso, ya que implica la manipulación de los resultados de búsqueda para que los usuarios descarguen inadvertidamente archivos maliciosos disfrazados de software legítimo. Entre los programas falsificados en campañas de Bumblebee se incluyen populares herramientas como Zooom, Cisco AnyConnect, ChatGPT y Citrix Workspace.

Cargas útiles desplegadas por Bumblebee

Entre las cargas útiles que Bumblebee distribuye una vez que infecta un sistema, se incluyen:

  • Balizas de Cobalt Strike, una herramienta utilizada por los atacantes para el reconocimiento y el movimiento lateral dentro de las redes comprometidas.
  • Malware para el robo de información, diseñado para extraer datos confidenciales de los sistemas infectados.
  • Varias cepas de ransomware, que cifran los archivos de las víctimas y exigen un rescate para restaurar el acceso a ellos.

Operación Endgame: Un golpe a las redes de malware

En mayo, una operación internacional de aplicación de la ley, denominada "Operación Endgame", llevó a la incautación de más de un centenar de servidores utilizados para respaldar la distribución de múltiples tipos de malware, incluyendo IcedID, Pikabot, TrickBot, Bumblebee, Smokeloader y SystemBC. Esta operación, coordinada por Europol, asestó un duro golpe a las operaciones de cibercrimen organizadas.

Tras esta acción, Bumblebee permaneció inactivo durante varios meses, lo que llevó a algunos investigadores a creer que sus operadores podrían haber abandonado el malware o cambiado sus tácticas. Sin embargo, los recientes informes de la empresa de ciberseguridad Netskope revelan que Bumblebee ha vuelto a aparecer en nuevos ataques, lo que sugiere un posible resurgimiento.

Nueva cadena de ataque de Bumblebee

La cadena de ataque más reciente observada por Netskope comienza con un clásico correo electrónico de phishing, diseñado para engañar a la víctima para que descargue un archivo ZIP malicioso. Dentro del archivo comprimido se encuentra un acceso directo de LNK denominado "Report-41952.lnk". Este archivo LNK desencadena un script de PowerShell que descarga un archivo MSI malicioso desde un servidor remoto.

El archivo MSI está disfrazado como una actualización legítima de un controlador, como el controlador de NVIDIA o el instalador de Midjourney. Una vez descargado, el archivo MSI se ejecuta de manera silenciosa utilizando el comando msiexec.exe con la opción /qn, lo que permite que el proceso se ejecute sin requerir interacción del usuario.

Para evitar la detección y minimizar la creación de nuevos procesos, Bumblebee utiliza la tabla SelfReg dentro de la estructura MSI, lo que permite que el malware cargue una DLL maliciosa directamente en el espacio de direcciones de msiexec.exe e invoque la función DllRegisterServer.

Técnicas de evasión y características de Bumblebee

Una vez que la DLL se carga y ejecuta, el malware comienza a desempaquetarse y a desplegar Bumblebee en la memoria del sistema infectado. Netskope ha identificado que la versión más reciente de Bumblebee utiliza una clave RC4 para descifrar su configuración interna. Esta clave se denomina "NEW_BLACK", y la campaña está identificada por los nombres de campaña "msi" y "lnk001".

Aunque Netskope no ha proporcionado detalles completos sobre las cargas útiles específicas que Bumblebee ha desplegado en esta última campaña, los investigadores advierten que esta actividad podría ser un indicador temprano de un resurgimiento del malware.

Indicadores de compromiso y precauciones

Los indicadores de compromiso (IoCs) para detectar infecciones de Bumblebee están disponibles en repositorios de GitHub, donde los investigadores de ciberseguridad pueden obtener más información sobre cómo identificar y mitigar este tipo de ataques. Dado el resurgimiento de Bumblebee, es crucial que las organizaciones revisen sus sistemas de seguridad y adopten medidas preventivas, como mejorar sus políticas de correo electrónico y educar a los empleados sobre los riesgos del phishing.

En fin el regreso de Bumblebee, después de haber sido interrumpido por la Operación Endgame, es un recordatorio de que los cibercriminales no descansan. Este malware continúa siendo una amenaza significativa, especialmente para las empresas y redes que no cuentan con medidas de seguridad robustas. Mantenerse informado y aplicar las mejores prácticas de ciberseguridad es esencial para mitigar los riesgos asociados a esta amenaza emergente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#11

Microsoft ha emitido una advertencia importante sobre un fallo crítico que afecta a algunos portátiles ASUS al intentar actualizar a la última versión del sistema operativo, Windows 11 versión 24H2. Este problema provoca el temido error de la Pantalla Azul de la Muerte (BSOD), que bloquea el dispositivo e impide que complete la instalación de la actualización.

Dispositivos ASUS afectados por la actualización de Windows 11

Según el boletín de seguridad publicado por Microsoft a finales de la semana pasada, los modelos de portátiles ASUS X415KA y X515KA son los principales afectados por este fallo al intentar actualizar a Windows 11 24H2. Microsoft ha reconocido públicamente este problema y está colaborando con ASUS para desarrollar una solución.

Hasta que se encuentre una solución definitiva, Microsoft ha decidido bloquear temporalmente las actualizaciones automáticas en los dispositivos afectados para evitar que los usuarios enfrenten el error de la pantalla azul. Es decir, los portátiles que corran el riesgo de bloquearse no recibirán la notificación para instalar la nueva versión de Windows 11.

La Pantalla Azul de la Muerte en Windows 11

La Pantalla Azul de la Muerte (BSOD) es un error crítico que se produce cuando el sistema operativo encuentra un problema grave que impide su funcionamiento normal. En el caso de los portátiles ASUS, este error ocurre durante el proceso de actualización a la versión 24H2 de Windows 11, lo que hace que los dispositivos afectados no puedan completar la instalación. Los usuarios que han experimentado este problema han visto cómo sus ordenadores se reinician sin éxito, quedando atrapados en un ciclo de errores.

Recomendaciones de Microsoft para los usuarios de ASUS

Microsoft recomienda encarecidamente que los usuarios de los portátiles ASUS afectados no intenten actualizar manualmente a Windows 11 versión 24H2. Esto incluye no utilizar el Asistente de Instalación de Windows ni herramientas de creación de medios, ya que estas podrían desencadenar el error BSOD.

Para aquellos que ya han intentado la actualización y han encontrado este error, Microsoft sugiere seguir las instrucciones oficiales de soporte técnico para restaurar el funcionamiento normal de sus dispositivos.

Otros problemas recientes de actualización de Windows 11

Este problema con los portátiles ASUS no es el único que ha afectado a la actualización a Windows 11 versión 24H2. Apenas dos semanas antes, Microsoft bloqueó la actualización en ciertas PCs con procesadores Intel debido a problemas similares de Pantalla Azul de la Muerte (BSOD). En aquel caso, el problema se atribuyó a un controlador de sonido defectuoso utilizado en los procesadores Intel Core e Intel Atom, y la solución fue simplemente actualizar el controlador.

Es importante destacar que los modelos de portátiles ASUS afectados, como el X415KA y el X515KA, están equipados con procesadores Intel de 10ª y 11ª generación, lo que podría estar relacionado con el origen del problema. Sin embargo, hasta la fecha, Microsoft no ha proporcionado más detalles técnicos sobre la causa exacta del fallo en estos dispositivos.

Consecuencias para los usuarios de Windows 11

El problema de la actualización de Windows 11 versión 24H2 ha generado inquietud entre los usuarios, ya que la versión 22H2 de Windows 11, tanto en las ediciones Home como Pro, ha llegado al final de su ciclo de soporte. Este mes recibió su última actualización de seguridad, lo que obliga a muchos usuarios a actualizar a la versión 24H2 para seguir recibiendo soporte y mejoras de seguridad.

Además de los problemas con ASUS y las PCs con Intel, otros usuarios que han actualizado a la versión 24H2 han reportado diversos problemas, como:

  • Problemas de rendimiento en videojuegos, aunque algunos de estos ya han sido parcialmente resueltos.
  • Problemas con aplicaciones que usan la cámara, que afectan a la capacidad de respuesta de las mismas y que aún no han sido solucionados.
  • Errores en el Liberador de espacio en disco, que reporta incorrectamente el espacio disponible en el sistema y que sigue sin resolver.

Futuras actualizaciones y soluciones

Microsoft sigue trabajando con ASUS y otros proveedores para solucionar estos problemas en futuras actualizaciones. Mientras tanto, los usuarios afectados deben estar atentos a los boletines de Microsoft para obtener las últimas actualizaciones de seguridad y posibles soluciones a estos fallos.

Si eres propietario de un dispositivo ASUS X415KA o X515KA, es recomendable seguir las instrucciones proporcionadas por Microsoft para evitar cualquier intento de actualización manual hasta que se confirme una solución oficial. Esto evitará que enfrentes el problema de la Pantalla Azul de la Muerte y mantendrá tu dispositivo funcionando de manera estable.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#12

Los piratas informáticos comprometieron a un socio exclusivo de ESET en Israel para llevar a cabo una campaña de phishing dirigida a empresas israelíes, utilizando borradores de datos disfrazados de software antivirus con fines destructivos. Un borrador de datos es un tipo de malware diseñado para eliminar todos los archivos de un sistema y, a menudo, corromper la tabla de particiones, lo que complica la recuperación de los datos.

La campaña de phishing, que comenzó el 8 de octubre, involucró correos electrónicos que simulaban provenir del "Equipo de Defensa contra Amenazas Avanzadas de ESET", enviados desde el dominio legítimo No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Esto sugiere que los servidores de correo electrónico del distribuidor israelí de ESET, Comsecure, fueron comprometidos como parte del ataque. Los correos electrónicos falsificados advertían a los destinatarios que sus dispositivos estaban bajo amenaza de actores maliciosos respaldados por el gobierno, y ofrecían una herramienta antivirus avanzada llamada "ESET Unleashed" como solución.

Los correos electrónicos contenían encabezados que pasaron las verificaciones de autenticación SPF, DKIM y DMARC, lo que ayudó a que el ataque pareciera más legítimo. Además, el enlace para descargar el software malicioso se alojaba en el propio dominio de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, reforzando la autenticidad percibida del mensaje. El archivo descargable era un archivo ZIP que contenía cuatro archivos DLL legítimos firmados digitalmente por ESET, junto con un ejecutable llamado Setup.exe, que no estaba firmado y actuaba como un borrador de datos malicioso.

BleepingComputer investigó el ataque y descubrió que el Setup.exe, aunque se bloqueaba en máquinas virtuales, funcionaba correctamente en PCs físicas. El experto en ciberseguridad Kevin Beaumont también confirmó que el archivo malicioso utilizaba técnicas para evadir la detección y se conectaba a un sitio web legítimo israelí, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Beaumont explicó que el ejecutable contenía signos obvios de comportamiento malicioso, como el uso de un Mutex asociado con el grupo de ransomware Yanluowang.

Aunque aún no está claro cuántas empresas israelíes fueron afectadas por esta campaña de phishing, el uso de borradores de datos sugiere que el objetivo del ataque era la destrucción de información, en lugar de la obtención de beneficios económicos. Los borradores de datos han sido utilizados anteriormente en ataques dirigidos a Israel, como el malware "IsraBye", descubierto en 2017, y la ola de ataques "BiBi" en 2023, que afectó a sectores clave como la educación y la tecnología en Israel.

Estos ataques anteriores han sido atribuidos a actores de amenazas iraníes, que buscan interrumpir la economía israelí mediante tácticas destructivas. En este caso, aunque no se ha identificado al grupo responsable, el modus operandi sugiere una motivación similar. Los borradores de datos han sido una herramienta recurrente en campañas de ciberataques geopolíticos, y este incidente refuerza la importancia de la ciberseguridad en un entorno cada vez más complejo.

Comsecure, el distribuidor israelí de ESET, no ha respondido aún a las solicitudes de comentarios sobre cómo fue comprometido su sistema. Tampoco está claro si el ataque fue detectado y mitigado antes de que causara daños generalizados. Sin embargo, el incidente subraya la necesidad de estar alerta frente a los ataques de phishing, incluso cuando parecen provenir de fuentes confiables.

Este tipo de ataques no solo pone en riesgo la reputación de las empresas, sino que también amenaza la integridad de los datos y la seguridad de los usuarios. Para prevenir incidentes similares, las empresas deben revisar continuamente sus sistemas de seguridad, actualizar sus prácticas de autenticación y ser proactivas en la detección de amenazas. En un mundo digital donde los ciberataques son cada vez más sofisticados, la prevención es clave para minimizar los daños potenciales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#13


Cisco ha confirmado que desconectó su portal público DevHub tras la filtración de datos "no públicos" por parte de un actor de amenazas, aunque sigue afirmando que no hay evidencia de una violación directa en sus sistemas internos. Este incidente ha generado preocupación sobre la seguridad de los entornos de desarrollo externos y cómo los actores maliciosos pueden aprovechar vulnerabilidades para obtener acceso no autorizado.

Según el comunicado oficial de Cisco, el incidente involucró un número reducido de archivos que no estaban destinados a la descarga pública, pero que, debido a la exposición, pudieron haber sido accedidos. "Hemos determinado que los datos en cuestión se encuentran en un entorno DevHub de cara al público, un centro de recursos de Cisco que nos permite apoyar a nuestra comunidad poniendo a disposición código de software, scripts, etc. para que los clientes los utilicen según sea necesario", explicó Cisco en su declaración.

La compañía asegura que no se ha detectado ningún robo de información personal o datos financieros, aunque la investigación aún está en curso. A medida que continúan revisando qué archivos pudieron haber sido comprometidos, Cisco mantiene una postura cautelosa y busca fortalecer las medidas de seguridad en sus entornos de desarrollo.

El actor de amenazas: IntelBroker

El incidente comenzó cuando un actor de amenazas conocido como IntelBroker afirmó haber violado el entorno de desarrollo de Cisco. IntelBroker intentó vender lo que describió como datos robados y código fuente de la compañía. En una entrevista con BleepingComputer, IntelBroker afirmó haber accedido al entorno de desarrollo de Cisco a través de un token API expuesto, lo que le permitió entrar en sistemas que deberían haber estado protegidos.

Este ataque, que afectó principalmente al entorno de desarrollo y no a los sistemas centrales de Cisco, demuestra cómo los entornos de desarrollo a menudo son objetivos menos protegidos y pueden ser explotados por ciberdelincuentes. Durante el proceso de investigación, Cisco fue lenta en reconocer el incidente públicamente, lo que llevó a IntelBroker a compartir capturas de pantalla y archivos con BleepingComputer para demostrar su acceso.

Datos comprometidos y evidencias presentadas

Los datos comprometidos incluían código fuente, archivos de configuración que contenían credenciales de bases de datos, documentación técnica y archivos SQL. Aunque estos datos no contienen información directamente relacionada con los clientes de Cisco, es preocupante que archivos críticos para el desarrollo interno hayan sido expuestos.

BleepingComputer compartió esta información con Cisco, incluyendo capturas de pantalla que mostraban que IntelBroker tenía acceso a la mayoría, si no a todos, los datos almacenados en el portal DevHub. Sin embargo, no está claro si estos datos incluían información confidencial de clientes, ya que el actor de amenazas no proporcionó pruebas adicionales sobre este aspecto.

IntelBroker también aseguró que tuvo acceso continuo a estos sistemas hasta que Cisco finalmente bloqueó todo acceso al portal y desconectó el entorno comprometido de JFrog, así como servidores asociados con Maven y Docker que también estaban relacionados con el portal DevHub. Sin embargo, IntelBroker no ofreció pruebas adicionales que respaldaran esta afirmación.

Reacciones de Cisco y medidas tomadas

Cisco, por su parte, ha sido clara al señalar que no ha encontrado evidencia de una violación en sus sistemas internos, aunque el entorno de desarrollo de terceros parece haber sido comprometido. "No hay indicios de que se haya robado información personal o datos financieros", reiteró Cisco en su comunicado, aunque continúan investigando el alcance completo del incidente.

El incidente plantea preguntas sobre la seguridad en entornos de desarrollo externos y cómo las empresas pueden ser vulnerables si no implementan controles rigurosos. El uso de tokens API mal gestionados, como el que IntelBroker afirma haber explotado, es una de las principales vías que los atacantes cibernéticos utilizan para ganar acceso a sistemas que deberían estar más protegidos.

Este incidente subraya la importancia de la gestión de accesos y credenciales en los entornos de desarrollo. El acceso a través de un token API expuesto, como el que IntelBroker utilizó, resalta cómo la falta de medidas de seguridad adecuadas puede tener consecuencias graves. Las empresas deben adoptar enfoques proactivos para proteger no solo sus sistemas centrales, sino también sus entornos de desarrollo y plataformas externas.

Cisco sigue investigando la situación para determinar la extensión del acceso no autorizado y ha desconectado el portal DevHub como una medida preventiva. Los expertos en ciberseguridad continúan analizando las posibles ramificaciones del ataque, y Cisco ha sido instada a revisar sus políticas de seguridad para evitar incidentes similares en el futuro.

Finalmente, aunque el actor de amenazas, IntelBroker, afirmó que no intentó extorsionar a Cisco, su decisión de filtrar los datos públicamente después de que la empresa no reconoció el incidente, resalta la presión a la que se enfrentan las compañías cuando se trata de violaciones de seguridad. "No confiaría en un actor de amenazas si me pidiera dinero para no filtrar mis cosas, así que tampoco deberían hacerlo", comentó IntelBroker, destacando la complejidad ética y práctica detrás de estos tipos de incidentes.

En conclusión, el incidente con Cisco DevHub pone en relieve la necesidad de reforzar las medidas de seguridad informática en todos los niveles, especialmente en entornos de desarrollo, para prevenir futuras filtraciones de datos que puedan poner en riesgo la integridad de la información.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#14

Microsoft ha revelado detalles de una importante vulnerabilidad en el marco de Transparencia, Consentimiento y Control (TCC) de Apple en macOS, que podría haber sido explotada para eludir las preferencias de privacidad de los usuarios y acceder a datos sensibles. Esta falla, conocida como HM Surf (CVE-2024-44133), ya ha sido parcheada por Apple en la actualización macOS Sequoia 15, eliminando el código vulnerable que permitía este ataque.

El TCC es un sistema de seguridad en macOS diseñado para garantizar que las aplicaciones no puedan acceder a la información personal de los usuarios, como la cámara, el micrófono o los servicios de ubicación, sin el consentimiento explícito del usuario. Sin embargo, la vulnerabilidad HM Surf permitió a los atacantes eludir estas protecciones, accediendo a datos como el historial de navegación de Safari, la cámara del dispositivo, el micrófono y la ubicación sin autorización.

Jonathan Bar Or, del equipo de Inteligencia de Amenazas de Microsoft, explicó que HM Surf explota una falla en la protección TCC específicamente para el directorio de Safari. Esto permite modificar un archivo de configuración dentro del directorio, lo que abre las puertas para que actores maliciosos accedan a datos confidenciales sin que el usuario lo sepa. Este acceso no autorizado podría incluir la capacidad de ver las páginas web que el usuario ha visitado o incluso acceder a la cámara y el micrófono del dispositivo, lo que representa una grave amenaza para la privacidad.

Apple ha abordado este problema de seguridad en su última actualización, pero Microsoft ha advertido que aún es crucial estar atentos a posibles variantes o nuevos intentos de explotación. Aunque el parche protege a los usuarios de Safari, Microsoft también está colaborando con otros navegadores importantes para implementar medidas de seguridad adicionales que fortalezcan la protección de los archivos de configuración locales.

Historia de vulnerabilidades en macOS

La revelación de HM Surf sigue una serie de vulnerabilidades en macOS descubiertas por Microsoft en el pasado, incluidas Shrootless, powerdir, Achilles y Migraine, todas ellas explotadas para eludir las medidas de seguridad de macOS. Cada una de estas vulnerabilidades demuestra cómo actores maliciosos han sido capaces de explotar debilidades en el sistema operativo de Apple para obtener acceso no autorizado a información privada o crítica.

A pesar de que Apple ha reforzado su sistema de seguridad con el marco TCC, la vulnerabilidad HM Surf pone en evidencia que aún pueden existir brechas en los controles de privacidad que permiten a los atacantes acceder a datos sensibles. Los atacantes pueden utilizar estas debilidades para controlar servicios como la cámara, la libreta de direcciones, los servicios de ubicación y otros sin que el usuario lo detecte.

Detalles del exploit HM Surf

El exploit HM Surf se basa en varios pasos técnicos que permiten a los atacantes manipular los archivos de configuración de Safari para obtener acceso a la información privada del usuario. Según Microsoft, el ataque comienza cambiando el directorio de inicio del usuario con la herramienta dscl, un paso que no requiere acceso TCC en macOS Sonoma. A continuación, el atacante puede modificar archivos clave dentro de la carpeta "~/Library/Safari", incluyendo el archivo PerSitePreferences.db, que almacena las configuraciones de permisos de sitios web.

Una vez que estos archivos se modifican, el atacante cambia el directorio de inicio al original, lo que obliga a Safari a usar las configuraciones alteradas. Esto permite que, al iniciar Safari, el atacante pueda abrir una página web maliciosa que captura la ubicación del usuario o toma instantáneas a través de la cámara del dispositivo. Incluso es posible que el ataque se extienda para capturar audio desde el micrófono, lo que podría ser utilizado para espionaje o robo de información.

Microsoft destacó que, si bien los navegadores de terceros no se ven afectados por este problema, es imperativo que los usuarios mantengan sus dispositivos actualizados para evitar cualquier posible explotación de la vulnerabilidad. Además, la compañía señaló que ha detectado actividad sospechosa relacionada con un adware conocido de macOS llamado AdLoad, que probablemente haya intentado explotar esta vulnerabilidad para atacar a los usuarios.

Implicaciones para la seguridad de los usuarios de macOS

Este descubrimiento subraya la importancia de mantener actualizados los dispositivos con las últimas versiones de macOS, ya que cada actualización incluye parches críticos que abordan vulnerabilidades que pueden ser explotadas por actores maliciosos. La explotación de HM Surf podría haber sido utilizada para robar información confidencial, espiar a los usuarios o comprometer la seguridad de los sistemas.

"Dado que no pudimos observar los pasos previos a la actividad maliciosa, no podemos confirmar completamente si AdLoad está explotando específicamente la vulnerabilidad HM Surf", afirmó Jonathan Bar Or. Sin embargo, el hecho de que los atacantes estén utilizando técnicas similares refuerza la necesidad de estar protegidos contra ataques que buscan eludir las medidas de seguridad.

En conclusión, la vulnerabilidad HM Surf en macOS resalta la necesidad crítica de implementar actualizaciones de seguridad y fortalecer los controles de privacidad en navegadores y sistemas operativos. Los usuarios de macOS deben asegurarse de instalar los parches más recientes y mantenerse alertas ante posibles amenazas que busquen explotar brechas de seguridad como esta.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#15

El ataque, que utiliza la vulnerabilidad XSS de Roundcube, se basa en un adjunto malicioso en formato Microsoft Word, identificado como "Road map.docx". Este archivo vacío actúa como señuelo, mientras que el código JavaScript embebido en el correo accede al servidor de correo mediante el complemento ManageSieve. De esta manera, los atacantes pueden interceptar los mensajes y engañar a los usuarios con un formulario de inicio de sesión falso, replicando la interfaz de Roundcube.

La información robada, que incluye nombres de usuario y contraseñas, es enviada a un servidor remoto identificado como "libcdn[.]org", alojado en Cloudflare. Este tipo de ataque pone en evidencia la importancia de mantener el software de correo actualizado y protegido frente a las últimas amenazas de ciberseguridad, como las vulnerabilidades XSS.

Aunque los investigadores aún no han identificado al grupo responsable de este ataque, los actores APT28, Winter Vivern y TAG-70 han sido vinculados a vulnerabilidades anteriores de Roundcube, lo que sugiere que estos grupos de hackers pueden estar interesados en aprovechar cualquier brecha de seguridad en software de uso gubernamental.

Prevención y solución

Para mitigar este tipo de amenazas, es crucial que los administradores actualicen sus sistemas Roundcube a las versiones más recientes y refuercen las medidas de seguridad en torno al manejo de correos electrónicos sospechosos. Además, el uso de autenticación multifactor y la concienciación de los usuarios sobre los riesgos del phishing pueden reducir significativamente el éxito de este tipo de ataques.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#16

Arkansas City, una pequeña localidad en Cowley, Kansas, sufrió un ataque cibernético que afectó su planta de tratamiento de agua el fin de semana. Las autoridades locales detectaron el ataque el domingo y, como medida preventiva, cambiaron a operaciones manuales. Seguridad Nacional y el FBI ya investigan el incidente, según medios locales.

El administrador de la ciudad, Randy Frazer, aseguró que el suministro de agua no ha sido comprometido y que sigue siendo completamente seguro. "A pesar del incidente, no ha habido interrupciones en el servicio. La planta está bajo control total y la calidad del agua es segura", dijo Frazer.

Medidas de seguridad y baja presión temporal en Arkansas City

La ciudad implementó medidas de seguridad adicionales para proteger el suministro de agua. Sin embargo, algunos residentes podrían experimentar baja presión de agua temporalmente. Las autoridades trabajan para restablecer el sistema a su normalidad.

Ataques cibernéticos en el sector hídrico de EE.UU.

El incidente en Arkansas City ocurrió poco después de que el WaterISAC emitiera un aviso sobre amenazas cibernéticas vinculadas a actores rusos que apuntan al sector del agua. La Agencia de Protección Ambiental (EPA) también lanzó una guía de ciberseguridad para sistemas de agua, destacando la creciente amenaza de ciberataques.

En años recientes, grupos respaldados por gobiernos extranjeros, como Irán y China, han atacado sistemas de agua en Estados Unidos. Estos ataques incluyen el hackeo de infraestructuras críticas, como la infiltración en sistemas de Pensilvania y Texas.

Historial de ataques a sistemas de agua en EE.UU.

El sector hídrico de EE.UU. ha sido blanco de múltiples ataques de ransomware. Ejemplos incluyen incidentes en Houston, California y Pensilvania, que han expuesto vulnerabilidades en los sistemas de tratamiento de aguas residuales y potables.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#17

Meta ha anunciado que comenzará a entrenar sus sistemas de inteligencia artificial (IA) utilizando contenido público compartido por usuarios adultos en Facebook e Instagram en el Reino Unido en los próximos meses. Esto permitirá que los modelos de IA generativa reflejen la cultura, historia y lengua británicas, beneficiando a empresas e instituciones locales con las últimas innovaciones tecnológicas.

A partir de esta semana, los usuarios mayores de 18 años en Facebook e Instagram recibirán notificaciones en la aplicación explicando el uso de sus datos para entrenar modelos de IA y cómo pueden oponerse fácilmente a su uso mediante un formulario de objeción. Meta ha asegurado que respetará las decisiones de quienes opten por no participar y no utilizará mensajes privados ni información de menores.

Compromiso con la ICO y la legalidad

Meta afirmó que este esfuerzo es parte de su compromiso con la Oficina del Comisionado de Información (ICO) del Reino Unido, siguiendo su orientación para implementar la base legal de Intereses Legítimos. Además, la compañía ha mejorado la accesibilidad de su formulario de objeción tras los comentarios de la ICO, haciéndolo más visible y fácil de usar.

Pausa en la Unión Europea y desafíos en Brasil

Meta ha pausado un esfuerzo similar en la Unión Europea, luego de la solicitud de la Comisión de Protección de Datos (DPC) de Irlanda en junio de 2024. Meta calificó esta decisión como un "retroceso para la innovación en Europa". La organización sin fines de lucro Noyb criticó a Meta por hacer que el proceso sea de exclusión voluntaria, acusándola de trasladar la carga a los usuarios.

En Brasil, Meta suspendió el uso de IA generativa después de que la autoridad de protección de datos del país emitiera una prohibición preliminar debido a su nueva política de privacidad.

ICO monitorea la situación

La ICO ha declarado que continuará monitoreando los planes de Meta para asegurarse de que se mantengan salvaguardas efectivas para el uso de datos personales. Según Stephen Almond, director ejecutivo de riesgo regulatorio de la ICO, las organizaciones deben ser transparentes sobre cómo se utilizan los datos y ofrecer una vía clara para que los usuarios se opongan al procesamiento.

Desafíos legales y éticos en el uso de IA por Meta

El uso de inteligencia artificial para entrenar modelos basados en contenido público sigue siendo un tema controvertido. Las preocupaciones se centran en la privacidad de los usuarios y el manejo de datos personales en plataformas como Facebook e Instagram. Meta ha sido criticada por organizaciones de derechos digitales que exigen mayor transparencia y un enfoque de inclusión voluntaria, donde los usuarios tengan que dar su consentimiento explícito antes de que sus datos sean utilizados.

La creciente presión por parte de organismos reguladores, como la ICO en el Reino Unido y la DPC en la Unión Europea, subraya la importancia de proteger los datos personales en la era de la inteligencia artificial generativa. Mientras tanto, en otros países como Brasil, las autoridades de protección de datos han adoptado medidas más estrictas, como la suspensión del uso de tecnologías de IA por parte de Meta.

Meta y su enfoque hacia el futuro de la IA

A pesar de estos desafíos, Meta continúa enfocándose en el desarrollo y la implementación de tecnologías de IA generativa. La empresa asegura que su objetivo es alinearse con los estándares internacionales de privacidad, al mismo tiempo que avanza en la creación de sistemas más inteligentes y personalizados para sus usuarios. Según la compañía, el uso de datos públicos es clave para entrenar modelos que puedan responder de manera precisa a las necesidades culturales y lingüísticas de diferentes regiones, como el Reino Unido.

La expansión de estas iniciativas a nivel global dependerá en gran medida de cómo Meta gestione las preocupaciones regulatorias y éticas que rodean el uso de datos personales. El equilibrio entre la innovación y la protección de la privacidad será crucial para el éxito de sus modelos de IA en el futuro.

Implicaciones para los usuarios y empresas

Para los usuarios del Reino Unido, este desarrollo implica estar más conscientes de cómo sus datos personales pueden ser utilizados por las grandes plataformas tecnológicas. Las empresas también deberán estar atentas, ya que la inteligencia artificial tiene el potencial de transformar cómo se entregan productos y servicios, pero también puede enfrentar regulaciones estrictas que limiten su uso.

Mientras Meta ajusta su estrategia y sigue mejorando la accesibilidad de sus herramientas de objeción, el debate sobre el uso ético de la IA en la recopilación y procesamiento de datos públicos probablemente continuará evolucionando.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#18


El Departamento del Tesoro de Estados Unidos ha anunciado nuevas sanciones contra cinco ejecutivos y una entidad vinculados al Consorcio Intellexa por su papel en la creación y distribución del spyware comercial Predator. Este software espía ha sido utilizado por gobiernos extranjeros para vigilar a ciudadanos y violar su privacidad.

"Estados Unidos no tolerará la propagación de tecnologías disruptivas que amenacen nuestra seguridad nacional y los derechos civiles", afirmó Bradley T. Smith, subsecretario interino del Tesoro para Terrorismo e Inteligencia Financiera. "Seguiremos tomando medidas contra aquellos que promuevan la proliferación de tecnologías explotadoras".

Ejecutivos y entidad sancionados por el Tesoro:

  • Felix Bitzios: Beneficiario final de una empresa del Consorcio Intellexa, implicado en la provisión de Predator a gobiernos extranjeros.
  • Andrea Nicola Constantino Hermes Gambazzi: Beneficiario final de Thalestris Limited e Intellexa Limited, ambas entidades del consorcio.
  • Merom Harpaz: Alto ejecutivo del Consorcio Intellexa y gerente de Intellexa S.A.
  • Panagiota Karaoli: Directora de entidades vinculadas a Thalestris Limited dentro del consorcio.
  • Artemis Artemiou: Gerente general de Cytrox Holdings y empleada de Intellexa S.A.
  • Aliada Group Inc.: Empresa con sede en las Islas Vírgenes Británicas, facilitadora de transacciones para Intellexa.

Thalestris Limited, parte del Consorcio Intellexa, ha procesado millones en transacciones para otras entidades del consorcio, según el Tesoro. El consorcio ha sido descrito como una "red internacional descentralizada de empresas que desarrollan y comercializan spyware invasivo".

Sanciones previas y resurgimiento de Predator

Estas sanciones llegan seis meses después de que el Tesoro sancionara a Tal Jonathan Dilian, fundador de Intellexa, y a otros por actividades similares. Además, el spyware Predator ha resurgido en países como Angola, la República Democrática del Congo y Arabia Saudita, empleando una nueva infraestructura diseñada para evadir la detección.

"La última evolución de la infraestructura de Predator incluye capas adicionales de anonimato y seguridad en sus servidores y dominios", indicó Recorded Future. Aunque se han implementado cambios para dificultar la atribución geográfica del spyware, su modo de operación sigue siendo en gran medida el mismo.

Apple y NSO Group

Este anuncio también se produce tras la decisión de Apple de solicitar la desestimación de su demanda contra NSO Group, alegando que las divulgaciones judiciales podrían comprometer sus esfuerzos para combatir el spyware, como el conocido Pegasus. La expansión del mercado de spyware y la aparición de nuevos actores dificultan la contención de estas amenazas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#19

Broadcom ha lanzado un parche para una vulnerabilidad crítica en VMware vCenter Server (CVE-2024-38812) que puede ser explotada por atacantes para lograr la ejecución remota de código en servidores sin parches. Esta falla, detectada por investigadores de seguridad de TZL durante el concurso Matrix Cup 2024 en China, se debe a un desbordamiento de pila en la implementación del protocolo DCE/RPC de vCenter.

VMware vCenter Server es el centro de administración de la plataforma vSphere, utilizada por administradores para gestionar infraestructuras virtualizadas. La vulnerabilidad también afecta a productos como VMware vSphere y VMware Cloud Foundation.

Detalles de la vulnerabilidad CVE-2024-38812

Atacantes no autenticados pueden aprovechar esta vulnerabilidad mediante el envío de paquetes de red especialmente diseñados, lo que podría desencadenar la ejecución remota de código (RCE). Estos ataques tienen baja complejidad y no requieren interacción del usuario, lo que aumenta el riesgo para servidores sin parchear.

Los parches para esta vulnerabilidad ya están disponibles a través de los mecanismos de actualización estándar de vCenter Server. Broadcom recomienda a todas las organizaciones instalar las versiones actualizadas para una protección completa. Aunque existen posibles mitigaciones adicionales, como configuraciones de firewall y estrategias de defensa en profundidad, cada organización debe evaluar su idoneidad.

No hay evidencia de explotación activa


Hasta el momento, Broadcom no ha detectado ataques que exploten esta vulnerabilidad (CVE-2023-34048). Sin embargo, los administradores que no puedan aplicar los parches de inmediato deben limitar el acceso a los componentes e interfaces de administración de vSphere, incluidos los sistemas de almacenamiento y red.

Otras vulnerabilidades corregidas

Además, Broadcom ha parcheado una vulnerabilidad de escalada de privilegios (CVE-2024-38813), que podría permitir a actores maliciosos obtener acceso de root en servidores vulnerables. En junio de 2024, también se corrigió otra vulnerabilidad de ejecución remota de código (CVE-2024-37079) que podía ser explotada mediante paquetes especialmente diseñados.

Historial de vulnerabilidades en vCenter Server


En enero de 2024, Broadcom reveló que un grupo de hackers chinos, identificado como UNC3886 por Mandiant, había estado explotando una vulnerabilidad crítica de vCenter Server (CVE-2023-34048) desde 2021. Este grupo utilizó la falla para comprometer servidores vCenter y desplegar puertas traseras como VirtualPita y VirtualPie en hosts ESXi, utilizando VIBs (vSphere Installation Bundles) maliciosos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#20

Temu ha desmentido categóricamente haber sido hackeado o sufrir una violación de datos, después de que un presunto ciberdelincuente afirmara estar vendiendo una base de datos con información de 87 millones de clientes en el foro BreachForums. Este actor de amenazas, bajo el alias "smokinthashit", ofreció ayer los datos robados, acompañados de una muestra como prueba.

La empresa de comercio electrónico, conocida por su crecimiento acelerado y sus productos de bajo costo en categorías como ropa, hogar, electrónica y accesorios, negó cualquier vínculo con los datos expuestos. Según Temu, no se encontraron coincidencias al cruzar las muestras con su base de datos.

Presunto hacker afirma haber vulnerado a Temu

Aunque Temu es una plataforma en crecimiento mundial, con presencia en Europa y Estados Unidos, no ha estado involucrada en ningún incidente importante de violación de datos. Sin embargo, el supuesto hacker afirmó haber robado información sensible como nombres de usuario, direcciones IP, nombres completos, fechas de nacimiento, sexo, direcciones de envío, números de teléfono y contraseñas con hash.


Temu responde: "No hemos sido vulnerados"


En un comunicado a BleepingComputer, Temu negó rotundamente que los datos publicados fueran suyos. La empresa aseguró que tomará acciones legales contra quienes difundan información falsa. Temu también destacó que sigue estrictos estándares de ciberseguridad, incluyendo la certificación MASA, el cumplimiento del PCI DSS y su colaboración con HackerOne para recompensas por vulnerabilidades.

Recomendaciones para usuarios de Temu

Si eres usuario de Temu, se recomienda activar la autenticación de dos factores, cambiar tu contraseña y estar alerta ante posibles intentos de phishing. Aunque las afirmaciones del hacker no han sido comprobadas, las noticias sobre violaciones de datos pueden afectar la reputación de una empresa y generar desconfianza entre los clientes.

Esta versión incluye palabras clave relevantes para SEO como "Temu", "hackeo", "violación de datos", "ciberseguridad" y otras relacionadas, lo que ayudará a mejorar el posicionamiento en buscadores.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#21

CISA ha ordenado a las agencias federales de EE.UU. proteger sus sistemas contra una vulnerabilidad de día cero de MSHTML en Windows (CVE-2024-43461), explotada por el grupo de hackers Void Banshee APT. La falla, revelada en el Patch Tuesday de septiembre de 2024, fue inicialmente catalogada por Microsoft como no explotada, pero luego confirmó su uso en ataques previos a su corrección.

Microsoft detalló que CVE-2024-43461 fue explotada en conjunto con CVE-2024-38112, otro error de suplantación de MSHTML, usado para ejecutar código malicioso y comprometer sistemas vulnerables. La cadena de exploits ha sido aprovechada por Void Banshee para instalar malware de robo de información, específicamente el malware Atlántida, que roba contraseñas, cookies de autenticación y criptomonedas.

Trend Micro y Check Point Research señalaron que los hackers disfrazaron archivos maliciosos HTA como PDFs utilizando caracteres en blanco braille codificados, lo que permitía engañar a los usuarios para ejecutar el malware.

La CISA ha incluido esta vulnerabilidad en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y ha dado a las agencias federales un plazo de tres semanas, hasta el 7 de octubre, para parchear los sistemas afectados, como exige la Directiva Operativa Vinculante BOD 22-01. La CISA también recomendó a las organizaciones privadas priorizar la mitigación de esta falla para protegerse de los ataques en curso.

En septiembre de 2024, Microsoft también parcheó otros tres días cero, incluido CVE-2024-38217, utilizado en ataques de archivos LNK para evadir medidas de seguridad como Mark of the Web (MotW) y el control inteligente de aplicaciones desde al menos 2018.

La CISA ha instado a las agencias federales a actuar rápidamente, enfatizando que las vulnerabilidades como CVE-2024-43461 son objetivos comunes para actores cibernéticos maliciosos y representan riesgos significativos para la seguridad nacional. La pronta aplicación de parches es crucial para proteger los sistemas contra ataques que podrían comprometer datos sensibles y operaciones críticas.

Las agencias federales deben asegurarse de que todos los sistemas estén actualizados con las últimas actualizaciones de seguridad de Microsoft para prevenir la explotación de esta vulnerabilidad. Microsoft ha proporcionado detalles extensivos sobre las correcciones necesarias y ha instado a los usuarios a aplicar las actualizaciones de seguridad de julio y septiembre de 2024 para una protección completa.

Además, CISA ha recomendado a las organizaciones privadas y a otros sectores críticos que prioricen la mitigación de CVE-2024-43461 y otras vulnerabilidades críticas para evitar el impacto de ataques en curso. La coordinación entre Microsoft, CISA, y otras entidades de seguridad cibernética es vital para defenderse contra la creciente amenaza de malware y exploits.

Trend Micro Zero Day Initiative (ZDI), el investigador que descubrió la vulnerabilidad, destacó la importancia de actualizar los sistemas y mantenerse informado sobre las nuevas amenazas. La continua vigilancia y actualización son esenciales para protegerse contra técnicas de ataque sofisticadas y en constante evolución.

Microsoft sigue trabajando en la identificación y corrección de vulnerabilidades, como se evidencia en el reciente parche de tres días cero, demostrando su compromiso con la seguridad y la protección de los usuarios. Las organizaciones deben estar atentas a las actualizaciones de seguridad y aplicar las mejores prácticas para fortalecer sus defensas contra el software espía y otros tipos de malware.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#22

Microsoft ha lanzado Office LTSC 2024 (Long Term Servicing Channel), una versión perpetua con licencia por volumen para Windows y macOS, disponible para clientes comerciales y gubernamentales. Esta versión está diseñada para organizaciones con dispositivos sin conexión a Internet o que requieren soporte a largo plazo, como equipos médicos.

Aunque Office LTSC 2024 tiene menos características que Microsoft 365, incluye mejoras significativas en rendimiento, seguridad y accesibilidad. Entre las novedades destacan mejores capacidades de creación de reuniones, una búsqueda optimizada en Outlook y nuevas funciones en Excel, como gráficos dinámicos y matrices.

Además, Microsoft Teams se ofrece como descarga independiente, y Publisher será retirado después de octubre de 2026. Office LTSC 2024 se mantendrá compatible durante cinco años bajo la Política de Ciclo de Vida Fijo. Los usuarios podrán instalar Word, Excel, PowerPoint, Outlook, OneDrive, OneNote y Microsoft Access (solo en Windows) en un dispositivo.

Office LTSC 2024 solo recibirá actualizaciones de seguridad y no requiere conexión a Internet para la activación o validación de licencias, lo que lo convierte en una opción ideal para entornos sin conexión. Esta versión ya está disponible para clientes con licencias por volumen, junto con las versiones locales de Project y Visio, con un lanzamiento general previsto para el 1 de octubre de 2024. Microsoft también ha prometido más detalles sobre Office 2024 para consumidores en las próximas semanas.

Office LTSC 2024 es una solución ideal para organizaciones que no pueden migrar a la nube o que dependen de dispositivos sin acceso regular a Internet. A diferencia de Microsoft 365, que ofrece nuevas funcionalidades regularmente, Office LTSC proporciona un conjunto de herramientas de productividad con características fijas en el tiempo, ideal para entornos controlados o altamente regulados.

Con esta versión, Microsoft se enfoca en ofrecer una opción a largo plazo para empresas que requieren estabilidad y soporte continuado sin la necesidad de suscripciones recurrentes. La inclusión de herramientas esenciales como Word, Excel, PowerPoint y Outlook, junto con la compatibilidad con Microsoft Access en Windows, asegura que las organizaciones tengan acceso a aplicaciones críticas de productividad, incluso sin actualizaciones de características.

El lanzamiento de Office LTSC 2024 también subraya el compromiso de Microsoft de ofrecer soporte a organizaciones que necesitan gestionar entornos híbridos o desconectados. Además, las herramientas de gestión compartidas con Microsoft 365 facilitan a los administradores la integración de esta versión en infraestructuras más amplias.

Al no requerir conexión a Internet para la activación y validación de licencias, Office LTSC 2024 es una opción robusta para empresas con altos requerimientos de seguridad o restricciones de conectividad. Las actualizaciones de seguridad continuas garantizan que la plataforma permanezca protegida contra amenazas sin comprometer la estabilidad del sistema.

El enfoque de Microsoft con Office LTSC 2024 es claro: proporcionar una versión confiable y sólida para aquellos clientes que necesitan longevidad y previsibilidad en sus herramientas de productividad sin depender de un modelo basado en suscripciones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#23

Apple ha solicitado desestimar voluntariamente su demanda contra el proveedor de spyware NSO Group, citando riesgos que podrían exponer información crítica de inteligencia de amenazas. The Washington Post informó el desarrollo, destacando que los esfuerzos de Apple, junto con gobiernos y la industria, han debilitado a NSO. Sin embargo, han surgido nuevos actores en el sector del spyware comercial.

Aunque Apple cree en los méritos de su demanda, continuar el caso podría poner en riesgo información de seguridad vital. La demanda, presentada en noviembre de 2021, buscaba responsabilizar a NSO Group por el uso de Pegasus contra usuarios de iPhone. Apple describió a NSO como mercenarios del siglo XXI, responsables de una maquinaria de vigilancia cibernética sofisticada y sujeta a abusos.

En enero, un juez federal rechazó la moción de NSO para desestimar el caso, y Apple señaló tres factores clave para su desestimación: el riesgo de exponer inteligencia de amenazas, la dinámica cambiante del spyware comercial y la proliferación de empresas en el sector.

Un informe de The Guardian reveló que en 2020 las autoridades israelíes incautaron documentos de NSO como parte de la lucha legal de la empresa con WhatsApp. Las autoridades argumentaron que divulgar información sobre Pegasus causaría graves daños diplomáticos y de seguridad a Israel.

Además, el Atlantic Council señaló que compañías como Intellexa, detrás del spyware Predator, han cambiado su infraestructura para evadir la detección, permitiendo su uso por regímenes autoritarios en países como Angola y Arabia Saudita.

La evolución de las compañías de spyware, como Intellexa, refleja un esfuerzo continuo por evadir las sanciones y la detección global. Recorded Future informó que los operadores de Predator han mejorado la infraestructura del software espía, añadiendo capas de complejidad para ocultar sus operaciones. Esta nueva infraestructura incluye un sistema de entrega de varios niveles que anonimiza a los clientes, dificultando la identificación de los países que usan Predator.

Apple, al retirarse de la demanda contra NSO Group, se une a un creciente esfuerzo por mitigar el impacto del spyware comercial, que ha sido utilizado para espiar a defensores de derechos humanos, periodistas y líderes de la oposición. La compañía israelí NSO Group ha estado bajo escrutinio desde que su herramienta Pegasus fue vinculada a múltiples casos de espionaje, lo que ha llevado a gobiernos y empresas tecnológicas a tomar medidas.

La creciente preocupación por el espionaje cibernético y el abuso de herramientas como Pegasus ha impulsado a actores clave en la industria, como Apple y Meta (dueña de WhatsApp), a emprender acciones legales y de seguridad para proteger a los usuarios. Sin embargo, como destaca Apple, la proliferación de nuevas empresas de spyware y los cambios en la industria hacen cada vez más difícil detener por completo este tipo de amenazas.

Al abandonar la demanda, Apple se enfoca en proteger su información de inteligencia de amenazas y en seguir liderando el esfuerzo contra el uso indebido del software espía comercial. Mientras tanto, los gobiernos y otras compañías tecnológicas continúan buscando soluciones para abordar este creciente problema de seguridad global.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#24

Una vulnerabilidad crítica en Google Cloud Platform (GCP) Composer, ya parcheada, pudo haber sido explotada para la ejecución remota de código mediante un ataque de confusión de dependencias, una técnica de la cadena de suministro. Conocida como CloudImposer, esta falla fue identificada por Tenable Research.

Según Liv Matan, investigadora de seguridad, la falla permitía a un atacante secuestrar una dependencia de software preinstalada por Google en las herramientas de Google Cloud Composer. El ataque, denominado confusión de dependencias, fue documentado por primera vez en 2021 por Alex Birsan. Consiste en engañar a un administrador de paquetes para que descargue un paquete malicioso de un repositorio público en lugar del repositorio interno legítimo.

El problema descubierto por Tenable implicaba subir un paquete malicioso a Python Package Index (PyPI), que podría instalarse en instancias de Composer con permisos elevados. Aunque Composer ancla los paquetes a versiones específicas, Tenable demostró que el argumento "--extra-index-url" en "pip install" podría priorizar el paquete público, facilitando el ataque.

Tras la divulgación en enero de 2024, Google corrigió la vulnerabilidad en mayo de 2024, asegurando que los paquetes solo se instalen desde repositorios privados y añadiendo una verificación de integridad del paquete.

PyPA también ha advertido sobre los riesgos del argumento "--extra-index-url" desde 2018, recomendando evitar el uso de PyPI en ciertas circunstancias. Como parte de su solución, Google recomienda ahora usar el argumento "--index-url" y emplear Artifact Registry para gestionar repositorios múltiples, reduciendo así el riesgo de confusión de dependencias.

El ataque de confusión de dependencias es particularmente peligroso en entornos como GCP, donde el uso de dependencias preinstaladas es común. Publicar un paquete malicioso con el mismo nombre y una versión más alta en un repositorio público engaña al administrador de paquetes para descargar el código malicioso. Esto no solo permite la ejecución remota de código, sino también la filtración de credenciales y movimientos laterales dentro del entorno de la víctima.

El parche aplicado por Google en Google Cloud Composer refuerza la seguridad al asegurarse de que los paquetes sean descargados exclusivamente desde repositorios privados y que se verifiquen sus sumas de comprobación para garantizar que no han sido alterados. Además, Google recomienda a los desarrolladores de GCP seguir las mejores prácticas de seguridad, como usar el argumento "--index-url" para evitar la confusión de dependencias y emplear un repositorio virtual en Artifact Registry para gestionar múltiples fuentes de dependencias.

La Autoridad de Empaquetado de Python (PyPA), consciente de los riesgos que plantea el argumento "--extra-index-url", ha instado a los desarrolladores desde 2018 a ser cautelosos al gestionar dependencias internas y evitar su uso en combinación con PyPI en escenarios donde los paquetes internos pueden estar en riesgo.

Google Cloud Composer sigue siendo una herramienta crítica para la orquestación de flujos de trabajo en la nube, y la actualización de seguridad que mitiga esta vulnerabilidad refuerza aún más su fiabilidad en entornos de producción. Las empresas que usan GCP deben revisar sus políticas de seguridad para asegurarse de que están utilizando los repositorios y configuraciones recomendadas por Google para prevenir futuros ataques de este tipo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#25

Recientemente se ha revelado una vulnerabilidad en Microsoft 365 Copilot que podría haber permitido el robo de información confidencial mediante una técnica conocida como "contrabando ASCII". Esta técnica utiliza caracteres Unicode que parecen ASCII, pero que no son visibles en la interfaz de usuario, lo que permite a los atacantes ocultar datos en hipervínculos.

El investigador de seguridad Johann Rehberger explicó: "El contrabando ASCII permite que el modelo de lenguaje incruste datos invisibles dentro de enlaces clicables, preparando la información para su exfiltración".


El ataque involucra varios pasos encadenados, incluyendo:

  • Inyección de avisos a través de contenido malicioso en documentos compartidos.
  • Uso de una carga útil para que Copilot busque correos y documentos adicionales.
  • Aprovechamiento del contrabando ASCII para exfiltrar datos a un servidor controlado por el atacante.

Esta vulnerabilidad podría haber permitido la transmisión de datos sensibles, como códigos de autenticación multifactor (MFA), a servidores externos. Microsoft solucionó el problema tras su divulgación en enero de 2024.

Este incidente subraya los riesgos asociados con herramientas de inteligencia artificial como Microsoft Copilot. Pruebas de concepto han demostrado cómo actores maliciosos pueden manipular respuestas, exfiltrar datos y evadir protecciones de seguridad, utilizando técnicas como el envenenamiento de generación aumentada de recuperación (RAG) e inyección indirecta de avisos. Estas técnicas podrían permitir la ejecución remota de código y convertir a Copilot en una herramienta de spear-phishing.

Además, Microsoft ha advertido sobre los riesgos de bots de Copilot expuestos públicamente sin protecciones adecuadas, lo que podría facilitar la extracción de información confidencial si los atacantes conocen el nombre o la URL del Copilot.

Las empresas deben evaluar su exposición al riesgo y habilitar la Prevención de Pérdida de Datos (DLP) y otros controles de seguridad para protegerse contra posibles fugas de información a través de Copilot y otros agentes virtuales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#26

Los usuarios de aplicaciones de mensajería chinas como DingTalk y WeChat están siendo atacados por una versión de la puerta trasera HZ RAT diseñada para macOS. Este malware, que replica las funcionalidades de su contraparte en Windows, se distribuye a través de archivos zip autoextraíbles o documentos RTF maliciosos creados con el armador RTF de Royal Road.

HZ RAT se conecta a un servidor de comando y control (C2) para ejecutar comandos y scripts, cargar y descargar archivos, y recolectar información del sistema. Aunque sus capacidades son limitadas, el malware parece estar enfocado en la recolección de credenciales y el reconocimiento del sistema.

Detectado por primera vez en 2020, HZ RAT sigue activo en 2023, disfrazándose de instaladores legítimos como OpenVPN Connect. Una vez ejecutado, establece contacto con un servidor C2 para ejecutar comandos que incluyen la obtención de información de DingTalk y WeChat, como WeChatID, correo electrónico, y detalles de la organización del usuario.

La mayoría de los servidores C2 están ubicados en China, aunque algunos están en EE. UU. y Países Bajos. El malware también ha sido vinculado a un dominio del desarrollador de videojuegos chino miHoYo, conocido por Genshin Impact, aunque no está claro si el servidor fue comprometido.

Este ataque demuestra que los actores de amenazas detrás de HZ RAT siguen activos y utilizando técnicas de infiltración en sistemas macOS, enfocándose principalmente en la recopilación de datos sensibles que podrían ser usados para movimientos laterales en redes comprometidas.

Además de atacar a los usuarios de aplicaciones de mensajería chinas, HZ RAT también muestra una evolución en las tácticas de los atacantes. La persistencia del malware en sistemas macOS y su capacidad para imitar software legítimo indica que los atacantes están sofisticando sus métodos para evitar la detección. La distribución a través de instaladores como OpenVPN Connect sugiere un enfoque dirigido, posiblemente aprovechando la confianza que los usuarios tienen en aplicaciones reconocidas.

La explotación de una vulnerabilidad antigua en Microsoft Office (CVE-2017-11882) para distribuir la versión de Windows de HZ RAT refuerza la importancia de mantener los sistemas actualizados. Los atacantes aprovechan estas vulnerabilidades conocidas para infiltrarse en redes corporativas y personales, subrayando la necesidad de medidas de seguridad proactivas.

El hecho de que los servidores C2 estén mayoritariamente en China, con algunos en EE. UU. y Países Bajos, sugiere una operación global con una infraestructura distribuida para dificultar la rastreabilidad y mejorar la resiliencia del ataque. Esta distribución geográfica también puede indicar la intención de los atacantes de acceder a víctimas en diversas regiones, no solo en China.

El vínculo del malware con un dominio perteneciente al desarrollador de videojuegos miHoYo plantea preocupaciones adicionales. Aunque no está confirmado si el servidor de miHoYo fue comprometido, el uso de un dominio tan conocido podría ser una estrategia para aumentar la credibilidad del archivo malicioso, haciendo que los usuarios sean más propensos a descargarlo e instalarlo. Esto destaca la importancia de verificar siempre la autenticidad de los archivos, incluso si parecen provenir de fuentes confiables.

A pesar de la simplicidad de HZ RAT en términos de capacidades, su eficacia radica en su enfoque en la recolección de información crítica, como credenciales y detalles organizacionales. Esta información puede ser utilizada en fases posteriores del ataque, como movimientos laterales dentro de una red comprometida, exfiltración de datos sensibles o incluso espionaje corporativo.

El hecho de que HZ RAT siga activo después de varios años sugiere que los atacantes han tenido éxito suficiente para justificar la continuidad de la campaña. Las organizaciones y usuarios individuales deben estar alerta, especialmente aquellos que utilizan aplicaciones de mensajería chinas o tienen vínculos con China, ya que podrían ser objetivos de este tipo de amenazas persistentes.

En fin, HZ RAT es un ejemplo de cómo las amenazas cibernéticas evolucionan y se adaptan, buscando nuevas formas de comprometer sistemas y recolectar datos valiosos. Mantener sistemas actualizados, ser cauteloso con los archivos descargados y estar consciente de las tácticas de los atacantes son medidas clave para protegerse contra este tipo de malware.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#27

Microsoft ha lanzado la actualización acumulativa opcional de vista previa KB5041587 para Windows 11 (versiones 23H2 y 22H2). Esta actualización introduce mejoras significativas, incluyendo la capacidad de compartir contenido fácilmente entre Windows y dispositivos Android. Para utilizar esta función, los usuarios deben emparejar sus dispositivos Android con su PC a través de las aplicaciones Link to Windows y Phone Link.

La actualización también aborda varios problemas del Explorador de archivos, como la corrección de errores que impedían iniciar la búsqueda con Ctrl + F y causaban la pérdida de enfoque al usar Shift + Tab. Otros errores solucionados incluyen congelamientos del sistema al acceder a enlaces simbólicos y fallos al reanudar la hibernación en laptops.

Los usuarios pueden instalar la actualización KB5041587 desde Configuración > Windows Update, o descargarla manualmente desde el catálogo de Microsoft Update.

Aspectos Destacados de la Actualización KB5041587:

  • Corrección de IME: Soluciona pérdida de memoria al cerrar cuadros combinados.
  • Mejoras en Bluetooth: Resuelve problemas de desconexión de dispositivos externos.
  • Corrección UWF y SCCM: Soluciona errores que impedían reinicios esperados de dispositivos.
  • Windows Hello para Empresas: Arregla problemas con el restablecimiento de PIN.

Además, Microsoft recordó que las ediciones Home y Pro de Windows 11 22H2 llegarán al final de su servicio el 8 de octubre de 2024. A partir de esa fecha, solo recibirán actualizaciones de seguridad. Se recomienda actualizar a la última versión de Windows para continuar recibiendo soporte.

Windows 11 23H2, lanzado oficialmente el 31 de octubre de 2023, está disponible para todos los usuarios en sistemas elegibles y es la última versión que recibirá soporte extendido.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#28

Notion, la popular herramienta de productividad, ha anunciado su retirada del mercado ruso, lo que conllevará la cancelación de todas las cuentas y espacios de trabajo vinculados a usuarios en Rusia. Este cambio se hará efectivo el 9 de septiembre de 2024, como resultado de las restricciones impuestas por el gobierno de Estados Unidos, que prohíben el acceso a ciertos productos y servicios de software en el país.

En un comunicado publicado en su sitio web, Notion explicó que las nuevas restricciones hacen prácticamente imposible seguir operando en Rusia. "El gobierno de Estados Unidos ha introducido restricciones que prohíben el acceso a ciertos productos y servicios de software a cualquier persona en Rusia", se lee en el anuncio oficial.

Notion, que se estima es utilizado por más de 30 millones de personas a nivel mundial, ya ha comenzado a notificar a los usuarios afectados. Se les ha dado hasta el 8 de septiembre de 2024 para extraer sus datos antes de que se eliminen sus cuentas y espacios de trabajo. Tras esta fecha, no habrá posibilidad de recuperar la información almacenada en la plataforma.

Los usuarios pueden encontrar instrucciones detalladas sobre cómo exportar su contenido desde Notion en su página de ayuda oficial, con opciones para exportar en formatos PDF, HTML y CSV. Es importante destacar que los administradores de espacios de trabajo Enterprise pueden haber deshabilitado las opciones de exportación, limitando así la capacidad de los usuarios para extraer datos.

En caso de archivos grandes, Notion podría enviar un enlace de descarga por correo electrónico en lugar de permitir la descarga directa desde la plataforma.

Es relevante mencionar que los propietarios de espacios de trabajo que no estén ubicados en Rusia, pero que colaboren con usuarios rusos, no verán eliminados sus espacios de trabajo. Sin embargo, los colaboradores ubicados en Rusia perderán el acceso a la plataforma a partir del 9 de septiembre de 2024.

Notion cancelará automáticamente las suscripciones de los usuarios afectados, evitando así cualquier cobro futuro. Además, se han enviado avisos por correo electrónico informando sobre el próximo cierre de las cuentas, notificando a los usuarios con dos semanas de antelación.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#29

La dueña de un Airbnb en Estados Unidos, Ashley Class, ha tenido que añadir nuevas normas a su alojamiento tras una experiencia inesperada. Después de recibir una factura de electricidad de $1,500, descubrió que los inquilinos que se alojaron durante tres semanas estaban realizando minería de criptomonedas.

Impacto de la Minería de Criptomonedas

La minería de criptomonedas es una actividad que consume mucha electricidad y ha sido objeto de polémica debido a su impacto medioambiental. Un estudio revela que solo 137 centros de minado consumen el 2.3% de toda la electricidad producida en Estados Unidos.

La Descubierta de Ashley

Ashley compartió su experiencia en TikTok, explicando que, al revisar la cámara exterior, vio a los inquilinos saliendo con al menos diez ordenadores y un puerto de carga para vehículos eléctricos. A pesar de esto, los huéspedes dejaron la casa limpia y dieron una valoración de cinco estrellas.

Resolución del Problema

Ashley reclamó a Airbnb el pago de la factura de electricidad, y la plataforma le dio la razón. Los inquilinos aceptaron pagar, mencionando que habían ganado más de $100,000 con la minería, por lo que la factura no les supuso un problema.

Reglas Nuevas para el Alojamiento

Este incidente llevó a Ashley a añadir dos nuevas normas a su Airbnb: prohibir la minería de criptomonedas y la instalación de bases de carga para coches eléctricos. Estas reglas pueden servir de inspiración para otros arrendadores.

Airbnb y Usos Inusuales

Los alojamientos de Airbnb han sido noticia por usos inusuales. Recientemente, se habló del fenómeno del "Airbnb hopping", donde hackers utilizan Airbnb como refugio para escapar de criminales.

En fin, el gran gasto en electricidad no solo proviene de los ordenadores utilizados para la minería, sino también del uso intensivo del aire acondicionado para enfriar los equipos. La instalación de un puerto de carga para coches eléctricos también sorprendió a Ashley, aunque este no incrementa significativamente la factura eléctrica.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#30

La nostalgia por los años noventa está en su punto más alto, y Nokia ha aprovechado este renacer con un lanzamiento que sorprenderá a los fanáticos de la tecnología. Nokia ha vuelto a la carga con el Streaming Box 8010, un dispositivo que redefine el concepto de Android TV y promete hacer que olvides el Chromecast. Con este lanzamiento, Nokia da un paso adelante, superando su exitoso Streaming Box 8000 y ofreciendo una experiencia superior.

El nuevo Nokia Streaming Box 8010

El Nokia Streaming Box 8010 mantiene el diseño elegante y minimalista de su predecesor, pero viene cargado de mejoras internas que lo posicionan como un Android TV premium. Su mando a distancia ha evolucionado, siendo más grande y con más botones, incluyendo infrarrojos para controlar directamente el televisor o dispositivos conectados, como receptores AV. Esta función, conocida como Smart Control, lo convierte en uno de los mandos más completos del mercado para Android TV.

Diseño y Conectividad Mejorada

El Nokia Streaming Box 8010 viene en un paquete bien equipado, con todo lo necesario para empezar: adaptador de corriente, cable HDMI, pilas AAA y guía de inicio rápido. El diseño del dispositivo es discreto y moderno, con un acabado en negro mate y un LED blanco de estado. En cuanto a conectividad, ofrece dos puertos USB-A (uno de ellos USB 3.0), Ethernet tipo Gigabit, HDMI 2.1, salida AV mini Jack, salida óptica SPDIF y un puerto USB-C para cargar dispositivos.

Rendimiento y Experiencia de Usuario

Este Android TV Box ofrece calidad de imagen 4K a 60 fps, soporte para AV1, Dolby Vision y Dolby Atmos. Equipado con el chip Amlogic S905X4, 4 GB de RAM y 32 GB de almacenamiento interno, el Streaming Box 8010 garantiza un rendimiento excepcional, ideal tanto para contenido multimedia como para juegos exigentes.

Además, su conectividad avanzada incluye Bluetooth 5.0 y WiFi 6, asegurando una experiencia rápida y estable. El sistema operativo Android TV 11 soporta actualizaciones OTA y es compatible con Google, Netflix y Chromecast, permitiéndote disfrutar de contenido en 4K HDR o Dolby Vision con sonido Dolby Atmos.

Con el Nokia Streaming Box 8010, la marca finlandesa no solo revive la nostalgia, sino que también establece un nuevo estándar en el mercado de Android TV Box.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#31

La versión Incus 6.4 ya está disponible, consolidándose como la última actualización de este potente gestor de contenedores y máquinas virtuales. Incus surgió tras la bifurcación de LXD, luego de que la propiedad de este último fuera transferida de Linux Containers a Canonical. Aunque inicialmente parecía una transición amistosa, detrás de escena se gestaba una mala relación que culminó con la renuncia de Stéphane Graber, un veterano de Canonical, quien se unió a Linux Containers para crear Incus y mantener el software como un auténtico proyecto comunitario.

Entre las principales novedades de Incus 6.4, Stéphane Graber destaca la implementación de una tabla de configuración estándar para los grupos de clústeres, similar a otros objetos del gestor. Ahora, es posible definir la línea base de la CPU de las máquinas virtuales por grupo de clústeres, permitiendo la creación de clústeres según el modelo o generación de CPU. Esto facilita que Incus calcule el conjunto común de flags de CPU para los servidores utilizados.

Otra mejora significativa es la capacidad de utilizar una ruta dentro de un volumen personalizado existente como origen para una entrada de disco. Además, ahora se pueden aplicar límites de recursos a los proyectos de Incus, lo que es ideal cuando se otorga acceso a terceros. Anteriormente, solo se podía limitar el uso total de disco en un proyecto, pero ahora los límites pueden aplicarse a grupos de almacenamiento específicos.

En cuanto a las redes virtuales abiertas (OVN), Incus 6.4 introduce un nuevo valor especial de none para la propiedad network, lo que permite crear redes OVN completamente aisladas, sin conexión a un enlace ascendente. Esta funcionalidad es ideal para entornos que requieren un alto nivel de aislamiento.

Otra adición importante es la nueva clave de configuración instances.lxcfs.per_instance, que permite iniciar una instancia dedicada de LXCFS para cada contenedor. Aunque esto aumenta el uso de recursos, también reduce el riesgo de que un contenedor inunde toda la instancia de LXCFS y limita el impacto de fallos a un único contenedor, en lugar de afectar a todo el sistema.

Finalmente, para facilitar la ejecución de contenedores OCI, ahora es posible especificar variables de entorno mediante un archivo que se lee al momento de la creación, convirtiéndolas en opciones de configuración de Incus.

Todos los detalles sobre Incus 6.4 están disponibles en el anuncio oficial y el registro de cambios. El gestor puede descargarse en formato tarball desde la sección de descargas de Linux Containers.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#32

El crecimiento de Linux como plataforma de juegos sigue avanzando, pero Valve sigue siendo la única gran compañía que ofrece soporte serio para este sistema operativo. Para otras plataformas, los usuarios de Linux dependen de herramientas de terceros desarrolladas por la comunidad. En esta entrada, nos enfocamos en Heroic Games Launcher 2.15, la última versión de este lanzador que ofrece soporte para Epic Games Store, Good Old Games (GOG) y Amazon Prime Gaming.

Heroic Games Launcher 2.15 se lanzó con varias mejoras, incluyendo soporte para juegos de Electronic Arts (EA) desde la Epic Games Store. Aunque el soporte de EA ha sido criticado incluso en Windows, en Linux el problema se agrava debido a la falta de soporte oficial. Sin embargo, esta actualización añade funcionalidades que mejoran la experiencia de los usuarios.

En cuanto a Linux, se han introducido características experimentales como el soporte para umu-launcher y comet. Umu-launcher es un lanzador de juegos de Windows para Linux inspirado en Steam Runtime Tools, modificado para funcionar fuera de Steam. Por otro lado, Comet es una implementación de código abierto del servicio de comunicación GOG Galaxy, que habilita logros y soporte multijugador.

Otra novedad significativa es la posibilidad de seleccionar Game Porting Toolkit desde el Gestor de Wine. Esta herramienta, impulsada por Apple y basada en CrossOver, facilita la creación de ports para macOS e iOS, y también sirve como capa de compatibilidad similar a Proton, especialmente útil en procesadores Apple Silicon.

Además, Heroic Games Launcher 2.15 incluye soporte para DRM heredado en Amazon Games, lo que permite jugar títulos como Devil May Cry 1. También se ha mejorado la integración de Discord en la aplicación. Tras el lanzamiento, se corrigieron errores relacionados con cargas laterales en Proton y la funcionalidad de square_icon en GamesDBDataInner.

Todos los detalles de Heroic Games Launcher 2.15 están disponibles en el anuncio oficial en GitHub. La aplicación es compatible con x86_64 y ARM en macOS y Windows, y en Linux ofrece compilaciones oficiales en formatos RPM, Deb, Pacman, tar.xz, AppImage y Flatpak. Aunque no es un producto oficial, Heroic Games Launcher es software libre bajo la licencia GPLv3, lo que garantiza su transparencia y seguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#33

Google ha anunciado que las funciones de edición con inteligencia artificial (IA) de Google Fotos serán gratuitas para todos los usuarios, eliminando la necesidad de una suscripción. Hasta ahora, estas herramientas solo estaban disponibles mediante pago, pero esta semana todo cambia, permitiendo a todos los usuarios acceder a ellas sin coste adicional.

Entre las funciones destacadas se encuentran Magic Editor, Magic Eraser, Photo Unblur y Portrait Light. Estas herramientas se han convertido en imprescindibles para muchos, y a partir de ahora estarán disponibles sin necesidad de pagar una suscripción. Sin embargo, algunos dispositivos no podrán utilizar estas funciones debido a los requisitos técnicos, aunque estos no son muy exigentes.

Edición de Fotos con IA Ahora Gratis en Tu Móvil

Google ha probado estas herramientas en una amplia variedad de dispositivos Android e iOS para asegurar su buen funcionamiento. Los requisitos mínimos para utilizarlas son 3 GB de RAM y tener Android 8 o superior, o iOS 15 o superior. La mayoría de los teléfonos cumplen con estas especificaciones, por lo que muchos usuarios podrán disfrutar de las herramientas de edición con IA de Google de forma gratuita en los próximos días.

  • Magic Editor permite hacer zoom en áreas específicas de una foto para editar objetos con bordes menos definidos.
  • Magic Eraser te ayuda a eliminar objetos o personas no deseadas de tus fotos.

Otras herramientas permiten realizar ediciones prácticas con controles deslizantes de intensidad.
Ahora, podrás usar todas estas funciones desde tu móvil solo con Google Fotos, mejorando tus fotografías y vídeos almacenados en la app. No tendrás que preocuparte por objetos o personas no deseadas en tus fotos, ya que podrás borrarlas fácilmente con estas herramientas avanzadas.

Requisitos Sencillos y Sin Suscripción

Las herramientas de edición con IA de Google Fotos estarán disponibles tanto para usuarios de Android como de iPhone. Aunque la suscripción a Google One sigue siendo útil para obtener más espacio de almacenamiento y otras funciones, ya no es necesaria para acceder a las herramientas de edición más completas de Google.

Para disfrutar de estas nuevas funciones, asegúrate de tener la última versión de Google Fotos instalada en tu teléfono. La implementación comenzará esta semana, por lo que algunos usuarios podrían recibir las nuevas funciones inmediatamente, mientras que otros tendrán que esperar unos días.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#34

La idea de esta startup estadounidense parece sacada de un episodio de Black Mirror, lo que ha provocado reacciones inmediatas en X y YouTube. Aunque pueda parecer una broma, es real: la empresa ofrece un amigo en forma de colgante inteligente por 93 euros, capaz de escuchar lo que ocurre a su alrededor y comunicarse contigo a través de chat.

El fundador del proyecto, Avi Schiffmann, compartió el 30 de julio el tráiler de este peculiar producto en X. En el video, se muestra a personas en diversas situaciones, ya sea solas o acompañadas, usando un colgante que les ofrece compañía mediante mensajes en su móvil. Este dispositivo inteligente detecta lo que la persona está haciendo, como caminar por la naturaleza o jugar videojuegos, y hace comentarios como si fuera un amigo presente.

El funcionamiento es sencillo: el usuario presiona un botón en el colgante para activar al "amigo" virtual, quien responde a través del móvil. En el tráiler, se muestran ejemplos de la IA preguntando sobre la comida, disfrutando de la naturaleza o comentando sobre una serie o videojuego.

El vídeo en X ha alcanzado más de 10 millones de reproducciones, mientras que en YouTube, la presentación del producto ha generado controversia con 2,2 mil dislikes frente a solo 568 likes. La propuesta ha sido recibida con escepticismo, ya que muchos la comparan con una trama de Black Mirror, donde las interacciones humanas han sido reemplazadas por relaciones con máquinas. Además, usuarios como @antoineweb1 critican el potencial limitado del dispositivo, describiéndolo como "básicamente, un micrófono bluetooth que escucha todo lo que dices y lo envía a un contenedor ChatGPT".


Aún en preventa, el producto ha suscitado dudas sobre su utilidad y funcionalidad, comparándolo con otros lanzamientos recientes como Rabbit r1, que prometían grandes innovaciones pero resultaron decepcionantes por su dependencia en tecnologías como ChatGPT.

El colgante funciona en modo "siempre escuchando" cuando está conectado por bluetooth, observando constantemente lo que ocurre y decidiendo cuándo interactuar. Es imprescindible que esté vinculado a un teléfono y tenga conexión a Internet, ya que necesita enviar información a servidores de ChatGPT u otras IA. Actualmente, el dispositivo solo es compatible con iPhone, aunque la empresa planea lanzar una versión para Android próximamente.

Disponible por 99 dólares, los envíos están limitados a Estados Unidos y Canadá. Está por verse si este producto logrará superar las expectativas negativas y convertirse en una innovación interesante. Muchos esperan ansiosamente una revisión del conocido crítico tecnológico Marques Brownlee, quien ya ha expresado su sorpresa en X al descubrir que no se trataba de una parodia.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#35

Con el auge de ChatGPT, Google activó el "código rojo" en su cuartel general. La preocupación era evidente: si una IA responde a las dudas de los usuarios, ¿quién necesita un buscador tradicional? Ahora, con la llegada de SearchGPT de OpenAI, la situación se complica aún más.

SearchGPT, basado en GPT-4, está en fase de pruebas con una lista de espera disponible. Este nuevo prototipo de búsqueda utiliza inteligencia artificial para proporcionar respuestas rápidas con fuentes claras y relevantes. Aunque inicialmente se parece a lo que ya ofrece GPT-4, SearchGPT incorpora características avanzadas como respuestas en formato chat que incluyen imágenes y datos actualizados, similar a una app del tiempo.

SearchGPT vs. Google: el desafío está servido

Según las primeras imágenes, SearchGPT es comparable a Copilot de Microsoft (anteriormente Bing Chat), pero mejorado. Copilot ya ofrece tarjetas de información y fuentes, y ahora SearchGPT busca superar estas capacidades con respuestas rápidas y precisas.

OpenAI ha diseñado SearchGPT para "combinar la fuerza de los modelos de ChatGPT con información de la web, proporcionando respuestas rápidas y actuales con fuentes claras y relevantes". Para acceder, los usuarios deben unirse a la lista de espera en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. La misión de OpenAI es eliminar la necesidad de búsquedas extensivas, ofreciendo respuestas directas y eficientes.

Colaboración con publicaciones

OpenAI se ha asociado con diversas publicaciones para mejorar SearchGPT y garantizar que el contenido se presente de la mejor manera posible. Esta colaboración es crucial para optimizar la experiencia de búsqueda y mantener la información actualizada y relevante.

La amenaza a Google

Aunque muchos buscadores intentan desafiar a Google, pocos lo logran. Sin embargo, Bing aumentó su cuota de mercado con Bing Chat y Copilot, lo que sugiere que SearchGPT podría tener un impacto significativo. La aparición de ChatGPT ha cambiado las reglas del juego, y los medios que publican tutoriales han visto una disminución en el tráfico, atribuida a la capacidad de ChatGPT para proporcionar respuestas rápidas y precisas.

La propuesta de SearchGPT es prometedora: realizar consultas, buscar respuestas en la red y ofrecer resultados precisos. Google, por su parte, también está mejorando sus respuestas, pero la rapidez y la innovación de SearchGPT representan una amenaza real.

El futuro de las búsquedas

Aún es pronto para saber si SearchGPT se convertirá en el buscador predeterminado para muchos usuarios. Con el éxito de Copilot y el creciente uso de ChatGPT, SearchGPT tiene el potencial de cambiar el panorama de las búsquedas en internet. Aunque algunos usuarios, como yo, se mantengan fieles a alternativas como DuckDuckGo, el futuro podría deparar sorpresas con la evolución de SearchGPT.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#36

Un año después de su anuncio, Vanilla OS 2 "Orchid" se presenta como la nueva versión estable de este sistema operativo inmutable para escritorio, ahora basado en Debian Sid en lugar de Ubuntu. El anuncio oficial destaca la "transición de Ubuntu a una base híbrida" que combina paquetes de Debian con módulos de Vanilla Image Builder (Vib), ofreciendo mayor flexibilidad y control sobre actualizaciones y configuración.

Vanilla OS 2 se describe como una reescritura completa del sistema operativo, prometiendo simplicidad y rendimiento. Los responsables de la distribución afirman: "Orchid redefine la simplicidad y el rendimiento, proporcionando una experiencia fluida e intuitiva para internautas, jugadores, desarrolladores y diseñadores. Nuestros objetivos son más ambiciosos: simplicidad, limpieza, libertad y una experiencia sin obstáculos".

El sistema operativo es seguro, protegiendo componentes críticos de accesos no autorizados, confiable, con actualizaciones cuidadosamente probadas, y moderno, con una interfaz atractiva y funcional que facilita el acceso rápido a aplicaciones y herramientas.

Al igual que otros sistemas inmutables como openSUSE Aeon, Vanilla OS 2 se actualiza en segundo plano mediante el sistema de actualizaciones atómicas ABRoot v2. Esto permite que los cambios se apliquen solo tras reiniciar la computadora, eliminando conflictos de versiones de bibliotecas en RAM y binarios. Los usuarios pueden programar la frecuencia de las actualizaciones y hacer rollback en caso de problemas.

Una novedad destacada es la interfaz gráfica de Apx, que actúa como gestor de subsistemas (contenedores) basados en Alpine, Arch Linux, Fedora, openSUSE, Ubuntu, vanilla-dev y Vanilla, proporcionando acceso a un amplio catálogo de software. Además, Vanilla OS 2 ofrece compatibilidad experimental con aplicaciones de Android mediante Waydroid y Vanilla System Operator (VSO), soporte de Flatpak a través de Flathub, y sideloading de paquetes Deb y APK.

El instalador de Vanilla OS 2 utiliza una sesión reducida de GNOME, un nuevo backend de Albius, soporte OEM, cifrado de la partición /var con LUKS2, partición manual y configuración de red durante la instalación. Vib es el nuevo sistema de recetas OCI para crear imágenes personalizadas y escalables de Vanilla OS.

Entre los componentes básicos de Vanilla OS 2 se encuentran Linux 6.9.8, GNOME 46 en su estado vanilla (excepto la fuente tipográfica), y la utilidad PRIME para gestionar gráficas dedicadas y aumentar la autonomía de portátiles.

Vanilla OS 2 se une a otros sistemas inmutables como Fedora, openSUSE Aeon, Endless y BlendOS, ampliando un segmento que, aunque minoritario, está creciendo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#37


Campaña de phishing en OneDrive

Investigadores de ciberseguridad han identificado una nueva campaña de phishing dirigida a usuarios de Microsoft OneDrive, diseñada para ejecutar un script malicioso de PowerShell. Esta campaña, rastreada por Trellix como OneDrive Pastejacking, utiliza tácticas de ingeniería social para comprometer los sistemas de los usuarios.

Ingeniería social y tácticas de ataque

"Esta campaña se basa en tácticas de ingeniería social para engañar a los usuarios y ejecutar un script de PowerShell, comprometiendo así sus sistemas", explicó Rafael Peña, investigador de seguridad de Trellix. El ataque comienza con un correo electrónico que contiene un archivo HTML. Al abrirlo, se muestra una imagen que simula una página de OneDrive con un mensaje de error falso que dice: "No se pudo conectar al servicio en la nube 'OneDrive'. Para corregir el error, debe actualizar la caché de DNS manualmente".

Método de ataque

El mensaje ofrece dos opciones: "Cómo solucionarlo" y "Detalles". La opción "Detalles" dirige a una página legítima de Microsoft Learn sobre solución de problemas de DNS, pero "Cómo solucionarlo" guía al usuario a seguir una serie de pasos que incluyen abrir PowerShell y pegar un comando codificado en Base64. Este comando ejecuta ipconfig /flushdns, crea una carpeta llamada 'descargas' en la unidad C:, descarga un archivo, lo renombra, extrae su contenido y ejecuta un script malicioso utilizando AutoIt3.exe.

La campaña ha afectado a usuarios en Estados Unidos, Corea del Sur, Alemania, India, Irlanda, Italia, Noruega y el Reino Unido.

Estos hallazgos coinciden con investigaciones de ReliaQuest, Proofpoint y McAfee Labs, que también han observado un aumento en los ataques de phishing utilizando esta técnica, conocida como ClickFix.

Paralelamente, se han descubierto campañas de phishing que distribuyen archivos de acceso directo falsos de Windows y que utilizan la infraestructura de la red de entrega de contenido (CDN) de Discord para alojar cargas útiles maliciosas. Además, se ha observado un aumento en las campañas de phishing que envían correos electrónicos con enlaces a formularios de Microsoft Office creados para robar credenciales de Microsoft 365.

Evasión de detección

Los atacantes utilizan técnicas avanzadas para evadir la detección por pasarelas de correo electrónico seguras (SEG). Por ejemplo, Cofense informó que los atacantes están abusando de cómo los SEG escanean archivos adjuntos ZIP, disfrazando cargas maliciosas como archivos MPEG para evadir la detección. Cuando estos archivos se abren en clientes de Outlook o en el Explorador de Windows, se detectan correctamente como archivos HTML maliciosos.

En fin, los ataques de phishing son una amenaza creciente para los usuarios de OneDrive y otras plataformas. La continua evolución de las tácticas de phishing y la sofisticación de los métodos de evasión subrayan la necesidad de una ciberseguridad robusta y una mayor concienciación sobre los riesgos de ingeniería social.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#38

Campañas de phishing en Polonia:

Investigadores de ciberseguridad han identificado campañas de phishing masivas dirigidas a pequeñas y medianas empresas (PYMES) en Polonia durante mayo de 2024. Estas campañas han desplegado varias familias de malware, como Agent Tesla, Formbook y Remcos RAT.

Regiones afectadas:

Además de Polonia, las campañas también han dirigido ataques a Italia y Rumanía, según la empresa de ciberseguridad ESET.

Tácticas de los atacantes

Los atacantes utilizaron cuentas de correo electrónico y servidores previamente comprometidos para difundir correos electrónicos maliciosos, alojar malware y recopilar datos robados", señaló Jakub Kaloč, investigador de ESET.

DBatLoader:

El cargador de malware. Estas campañas han utilizado un cargador de malware llamado DBatLoader (también conocido como ModiLoader y NatsoLoader) para entregar las cargas útiles finales. Esto marca una desviación de los ataques observados en 2023, que utilizaron AceCryptor como criptorizador para propagar Remcos RAT.

Detalles del ataque:

Los ataques comenzaron con correos electrónicos de phishing que incluían archivos adjuntos RAR o ISO con malware. Al abrirse, estos archivos activaban un proceso de varios pasos para descargar y lanzar el troyano. Los archivos ISO ejecutaban directamente DBatLoader, mientras que los archivos RAR contenían un script por lotes de Windows ofuscado con un ejecutable ModiLoader codificado en Base64.

DBatLoader características y funcionalidad:

DBatLoader, basado en Delphi, está diseñado para descargar y lanzar malware desde Microsoft OneDrive o servidores comprometidos de empresas legítimas. Independientemente del malware desplegado, Agent Tesla, Formbook y Remcos RAT pueden desviar información confidencial, preparando el terreno para futuras campañas de los atacantes.

Aumento de ataques a PYMES:

Kaspersky ha revelado que las PYMES están siendo cada vez más atacadas debido a sus medidas de ciberseguridad limitadas y a su falta de recursos y experiencia. "Los troyanos siguen siendo la amenaza cibernética más común, indicando que los atacantes prefieren el malware sobre el software no deseado", informó Kaspersky.

Peligros de los troyanos:

Los troyanos son particularmente peligrosos porque imitan al software legítimo, lo que los hace más difíciles de detectar y prevenir. Su versatilidad y capacidad para eludir las medidas de seguridad tradicionales los convierten en una herramienta frecuente y eficaz para los cibercriminales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#39

Interfaces cerebro-ordenador. Los interfaces cerebro-ordenador (BCI, por sus siglas en inglés) ya son una realidad, aunque aún en etapas iniciales. La diversidad de empresas en este mercado emergente es prueba de su crecimiento.

Nuevo competidor:

Paradromics. Paradromics, una empresa estadounidense, ha anunciado avances significativos en su entrada al mercado BCI. La compañía se está preparando para iniciar ensayos clínicos en humanos con su implante cerebral Connexus Direct Data Interface.

Historia de Paradromics.

Fundada en Texas en 2015, un año antes que Neuralink, Paradromics aún no ha comenzado los ensayos clínicos de su dispositivo. En 2017, recibió 65 millones de dólares de financiación de DARPA para desarrollar interfaces cerebro-módem que faciliten la conexión entre el cerebro y el ordenador.

Registro de pacientes.

En julio de este año, Paradromics anunció la creación de un registro de pacientes para sus ensayos clínicos, que podrían comenzar en 2025. El proyecto ha sido aceptado en el programa Total Product Life Cycle Advisory Program de la FDA, diseñado para acelerar la disponibilidad de dispositivos médicos seguros y efectivos.

Connexus DDI.

El sistema Connexus DDI incluye dos componentes principales conectados por un cable, ambos implantados quirúrgicamente. El módulo cortical se conecta al cerebro mediante 421 microelectrodos, mientras que el transceptor interno transmite las señales inalámbricamente a un transceptor externo, que se comunica con una unidad computacional para interpretar las señales cerebrales.

Expansión modular.

El sistema permite la instalación de hasta cuatro módulos corticales en diferentes regiones del cerebro, totalizando 1684 electrodos conectados.

Los implantes neuronales están pasando de la ciencia ficción a la realidad científica. Empresas como Neuralink, Synchron y Neuroscroll están avanzando en el mercado BCI, ofreciendo soluciones innovadoras que benefician a personas con problemas de movilidad, mejorando su capacidad de comunicación. La creciente competencia y las innovaciones en este campo acelerarán la disponibilidad de estas tecnologías para más usuarios.

Synchron y Neuroscroll.

Synchron es otra empresa destacada en el campo de los interfaces cerebro-ordenador. Con varios ensayos clínicos en curso, Synchron ha demostrado ser un competidor formidable. Neuroscroll, un proyecto chino, también está haciendo avances significativos en este mercado emergente, subrayando la creciente competencia a nivel global.

Innovaciones y Beneficios.

Los implantes neuronales tienen el potencial de revolucionar la forma en que las personas con discapacidades motoras se comunican y controlan dispositivos. Estas innovaciones no solo ofrecen nuevas oportunidades de interacción, sino que también mejoran significativamente la calidad de vida de los pacientes.

Impacto en la Salud Pública

Los dispositivos como Connexus DDI y otros interfaces cerebro-ordenador son cruciales en el campo de la salud pública. Ayudan a personas con enfermedades neurodegenerativas, como la esclerosis múltiple, y a aquellos que han sufrido lesiones traumáticas, facilitando su independencia y comunicación.

Futuro del Mercado BCI.

A medida que más empresas ingresan al mercado BCI, la competencia impulsará el desarrollo de tecnologías más avanzadas y accesibles. Esto no solo beneficiará a los pacientes, sino que también acelerará la adopción generalizada de estas tecnologías.

En fin, los interfaces cerebro-ordenador están a punto de transformar el panorama médico y tecnológico. Empresas como Paradromics, Neuralink, Synchron y Neuroscroll están liderando esta revolución, llevando a cabo investigaciones y desarrollos que prometen cambiar la vida de muchas personas. Con el apoyo de instituciones como la FDA y DARPA, estas innovaciones están cada vez más cerca de convertirse en una realidad tangible para pacientes de todo el mundo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#40


En el competitivo mundo de la tecnología, la carrera por ofrecer los componentes más avanzados para inteligencia artificial (IA) está en pleno auge. AMD, reconocida por su innovación en hardware, ha dado un paso adelante con el lanzamiento de Amuse 2.0, un software de inteligencia artificial generativa diseñado específicamente para su hardware.

Amuse 2.0 está creado para maximizar el potencial de ciertos componentes de AMD, permitiendo la generación de imágenes con alta precisión y calidad. A diferencia de otras soluciones en el mercado, como el Intel AI Playground, que ofrece una gama más amplia de funcionalidades, Amuse 2.0 se centra exclusivamente en la creación de imágenes.

¿Qué Ofrece Amuse 2.0?

Amuse 2.0 permite a los usuarios aprovechar al máximo la potencia de los modelos más avanzados de los componentes de AMD, como sus procesadores y tarjetas gráficas. Este software de IA generativa es compatible únicamente con ciertos componentes específicos debido a la alta demanda de recursos y energía que requiere.

Compatibilidad de Hardware

Actualmente, Amuse 2.0 es compatible con tres familias principales de hardware de AMD:

Procesadores: Los nuevos Ryzen AI 300 y los AMD Ryzen 8040.
GPU: La serie 7000, excluyendo las series 6000 y los Ryzen 7040.
Esta selección se debe a que estos componentes están optimizados para ofrecer el mejor rendimiento con Amuse 2.0. Cabe destacar que, al ser una versión beta, es posible que AMD amplíe la compatibilidad con más modelos en futuras actualizaciones.

Comparativa con Intel AI Playground

Mientras que el Intel AI Playground proporciona una funcionalidad más versátil, Amuse 2.0 se especializa en la creación de imágenes, destacándose por su precisión en la generación visual. Esto posiciona a Amuse 2.0 como una herramienta valiosa para aquellos que buscan optimizar la calidad visual en proyectos creativos y profesionales.

AMD continúa innovando con su software Amuse 2.0, ofreciendo una solución de IA generativa avanzada para la creación de imágenes, diseñada para aprovechar al máximo el potencial de sus componentes más potentes. Aunque actualmente su funcionalidad está centrada en la generación de imágenes, se espera que futuras actualizaciones amplíen sus capacidades y compatibilidad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta