En mayo de 2025, Cloudflare logró mitigar con éxito un ataque de denegación de servicio distribuido (DDoS) sin precedentes que alcanzó un pico de 7,3 terabits por segundo (Tbps). Este evento supera en un 12% al récord anterior y se ha convertido en el ataque DDoS más grande jamás registrado, dirigido a un proveedor global de alojamiento protegido por el servicio Magic Transit de Cloudflare.

¿Qué es un ataque DDoS y por qué este es tan significativo?

Un ataque DDoS tiene como objetivo colapsar la infraestructura de red de una víctima enviando volúmenes masivos de tráfico malicioso, generando interrupciones, caídas del servicio e impacto financiero. En este caso, el ataque entregó un volumen impresionante de 37,4 terabytes de datos en tan solo 45 segundos, equivalente a más de 7.500 horas de streaming en HD o más de 12 millones de imágenes JPEG transmitidas al mismo tiempo.

Cloudflare, una empresa líder en servicios de infraestructura web y ciberseguridad, logró detener el ataque sin intervención manual, demostrando la capacidad de su red global distribuida.

Origen y táctica del ataque DDoS masivo

El ataque se originó desde 122.145 direcciones IP distribuidas en 161 países, siendo los principales focos Brasil, Vietnam, Taiwán, China, Indonesia y Ucrania. Esta dispersión geográfica permitió que el tráfico malicioso burlara sistemas de defensa convencionales y saturara los recursos de red de la víctima.

Una de las tácticas clave fue el uso de múltiples puertos de destino, con un promedio de 21.925 puertos por segundo y un pico de 34.517 puertos por segundo, lo cual tiene como objetivo evadir firewalls e IDS (sistemas de detección de intrusos) mediante tráfico disperso y altamente fragmentado.

Mitigación automatizada con Magic Transit y red anycast global

La red anycast de Cloudflare dispersó el tráfico de ataque entre 477 centros de datos distribuidos en 293 ubicaciones globales, neutralizando la amenaza sin intervención humana. Esta capacidad se logró mediante tecnologías avanzadas como:

• Huella digital en tiempo real
• Compartición de inteligencia dentro del centro de datos
• Reglas de mitigación automatizadas
• Rutas dinámicas de red

Estas funciones permiten a Cloudflare responder de forma inmediata y eficaz a ataques masivos, reduciendo el impacto para sus clientes y la infraestructura afectada.

Principales vectores del ataque: UDP, amplificación y servicios mal configurados

Aunque el 99,996% del tráfico malicioso fue generado por inundaciones UDP, también se utilizaron múltiples vectores para aumentar la complejidad y efectividad del ataque. Entre ellos se encuentran:

Reflexión QOTD (Quote of the Day)

• Reflexión de eco (Echo Reflection)
• Amplificación NTP (Network Time Protocol)
• Inundación UDP con botnet Mirai
• Flooding por mapeo de puertos
• Amplificación mediante RIPv1

Estos vectores se aprovecharon de servicios heredados y mal configurados que aún están expuestos en muchas redes, lo cual refuerza la importancia de aplicar configuraciones seguras y cerrar servicios obsoletos.

Prevención y aprendizaje: Feed de amenazas de Cloudflare

Como parte de su compromiso con la comunidad, Cloudflare incluyó los indicadores de compromiso (IoC) de este ataque en su DDoS Botnet Threat Feed, un servicio gratuito que permite a las organizaciones:

• Bloquear IPs maliciosas antes de que alcancen sus sistemas
• Mejorar la inteligencia de amenazas
• Anticiparse a campañas DDoS similares

Actualmente, más de 600 organizaciones utilizan este feed, y Cloudflare alienta a empresas de todos los tamaños a suscribirse como medida proactiva de protección contra ataques DDoS a gran escala.

Un llamado urgente a la protección contra DDoS

El ataque de 7,3 Tbps representa una nueva era en la escala y sofisticación de los ataques DDoS. Con ciberdelincuentes aprovechando botnets masivas, servicios abiertos y configuraciones incorrectas, la mitigación automatizada, el monitoreo en tiempo real y el uso de redes distribuidas como la de Cloudflare se vuelven esenciales.

Para las organizaciones que dependen de su presencia digital, adoptar soluciones como Magic Transit, mantener configuraciones seguras y participar en programas de inteligencia de amenazas es fundamental para evitar interrupciones críticas en 2025.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad crítica de escalada de privilegios está siendo explotada activamente por ciberdelincuentes en el popular tema de WordPress Motors, desarrollado por StylemixThemes, permitiendo a los atacantes tomar el control total del sitio web al secuestrar cuentas de administrador.

¿Qué es CVE-2025-4322 y cómo afecta a los sitios con el tema Motors?
La falla, rastreada como CVE-2025-4322, fue detectada por el equipo de seguridad de Wordfence, que alertó sobre su gravedad a principios de mayo de 2025. La vulnerabilidad afecta a todas las versiones de Motors anteriores a la 5.6.67 e involucra una validación inadecuada de identidad del usuario durante el proceso de restablecimiento de contraseña.

Este error permite a actores no autenticados manipular el sistema de recuperación de contraseñas y cambiar la contraseña de cuentas de administrador, sin necesidad de credenciales previas. Wordfence recomendó aplicar de inmediato la versión corregida 5.6.68, lanzada por StylemixThemes el 14 de mayo de 2025, pero muchos usuarios no actualizaron sus sitios a tiempo.

Explotación activa y escala de los ataques

El 20 de mayo de 2025, un día después de que Wordfence hiciera pública la falla, se comenzaron a observar ataques en entornos reales. Para el 7 de junio, la actividad maliciosa había escalado drásticamente, con más de 23.100 intentos de explotación bloqueados por Wordfence en sitios protegidos.

El tema Motors es ampliamente utilizado por sitios relacionados con el sector automotriz y cuenta con más de 22,000 instalaciones activas adquiridas a través de EnvatoMarket. Su popularidad lo convierte en un objetivo especialmente atractivo para campañas de ataques automatizados y dirigidos.

Detalles técnicos del ataque y cómo se ejecuta

La vulnerabilidad reside en el widget "Registro de inicio de sesión" del tema, específicamente en su funcionalidad de recuperación de contraseña. El proceso de ataque incluye los siguientes pasos:

• Descubrimiento de URL: El atacante localiza rutas comunes donde se encuentra el widget, como /login-register, /account, /reset-password, y /signin.
• Envía una solicitud POST manipulada: Utiliza un valor hash_check con caracteres UTF-8 inválidos, lo que fuerza un error de comparación en la lógica de validación.
• Cambio de contraseña de administrador: Inserta un campo stm_new_password con una nueva contraseña para un ID de usuario que corresponde al rol de administrador.
• Acceso total y persistencia: Una vez dentro del panel de WordPress, el atacante crea nuevas cuentas de administrador y bloquea a los usuarios legítimos al cambiar sus credenciales.

Entre las contraseñas maliciosas utilizadas se han identificado ejemplos como:

• ¡Prueba123! No tienes permitido ver enlaces. Registrate o Entra a tu cuenta#
• rzkkd$SP3znjrn
• KurdNo tienes permitido ver enlaces. Registrate o Entra a tu cuentaKurd12123
• owm9cpXHAZTk
• db250WJUNEiG

Estos valores son indicativos de accesos no autorizados y pueden ayudar a identificar si un sitio ha sido comprometido.

Señales de que tu sitio puede estar comprometido

Si utilizas el tema Motors en una versión vulnerable, debes estar alerta ante los siguientes signos de explotación de CVE-2025-4322:

• Aparición de cuentas de administrador desconocidas.
• Imposibilidad de iniciar sesión con cuentas legítimas (contraseñas modificadas).
• Cambios no autorizados en la configuración del sitio.
• Creación de publicaciones o enlaces externos no solicitados.

Wordfence también ha publicado un listado de direcciones IP involucradas en los ataques, recomendando su inclusión inmediata en las listas de bloqueo de firewalls y sistemas de seguridad web.

Recomendaciones urgentes para administradores de WordPress

• Actualiza el tema Motors a la versión 5.6.68 o superior sin demora.
• Revisa todos los registros de acceso recientes y cuentas de usuario con privilegios elevados.
• Implementa un firewall de aplicaciones web (WAF) para bloquear ataques automatizados.
• Cambia las contraseñas de administrador y fuerza el restablecimiento para todos los usuarios críticos.
• Utiliza plugins de seguridad como Wordfence o iThemes Security para monitoreo continuo.

Una advertencia más sobre la importancia de las actualizaciones

El caso de CVE-2025-4322 demuestra una vez más la necesidad de aplicar actualizaciones de seguridad de forma inmediata, especialmente en temas y plugins populares de WordPress. Las fallas de escalada de privilegios pueden comprometer completamente la integridad del sitio y la seguridad de los datos de los usuarios.

Mantener una política de actualización proactiva, monitoreo constante y defensa en profundidad es esencial para proteger cualquier presencia digital en 2025 y más allá.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En abril de 2025, dos de los principales minoristas del Reino Unido, Marks & Spencer (M&S) y Co-op, fueron víctimas de un ataque cibernético coordinado clasificado oficialmente como un "evento cibernético combinado único". La evaluación fue realizada por el Centro de Monitoreo Cibernético (CMC), una organización independiente creada por la industria de seguros británica para analizar y categorizar grandes incidentes de seguridad digital.

La entidad confirmó que ambos ataques compartieron un mismo actor de amenazas, cronología cercana y tácticas, técnicas y procedimientos (TTPs) similares, lo que llevó a la conclusión de que se trató de una única campaña orquestada con un impacto sistémico de categoría 2.

Impacto financiero significativo en el sector minorista británico


El CMC estima que el ataque combinado contra Marks & Spencer y Co-op podría causar pérdidas financieras de entre 270 y 440 millones de libras esterlinas (equivalentes a 363 a 592 millones de dólares estadounidenses). Este tipo de incidentes cibernéticos no solo interrumpen las operaciones comerciales, sino que también provocan efectos dominó sobre proveedores, socios logísticos y servicios contratados por las cadenas de distribución.

Si bien un ataque similar ocurrió contra la cadena de lujo Harrods durante el mismo periodo, este no ha sido incluido en el evento combinado debido a la falta de evidencia suficiente sobre su origen y consecuencias.

Ingeniería social: la puerta de entrada del ataque

Los primeros indicios apuntan a que el vector de acceso inicial en ambos ataques fue el uso de técnicas avanzadas de ingeniería social, enfocadas principalmente en suplantar a personal de soporte técnico o departamentos de TI. Esta metodología, utilizada con éxito creciente en campañas de intrusión, permite a los atacantes obtener credenciales o accesos privilegiados engañando a empleados legítimos.

El grupo responsable, según fuentes preliminares del CMC, sería Scatter Spider (también identificado como UNC3944), una célula activa dentro del colectivo de ciberdelincuentes conocido como The Com. Este grupo ha sido relacionado con una serie de ataques altamente sofisticados dirigidos a empresas de sectores críticos.

Scatter Spider se especializa en infiltraciones mediante ataques de ingeniería social dirigidos, aprovechando la fluidez en inglés de sus miembros para simular comunicaciones legítimas del área de soporte técnico. Sus acciones pasadas han demostrado un patrón de enfoque sectorial, en el que apuntan a industrias específicas con campañas coordinadas.

Advertencia para otras industrias: el siguiente objetivo podría ser el sector seguros

El Google Threat Intelligence Group (GTIG) ha emitido una advertencia señalando que Scatter Spider ha comenzado a apuntar a compañías aseguradoras en Estados Unidos. Esta nueva campaña podría replicar el mismo modus operandi observado en el Reino Unido, con ataques dirigidos a mesas de ayuda, centros de llamadas y otros puntos de contacto con personal interno.

"El historial de este grupo sugiere que, una vez que identifican una industria como vulnerable, ejecutan múltiples ataques dentro de ese sector", declaró John Hultquist, analista principal del GTIG. "Esperamos una escalada de incidentes de alto perfil en los próximos meses, a medida que los atacantes avancen de un sector a otro".

Tata Consultancy Services niega implicación en el incidente

En medio de las investigaciones, el gigante tecnológico indio Tata Consultancy Services (TCS) —uno de los principales proveedores de servicios para Marks & Spencer— aclaró que sus sistemas y usuarios no fueron comprometidos como parte del ataque. Sin embargo, una investigación interna sigue en curso, luego de que el Financial Times informara que se estaba evaluando si los sistemas de TCS pudieron haber sido utilizados como punto de acceso para el ataque inicial.

Un entorno cada vez más hostil: conexiones con la operación Qilin

Este incidente se produce en un contexto de creciente sofisticación del ecosistema de ransomware. Recientemente, se ha revelado que el grupo Qilin RaaS (ransomware como servicio) ha implementado una nueva estrategia de presión sobre las víctimas: asistencia legal personalizada y presión mediática.

Además de proporcionar herramientas automatizadas de cifrado, Qilin ahora ofrece asesoría legal a sus afiliados y afirma tener un equipo de periodistas internos para redactar publicaciones en blogs, diseñadas para intimidar públicamente a las víctimas durante las negociaciones de rescate. Este enfoque apunta a intensificar el impacto psicológico de los ataques y forzar el pago de los rescates más rápidamente.

El auge de los eventos cibernéticos combinados y su amenaza sistémica

Los ataques combinados contra Marks & Spencer y Co-op representan una nueva forma de amenaza cibernética a gran escala, que apunta a sectores enteros y aprovecha vectores de acceso como la ingeniería social sofisticada. La aparición de grupos como Scatter Spider y el crecimiento de modelos como Qilin RaaS demuestran que los actores de amenazas están operando con estrategias más integrales, coordinadas y agresivas.

Este tipo de incidentes subraya la necesidad urgente de que las organizaciones refuercen sus estrategias de ciberseguridad, especialmente en lo que respecta a la formación del personal, la protección de servicios de soporte y la detección de anomalías en accesos internos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El ecosistema del ransomware continúa evolucionando, y el grupo cibercriminal detrás del esquema ransomware como servicio (RaaS) conocido como Qilin ha dado un paso más allá en la sofisticación de sus operaciones. Ahora, este grupo está proporcionando asesoría legal a sus afiliados, con el objetivo de incrementar la presión sobre las víctimas y maximizar los pagos por rescate. Esta funcionalidad se encuentra integrada en el panel de control de afiliados bajo el nombre "Llamar a un abogado".

Qilin: líder en ataques de ransomware en 2025

Según la firma de ciberseguridad Cybereason, esta nueva estrategia legal forma parte de un proceso de expansión del grupo Qilin, también identificado como Gold Feather y Water Galura, activo desde octubre de 2022. Con la caída de grupos como LockBit, BlackCat, Everest, RansomHub y BlackLock, Qilin ha logrado posicionarse como uno de los principales actores en el mercado del ransomware.

En abril de 2025, Qilin encabezó la lista de grupos con más ataques, registrando 72 víctimas. En mayo, se le atribuyeron al menos 55 ataques, superado solo por Safepay (72) y Luna Moth (67). Desde inicios del año, Qilin se mantiene como el tercer grupo de ransomware más activo, solo detrás de Cl0p y Akira, con un total de 304 víctimas documentadas.

Una plataforma de ciberdelincuencia "todo en uno"

De acuerdo con un análisis reciente de Qualys, Qilin ha construido un ecosistema criminal maduro que ofrece desde cargas útiles en Rust y C, hasta herramientas avanzadas para evadir detección, propagarse en redes, borrar rastros y automatizar negociaciones. Además, el grupo ofrece servicios complementarios como spam, almacenamiento de datos a gran escala y orientación legal, lo que lo convierte en mucho más que un proveedor de ransomware.

Una de las adiciones más polémicas es su función de asistencia legal, que permite a los afiliados contactar con un supuesto equipo jurídico del grupo para obtener apoyo estratégico en los procesos de extorsión. Según capturas de foros de la dark web, incluso se destaca que la "mera presencia de un abogado en el chat puede presionar a las empresas víctimas a pagar, por temor a consecuencias legales".

Asimismo, el panel de afiliados ahora permite realizar ataques DDoS, enviar spam automatizado a correos y teléfonos corporativos, e incluso acceder a un equipo de "periodistas internos" que ayudan a crear presión mediática sobre las víctimas.

Migración de afiliados y crecimiento tras la caída de RansomHub

Las recientes disoluciones y fracturas en grupos como RansomHub han provocado que varios de sus afiliados migren a Qilin, impulsando aún más su crecimiento. Esta transferencia de talento delictivo ha convertido a Qilin en una plataforma de ciberdelincuencia como servicio (CaaS) altamente profesionalizada.

Los investigadores Mark Tsipershtein y Evgeny Ananin destacan que la infraestructura de Qilin es una de las más avanzadas técnicamente, con mecanismos de ejecución en modo seguro, limpieza de logs y sofisticadas herramientas de acceso remoto.

Nuevas tácticas y amenazas paralelas en el entorno ransomware

En paralelo, la firma Intrinsec ha detectado que un afiliado del grupo Rhysida comenzó a utilizar la herramienta de código abierto Eye Pyramid C2, una backdoor basada en Python usada previamente por operadores de RansomHub. Esta utilidad permite mantener el acceso a endpoints comprometidos y lanzar nuevas cargas maliciosas.

Además, una filtración de registros de chat del grupo Black Basta ha revelado la identidad de un actor conocido como Tinker, considerado uno de los colaboradores más cercanos al líder del grupo, Tramp. Tinker se encargaba de analizar datos financieros de las víctimas, realizar ingeniería social y dirigir campañas de phishing sofisticadas, como ataques a través de Microsoft Teams que llevaban a los usuarios a instalar herramientas como AnyDesk para facilitar el acceso de los atacantes.

Entre diciembre de 2023 y junio de 2024, Tinker habría recibido al menos 105,000 dólares en criptomonedas, aunque su afiliación actual a un grupo específico no ha sido confirmada.

Acciones legales contra cibercriminales: arrestos en Ucrania y Tailandia

En una operación internacional, un miembro del grupo Ryuk, de 33 años, fue extraditado a Estados Unidos desde Kiev tras ser arrestado por su participación como agente de acceso inicial (IAB). El sospechoso escaneaba redes corporativas en busca de vulnerabilidades, cuyos accesos eran luego vendidos a otros actores para lanzar ataques coordinados.

Simultáneamente, las autoridades de Tailandia desmantelaron una célula criminal compuesta por ciudadanos chinos y del sudeste asiático que operaba desde un hotel en Pattaya. Se trataba de un centro desde el cual se gestionaban campañas de ransomware y estafas de inversión que afectaron a múltiples víctimas, especialmente en Australia.

Qilin redefine el modelo de ransomware como servicio

El caso de Qilin evidencia una evolución significativa en el panorama del ransomware como servicio. El grupo no solo lidera en número de ataques, sino que se consolida como una plataforma de ciberdelincuencia integral, con funcionalidades que incluyen asesoría legal, campañas mediáticas, y herramientas automatizadas de ataque.

Este modelo híbrido entre software malicioso, servicios legales y presión psicológica marca una nueva etapa en la profesionalización del ransomware, obligando a las organizaciones a redoblar sus esfuerzos en detección proactiva, gestión de vulnerabilidades y educación en ciberseguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La seguridad al navegar por Internet es una preocupación creciente para millones de usuarios en todo el mundo, especialmente ante el aumento de nuevas formas de fraude digital y campañas de scareware. En respuesta a esta evolución constante del cibercrimen, DuckDuckGo, el navegador centrado en la privacidad, ha reforzado su herramienta de protección automática: Scam Blocker, diseñada para bloquear estafas y amenazas online en tiempo real, sin comprometer los datos del usuario.

Frente al auge de sitios maliciosos, tiendas falsas, páginas de criptomonedas fraudulentas y campañas de phishing sofisticado, la empresa ha ampliado el alcance de su solución de seguridad integrada, haciéndola aún más efectiva para combatir estafas emergentes sin necesidad de configuración adicional.

¿Qué es Scam Blocker y cómo protege a los usuarios?

Scam Blocker es una función de seguridad integrada en el navegador de DuckDuckGo, disponible de forma gratuita para todos los usuarios. A diferencia de soluciones similares que dependen de servicios como Google Safe Browsing, esta herramienta se basa en una lista local de amenazas actualizada que protege al usuario sin enviar información de navegación a terceros.

La protección que ofrece va mucho más allá del phishing y malware tradicional. Ahora también identifica y bloquea automáticamente:

• Tiendas online falsas que simulan promociones irresistibles para robar dinero o datos personales.
• Plataformas fraudulentas de criptomonedas que imitan exchanges legítimos para captar fondos de inversores.
• Páginas scareware que muestran mensajes falsos de infección para inducir la compra de software falso o robar credenciales.
• Encuestas engañosas que prometen premios a cambio de datos personales.
• Campañas de malvertising, donde anuncios legítimos son manipulados para distribuir malware desde sitios web confiables.

Este enfoque proactivo convierte a DuckDuckGo en una alternativa sólida para quienes desean protegerse de estafas al navegar por Internet sin renunciar a la privacidad.

Privacidad primero: seguridad sin rastreo

Una de las grandes fortalezas de DuckDuckGo frente a otros navegadores es su compromiso con la privacidad. El bloqueador de estafas Scam Blocker no necesita recopilar información personal ni acceder al historial de navegación del usuario para funcionar. Toda la verificación de sitios web se realiza localmente en el dispositivo, lo que garantiza una protección sin comprometer la identidad digital.

Además, las URLs sospechosas se cotejan de forma anónima usando un sistema criptográfico, evitando así cualquier filtración de datos sensibles. Esto marca una diferencia importante con respecto a soluciones tradicionales que dependen del envío de información a servidores externos.

Actualizaciones en tiempo real y colaboración con expertos

La eficacia de Scam Blocker se basa en su capacidad de respuesta frente a nuevas amenazas. Para ello, DuckDuckGo colabora con la firma de ciberseguridad Netcraft, que proporciona una base de datos actualizada de sitios web peligrosos. Esta base se renueva cada 20 minutos, lo que permite bloquear amenazas emergentes prácticamente en tiempo real.

Las amenazas más comunes se filtran directamente desde el dispositivo, mientras que los sitios menos frecuentes —como enlaces maliciosos alojados en Google Drive o GitHub— se validan mediante una base de datos ampliada, sin perder la capa de anonimato.

En caso de que el usuario intente ingresar a un sitio peligroso, el navegador muestra una advertencia clara, explicando la amenaza detectada y ofreciendo la opción de abandonar la página antes de que ocurra un posible daño.

Protección extendida con Privacy Pro

Además de estar activado por defecto en la versión estándar del navegador, Scam Blocker puede ser potenciado mediante Privacy Pro, el servicio de suscripción premium de DuckDuckGo. Esta opción incluye una VPN integrada y extiende la protección del bloqueador de estafas a todas las aplicaciones y navegadores del dispositivo, no solo al navegador DuckDuckGo.

Esta funcionalidad es especialmente útil para usuarios que usan otras plataformas de navegación o aplicaciones que podrían estar expuestas a enlaces maliciosos fuera del navegador.

Estafas en aumento: cifras alarmantes

La relevancia de estas medidas de seguridad queda evidenciada por las últimas cifras de la Comisión Federal de Comercio (FTC) de Estados Unidos, que indican que las estafas en línea generaron más de 12.500 millones de dólares en pérdidas en 2024. Entre las más comunes figuran los fraudes vinculados a inversiones falsas, compras online y servicios digitales engañosos.

DuckDuckGo, consciente de este panorama, ha hecho de la seguridad un pilar central de su experiencia de navegación, demostrando que es posible mantenerse protegido sin sacrificar la privacidad.

Navegar de forma segura y privada es posible con DuckDuckGo

En un entorno digital plagado de amenazas en evolución constante, Scam Blocker de DuckDuckGo representa una solución eficaz, transparente y gratuita para combatir estafas en línea. Desde fraudes en criptomonedas y scareware hasta sitios falsos de comercio electrónico, el navegador ofrece una capa de protección sólida y sin rastreo.

Para los usuarios preocupados por su seguridad al navegar y su privacidad online, DuckDuckGo se posiciona como una opción confiable, accesible y comprometida con ofrecer una experiencia digital segura. Con actualizaciones constantes, una red de colaboración con expertos en ciberseguridad y un enfoque centrado en el usuario, navegar con tranquilidad es hoy más posible que nunca.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han identificado una nueva y alarmante campaña maliciosa que aprovecha GitHub, una de las plataformas de desarrollo más populares del mundo, como vehículo de distribución de malware troyanizado. El grupo responsable, denominado Banana Squad por ReversingLabs, ha publicado al menos 67 repositorios maliciosos que se hacen pasar por herramientas legítimas de hacking en Python, pero que en realidad descargan y ejecutan cargas útiles peligrosas en los sistemas comprometidos.

Esta actividad representa una continuación de una ofensiva detectada en 2023, donde actores de amenazas abusaron del repositorio Python Package Index (PyPI) para distribuir paquetes maliciosos con funciones de robo de información. Aquella campaña logró más de 75,000 descargas antes de ser detectada, y tenía como blanco principal a usuarios de sistemas operativos Windows.

Repositorios falsos que infectan billeteras de criptomonedas y sistemas de desarrollo

Un informe del Centro de Tormentas de Internet de SANS publicado en noviembre de 2024 ya advertía sobre una supuesta herramienta de "verificación de cuentas de Steam" alojada en GitHub, que contenía funciones encubiertas para descargar malware adicional en segundo plano. Este código malicioso fue diseñado para atacar específicamente a la billetera de criptomonedas Exodus, permitiendo el robo de datos confidenciales y su exfiltración a servidores controlados por los atacantes, como dieserbenni[.]ru.

El análisis posterior reveló que los ciberdelincuentes estaban utilizando nombres idénticos a proyectos legítimos, engañando así a desarrolladores y usuarios novatos. El objetivo: comprometer a quienes buscan herramientas como verificadores de cuentas de TikTok, limpiadores de Discord, trucos para Fortnite o comprobadores masivos de cuentas de PayPal. Todos los repositorios identificados ya han sido eliminados por GitHub.

GitHub: un vector creciente para la distribución de malware

La plataforma de código abierto GitHub se ha convertido en un canal cada vez más explotado por actores maliciosos. A comienzos de esta semana, Trend Micro reportó 76 repositorios maliciosos adicionales, operados por el grupo denominado Water Curse, cuya finalidad es distribuir malware de múltiples etapas, incluyendo herramientas para el robo de credenciales, cookies de navegador y tokens de sesión, así como mantener acceso remoto persistente a los dispositivos afectados.

En paralelo, Check Point Research descubrió una red llamada Stargazers Ghost Network, un servicio criminal que emplea cuentas automatizadas de GitHub para propagar malware relacionado con juegos como Minecraft. Estas cuentas falsifican legitimidad al destacar, bifurcar y suscribirse entre sí, creando una falsa percepción de popularidad.

Citar"La red consta de múltiples cuentas que distribuyen enlaces maliciosos y realizan otras acciones para que los repositorios parezcan legítimos", señaló Check Point.

Además, se ha determinado que estas cuentas "Ghost" también operan en otras plataformas, como parte de una infraestructura más amplia basada en distribución como servicio (DaaS), lo que refuerza la sofisticación de esta campaña.

Repositorios de malware disfrazados: de trampas de juegos a criptomonedas

Los repositorios troyanizados detectados están diseñados con precisión para parecer herramientas atractivas: desde generadores de claves, rastreadores de precios de criptomonedas, predictores de multiplicadores para juegos de apuestas, hasta herramientas de hacking amateur. El objetivo es atraer a usuarios inexpertos que, sin saberlo, descargan software comprometido con puertas traseras y malware sigiloso.

Un caso particularmente preocupante fue revelado por Sophos, que documentó un repositorio llamado Sakura-RAT, el cual infectaba a quienes compilaban su código, insertando ladrones de información y troyanos de acceso remoto como AsyncRAT, Remcos RAT y Lumma Stealer.

En total, Sophos detectó 133 repositorios troyanizados, de los cuales:

• 111 utilizaban puertas traseras incrustadas en eventos PreBuild de Visual Studio.
• El resto incorporaba código malicioso a través de scripts de Python, archivos .scr (protector de pantalla) y JavaScript.

Estas técnicas permiten capturar capturas de pantalla, exfiltrar datos a través de Telegram, y descargar nuevas cargas útiles sin que el usuario lo advierta.

Operación DaaS activa desde 2022

Sophos también vinculó estas campañas con una operación activa desde agosto de 2022, especializada en distribución de malware como servicio (DaaS). Miles de cuentas de GitHub han sido utilizadas para crear una red descentralizada de entrega de código malicioso que apunta no solo a usuarios de juegos y entusiastas de la piratería informática, sino también a desarrolladores legítimos.

Aunque los métodos exactos de distribución aún están siendo investigados, se sospecha que Discord y YouTube también se están utilizando como canales de promoción de estos repositorios maliciosos, ampliando el alcance de la campaña.

"No está claro si esta campaña está directamente relacionada con las anteriores, pero su efectividad la hace probable de continuar bajo nuevas formas", advirtió Sophos. "En el futuro, podría expandirse a nuevos perfiles de víctimas más allá de ciberdelincuentes inexpertos y jugadores que usan trampas".

GitHub bajo amenaza como canal de distribución de malware

La creciente explotación de GitHub como plataforma para distribuir malware subraya la importancia de aplicar rigurosas prácticas de seguridad en entornos de desarrollo. Esta campaña maliciosa pone en evidencia el potencial de daño que puede derivarse del uso imprudente de código fuente de fuentes no verificadas.

Para los desarrolladores, investigadores y usuarios interesados en herramientas de código abierto, es esencial verificar la legitimidad de cada repositorio, evaluar la reputación del autor y utilizar análisis automatizados de seguridad antes de ejecutar cualquier script o binario descargado.

La amenaza de los repositorios troyanizados y campañas DaaS no solo continúa, sino que se diversifica y refuerza con nuevas tácticas. Estar alerta es clave para protegerse en un panorama digital cada vez más complejo y hostil.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha anunciado una nueva iniciativa estratégica que transformará la forma en que gestiona los controladores de hardware dentro del ecosistema Windows. A partir de este año, la compañía comenzará a eliminar de forma periódica los controladores heredados del catálogo de Windows Update, con el objetivo de reducir riesgos de seguridad, mejorar la compatibilidad y optimizar la experiencia de los usuarios.

Esta decisión responde a la necesidad de mantener una plataforma segura y eficiente frente al crecimiento continuo del ecosistema de dispositivos compatibles con Windows. Según explicó Microsoft, esta iniciativa tiene como fin garantizar que Windows Update ofrezca solo los controladores más seguros, actualizados y relevantes para el hardware moderno.

Citar"La razón detrás de esta iniciativa es garantizar que tengamos el conjunto óptimo de controladores en Windows Update que se adapten a una variedad de dispositivos de hardware en todo el ecosistema de Windows, al tiempo que nos aseguramos de que la postura de seguridad de Microsoft Windows no se vea comprometida", indicó la empresa.

¿Qué implica la eliminación de controladores heredados?

En este contexto, la "limpieza" de controladores heredados consiste en revocar la asociación de estos controladores con audiencias específicas dentro de Windows Update. Esto significa que, una vez marcados como obsoletos, los drivers dejarán de estar disponibles para descarga o instalación automática en sistemas Windows.

La primera fase del proceso comenzará con aquellos controladores que ya cuentan con versiones más recientes disponibles en el catálogo. Estos serán eliminados del sistema mediante la anulación de sus asignaciones de audiencia desde el Centro de desarrollo de hardware (Hardware Dev Center). Este mecanismo asegura que los sistemas Windows no accedan más a versiones anticuadas que podrían generar conflictos de compatibilidad o representar vulnerabilidades de seguridad.

Microsoft ha sido enfática en que esta limpieza no afectará el funcionamiento actual de los sistemas operativos, pero sí promoverá una transición más rápida hacia controladores modernos y seguros.

Beneficios para la seguridad y compatibilidad de Windows

El catálogo de controladores de Windows Update ha sido durante mucho tiempo una herramienta esencial para mantener la estabilidad del sistema operativo y el buen funcionamiento de dispositivos periféricos. Sin embargo, con el paso del tiempo, algunos controladores han quedado obsoletos o sin mantenimiento por parte de sus fabricantes originales, lo que incrementa el riesgo de vulnerabilidades explotables.

La eliminación de controladores heredados busca reforzar la postura de seguridad de Windows, reducir la superficie de ataque y minimizar errores derivados de software desactualizado. Esta medida también facilitará una mejor compatibilidad con hardware moderno y permitirá una experiencia más coherente para los usuarios de Windows 10, Windows 11 y futuras versiones del sistema operativo.

Citar"La eliminación de los controladores heredados de Windows Update por parte de Microsoft es una medida proactiva para salvaguardar la seguridad y mejorar la calidad de los controladores para los usuarios de Windows", añadió la compañía.

¿Qué pueden hacer los fabricantes de hardware?

Los partners y fabricantes de hardware (OEM y ODM) afectados por la eliminación de drivers heredados podrán volver a publicar los controladores eliminados si justifican una razón comercial válida. Esta medida otorga cierta flexibilidad para escenarios donde el hardware aún se encuentra en uso activo o cuando se necesita mantener compatibilidad específica.

Sin embargo, Microsoft advierte que esta "recuperación" deberá cumplir con las nuevas políticas y directrices que se establecerán próximamente, como parte de una estrategia de largo plazo que busca normalizar la limpieza de drivers como una práctica rutinaria en Windows Update.

Cambios complementarios en la política de controladores

Esta iniciativa no es aislada. En mayo, Microsoft anunció cambios adicionales en el proceso de validación de drivers, incluyendo la expiración de la firma de controladores de preproducción emitida por autoridades de certificación (CA), la cual dejará de tener validez en julio. Esta modificación busca evitar el uso prolongado de drivers de prueba en entornos de producción.

Asimismo, Microsoft confirmó el retiro de los metadatos de Windows y los servicios de Internet (WMIS), junto con los metadatos de dispositivos, acciones que refuerzan su compromiso con la simplificación del ecosistema y la mejora de la seguridad de los datos en el proceso de instalación de hardware.

Nuevas políticas de seguridad para Windows 365 y Microsoft 365

En paralelo, Microsoft ha comenzado a implementar nuevos valores predeterminados de seguridad para sus servicios en la nube. Esta semana, se anunciaron configuraciones reforzadas para las PC en la nube con Windows 365, así como nuevas reglas de seguridad para todos los inquilinos de Microsoft 365, que bloquearán el acceso a SharePoint, OneDrive y archivos de Office a través de protocolos de autenticación heredados. Esta medida se aplicará a partir de julio de este año.

Estas acciones refuerzan el compromiso de Microsoft por mantener un ecosistema empresarial resiliente frente a las amenazas modernas, incluyendo ataques basados en identidades comprometidas y accesos no autorizados mediante tecnologías obsoletas.

Una evolución necesaria en el manejo de drivers

La limpieza periódica de controladores heredados en Windows Update representa una evolución necesaria en la estrategia de seguridad de Microsoft. Esta medida busca no solo mitigar riesgos derivados de software obsoleto, sino también optimizar la compatibilidad, estabilidad y rendimiento del sistema operativo en dispositivos modernos.

Para usuarios, administradores de TI y fabricantes de hardware, es clave estar atentos a los cambios en las políticas de publicación de controladores y prepararse para adoptar las nuevas directrices que Microsoft implementará de forma continua.

La transición hacia un ecosistema Windows más seguro y moderno ya está en marcha.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En un nuevo episodio de la creciente guerra cibernética entre potencias regionales, la emisora estatal de televisión de Irán fue víctima de un ciberataque masivo el miércoles por la noche. El ataque interrumpió la programación habitual para transmitir mensajes que instaban a la población iraní a salir a protestar contra el gobierno. Este hecho se suma a una serie de incidentes cibernéticos dirigidos a infraestructuras críticas en el país.

Aunque las autoridades iraníes aún no han identificado oficialmente a los responsables del ataque, varios reportes apuntan a que el régimen ha culpado a Israel. Según el medio Iran International, la televisión estatal declaró:

Citar"Si experimenta interrupciones o mensajes irrelevantes mientras ve varios canales de televisión, se debe a la interferencia del enemigo con las señales satelitales."

Este incidente representa una nueva escalada en el enfrentamiento digital entre Irán e Israel, que lleva más de una década. La misma semana, dos objetivos altamente sensibles también fueron comprometidos: Bank Sepah, una de las principales entidades bancarias del país, y Nobitex, el mayor exchange de criptomonedas iraní.

Roban más de 90 millones de dólares en criptomonedas

El ciberataque contra Nobitex resultó en el robo de más de 90 millones de dólares en activos digitales, lo que ha generado alarma en los círculos financieros y de ciberseguridad. Según TRM Labs, firma especializada en inteligencia blockchain:

Citar"Las entidades iraníes han experimentado con activos virtuales como solución financiera y como herramienta estratégica para avanzar sus ambiciones geopolíticas, incluida la proliferación de tecnología de armas avanzadas. Este último incidente pone en evidencia cómo los exchanges de criptomonedas, antes periféricos al conflicto, ahora son objetivos estratégicos clave."

La explotación de plataformas de criptomonedas por parte de actores estatales o respaldados por gobiernos no es nueva. Sin embargo, el volumen de activos robados y el momento del ataque sugieren una acción altamente coordinada y con fines políticos y militares.

Irán habría secuestrado cámaras de vigilancia en Israel

En paralelo, funcionarios de seguridad israelíes han denunciado que Irán está intentando hackear cámaras de seguridad privadas instaladas en su territorio para recopilar inteligencia en tiempo real. Esta táctica recuerda las estrategias empleadas por Rusia durante la invasión a Ucrania en 2022, donde el acceso a redes de vigilancia privadas permitió mejorar la precisión de los ataques militares.

Refael Franco, ex subdirector de la Dirección Nacional de Cibernética de Israel, afirmó:

Citar"En los últimos dos o tres días, los iraníes han tratado de conectarse a cámaras para analizar qué sucedió y dónde impactaron sus misiles, buscando mejorar su precisión."

Auge del hacktivismo y amenazas de escalamiento

La empresa de ciberseguridad Radware ha reportado que casi el 40% de toda la actividad de DDoS hacktivista en el mundo se ha dirigido contra Israel desde el inicio del conflicto. El grupo DieNet incluso ha amenazado con lanzar ataques contra Estados Unidos si interviene en el conflicto entre Irán e Israel. Estos mensajes han sido amplificados por otros colectivos como Arabian Ghosts, Sylhet Gang y Team Fearless, lo que sugiere una potencial colaboración entre actores hacktivistas pro-Irán en el ciberespacio.

Según Pascal Geenens, director de inteligencia de amenazas de Radware:

Citar"Las señales de advertencia son claras. La infraestructura crítica, las cadenas de suministro y las empresas globales podrían convertirse en víctimas colaterales si el fuego cruzado digital se intensifica."

Este contexto refuerza la creciente preocupación sobre la posibilidad de un conflicto regional que combine ataques convencionales con operaciones cibernéticas avanzadas. El conflicto entre Israel e Irán ya no se libra solo en los campos de batalla tradicionales, sino también en servidores, redes y sistemas digitales.

Análisis de CloudSEK: ventaja ofensiva pro-Irán

En un reciente informe de la firma CloudSEK, se identificaron más de 35 grupos hacktivistas pro-Irán que han lanzado ataques coordinados contra la infraestructura israelí. En contraste, se documentaron menos de seis grupos pro-Israel que han llevado a cabo actividades similares. Las ofensivas han incluido ataques DDoS, desfiguraciones de sitios web y presuntas filtraciones de datos de sitios gubernamentales, militares e infraestructuras críticas.

El investigador Pagilla Manohar Reddy señaló que muchos de estos ataques presentan un patrón de exageración mediática y desinformación, lo que forma parte de una estrategia para manipular la percepción pública más que causar un impacto técnico profundo.

Citar"Los grupos suelen atribuirse interrupciones no relacionadas, reciclan filtraciones antiguas y exageran daños para obtener cobertura mediática."

Una guerra híbrida que redefine los conflictos modernos

La combinación de hackeos a medios de comunicación estatales, plataformas financieras y dispositivos de vigilancia refleja un nuevo modelo de guerra híbrida, donde los actores estatales y no estatales libran sus batallas tanto en el ciberespacio como en el terreno.

A medida que el conflicto entre Irán e Israel escala, las empresas, gobiernos y ciudadanos deben reforzar sus defensas digitales. La ciberseguridad ya no es solo un asunto técnico, sino una cuestión de geopolítica global.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Veeam, proveedor líder de soluciones de respaldo y recuperación, ha lanzado actualizaciones de seguridad para abordar una grave vulnerabilidad de ejecución remota de código (RCE) en su software de Backup & Replication. El fallo de seguridad, identificado como CVE-2025-23121, ha sido calificado con una puntuación CVSS de 9.9, lo que lo convierte en una amenaza crítica para entornos empresariales.

Esta vulnerabilidad permite que un usuario de dominio autenticado ejecute código arbitrario de forma remota en el servidor de respaldo, lo que puede comprometer completamente la integridad del entorno afectado.

Detalles de la vulnerabilidad CVE-2025-23121 en Veeam Backup & Replication

El fallo de seguridad afecta a todas las versiones anteriores a Veeam Backup & Replication 12.3.2 (compilación 12.3.2.3617), incluida la versión 12.3.1.1139. El problema fue descubierto por investigadores de seguridad de CODE WHITE GmbH y watchTowr, quienes notificaron a la empresa para facilitar la corrección.

El aviso oficial de Veeam describe la vulnerabilidad como una RCE que puede ser explotada por un atacante con credenciales válidas en el dominio, lo cual pone en riesgo la confidencialidad, disponibilidad e integridad de los datos respaldados.

Actualización clave: parche y versiones afectadas

Veeam recomienda a todos sus usuarios empresariales actualizar de inmediato a la versión 12.3.2 (compilación 12.3.2.3617) para mitigar el riesgo asociado a CVE-2025-23121. Esta actualización no solo soluciona esta vulnerabilidad crítica, sino que también refuerza otras áreas del producto afectadas por fallos adicionales:

• CVE-2025-23120: Otra RCE con CVSS 9.9, que podría eludirse incluso después del parche inicial, según advertencias previas de CODE WHITE.
• CVE-2025-24286: Vulnerabilidad con una puntuación CVSS de 7.2 que permite a un usuario con rol de operador de backup modificar tareas de respaldo y ejecutar código arbitrario.
• CVE-2025-24287: Fallo en Veeam Agent para Microsoft Windows (CVSS 6.1) que permite a usuarios locales modificar contenido en el sistema y escalar privilegios.

Este último problema ha sido resuelto en Veeam Agent versión 6.3.2 (compilación 6.3.2.1205).

Seguridad en Veeam: una prioridad creciente ante ataques dirigidos

La empresa de ciberseguridad Rapid7 ha indicado que más del 20% de sus incidentes de respuesta durante 2024 involucraron la explotación de vulnerabilidades en Veeam, una vez que los atacantes habían comprometido el perímetro inicial. Esto evidencia que los productos de respaldo como Veeam se han convertido en objetivos prioritarios dentro de las campañas de ataque de ransomware, exfiltración de datos y movimientos laterales dentro de redes empresariales.

Recomendaciones para usuarios de Veeam

Debido a la severidad de las vulnerabilidades descubiertas, se recomienda a los usuarios de Veeam tomar las siguientes acciones inmediatas:

• Actualizar a la versión 12.3.2 de Veeam Backup & Replication.
• Aplicar los parches correspondientes para Veeam Agent para Microsoft Windows.
• Restringir el acceso al servidor de respaldo a usuarios estrictamente necesarios.
• Monitorear los logs del sistema en busca de actividades sospechosas.
• Implementar políticas de segmentación de red y autenticación multifactor.

La explotación de fallos en software de respaldo como Veeam no solo pone en riesgo los datos, sino también la capacidad de recuperación ante ataques de ransomware, haciendo que una falla de este tipo tenga implicaciones devastadoras para la continuidad del negocio.

Veeam y el reto de la ciberseguridad en infraestructuras de respaldo

La aparición de vulnerabilidades críticas como CVE-2025-23121 subraya la importancia de mantener actualizados los sistemas de respaldo y adoptar un enfoque de seguridad proactivo. Veeam ha respondido con rapidez mediante el lanzamiento de parches, pero la responsabilidad de proteger el entorno recae también en los administradores de sistemas y equipos de TI.

En un contexto donde los atacantes priorizan la infiltración en herramientas de backup para inhibir la recuperación ante incidentes, ignorar estas actualizaciones puede tener consecuencias irreparables.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La comunidad de ciberseguridad ha identificado a un nuevo y sofisticado actor de amenazas conocido como Water Curse, que emplea repositorios maliciosos de GitHub como plataforma de distribución de malware de múltiples etapas. Este grupo se destaca por su capacidad técnica, su enfoque en el robo de credenciales y su capacidad para mantener la persistencia en los sistemas comprometidos.

Según un informe publicado por Trend Micro, Water Curse ha montado una campaña activa y sostenida, en la que cargas útiles maliciosas están ocultas en herramientas de pruebas de penetración aparentemente legítimas. Estas cargas se camuflan en archivos de configuración de proyectos de Visual Studio, y entregan malware como SMTP Email Bomber y Sakura-RAT.

GitHub como vector para ataques a la cadena de suministro

Uno de los aspectos más preocupantes de esta campaña es el abuso de repositorios públicos de GitHub para alojar código malicioso, disfrazado como herramientas para desarrolladores. Este enfoque representa una amenaza directa para la cadena de suministro de software, ya que las víctimas potenciales tienden a confiar en plataformas reconocidas como GitHub para descargar utilidades.

Los investigadores han detectado hasta 76 cuentas de GitHub vinculadas directamente con esta operación, lo que sugiere una estrategia bien organizada y de gran escala. Además, se ha determinado que la campaña podría haber estado activa desde marzo de 2023, utilizando múltiples lenguajes de programación y una amplia gama de herramientas ofensivas.

Técnicas avanzadas: ofuscación, persistencia y evasión

Scripts ofuscados y reconocimiento del sistema

Water Curse emplea complejas cadenas de infección por etapas, iniciadas por scripts altamente ofuscados en Visual Basic Script (VBS) y PowerShell. Estos scripts descargan archivos cifrados, extraen aplicaciones desarrolladas en Electron, y realizan un minucioso reconocimiento del sistema para maximizar el impacto del ataque.

Persistencia y debilitamiento de defensas

Además, los atacantes utilizan técnicas de evasión como:

• Antidepuración
• Escalada de privilegios
• Modificación de configuraciones del sistema
• Desactivación de herramientas de defensa mediante PowerShell

Estas técnicas permiten a Water Curse mantener la persistencia a largo plazo y dificultar significativamente la remediación por parte de los equipos de seguridad.

Motivación financiera y segmentación multivertical

Water Curse no es un actor motivado políticamente; su objetivo principal es la monetización del acceso ilícito. Esto incluye:

• Robo de credenciales
• Secuestro de sesiones
• Reventa de accesos comprometidos

Los repositorios vinculados a esta operación también incluyen trucos para videojuegos, bots de spam, herramientas OSINT, ladrones de wallets de criptomonedas y otros recursos con alto valor en el mercado negro, lo que refuerza su enfoque multivertical.

La infraestructura del grupo muestra un alto grado de automatización y escalabilidad, con exfiltración activa de datos a través de plataformas como Telegram y servicios públicos de intercambio de archivos.

ClickFix y la expansión del malware basado en infraestructura legítima

En paralelo a la operación de Water Curse, se han observado campañas que utilizan la táctica de ClickFix, desplegando familias de malware como AsyncRAT, DeerStealer, SectopRAT y LightPerlGirl mediante el cargador Hijack Loader.

Estos ataques aprovechan túneles temporales proporcionados por Cloudflare para entregar las cargas útiles desde dominios efímeros y no registrados. Esta técnica permite a los atacantes eludir defensas perimetrales al parecer tráfico legítimo dentro de flujos de trabajo de DevOps o mantenimiento de TI.

Sorillus RAT: ataques recientes contra Europa

En Europa, una campaña maliciosa ha tenido como objetivo a organizaciones en países como España, Portugal, Italia, Francia, Bélgica y los Países Bajos, utilizando correos electrónicos de phishing con señuelos de facturación que conducen a la instalación de Sorillus RAT, también conocido como Ratty RAT.

Este troyano de acceso remoto, basado en Java y multiplataforma, es capaz de:

• Exfiltrar datos sensibles
• Registrar pulsaciones de teclas
• Tomar capturas de pantalla y grabar audio
• Descargar y subir archivos
• Ejecutar comandos arbitrarios

La infección comienza con un archivo adjunto PDF que contiene un enlace de OneDrive. Al hacer clic en "Abrir el documento", la víctima es redirigida a un sistema de distribución de tráfico (TDS) que evalúa la solicitud y, si cumple con los criterios, entrega un archivo JAR malicioso.

Según Orange Cyberdefense, este ataque también ha distribuido el malware SambaSpy, que forma parte de la familia de Sorillus RAT, y utiliza servicios legítimos como MediaFire, Ngrok y LocaltoNet para eludir detecciones.

CEl nuevo rostro del malware en la era de la confianza digital

La campaña de Water Curse y otras operaciones similares revelan una tendencia preocupante en el mundo de la ciberseguridad: la explotación de plataformas legítimas como GitHub, Cloudflare y OneDrive para llevar a cabo ataques a gran escala.

Estas amenazas no solo desafían las capacidades de las herramientas tradicionales de defensa, sino que también requieren un cambio estratégico hacia la detección proactiva, el monitoreo de comportamiento y la verificación contextual de fuentes confiables. En este nuevo panorama, la confianza no puede asumirse: debe verificarse continuamente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El phishing sigue siendo una de las amenazas más persistentes en el panorama de la ciberseguridad moderna. No se trata de una falta de evolución por parte de los defensores, sino de la rapidez con la que los ciberdelincuentes se adaptan a los entornos tecnológicos. Hoy, el phishing de hora cero representa una forma avanzada de engaño digital, donde los atacantes no solo se apoyan en correos falsos o dominios sospechosos, sino que explotan la confianza depositada en herramientas y plataformas legítimas utilizadas a diario.

¿Qué es el phishing de ChainLink?

De los correos falsos a las secuencias encadenadas

Mientras que el phishing tradicional se basaba en señales claras como URLs dudosas o remitentes desconocidos, el phishing moderno ha evolucionado hacia técnicas más sutiles y efectivas. Una de ellas es el phishing de ChainLink, donde los atacantes orquestan una cadena de pasos cuidadosamente diseñada que lleva a la víctima desde un correo aparentemente legítimo a un sitio de phishing camuflado, utilizando dominios y servicios de confianza como Google Drive, Dropbox o plataformas de recursos empresariales.

En esta cadena:

• El usuario recibe un enlace legítimo.
• Al hacer clic, es redirigido gradualmente a través de servicios reconocidos.
• Finalmente, se le presenta un formulario falso donde entrega sus credenciales sin sospechar.

¿Por qué es tan efectivo el phishing moderno?

El navegador: el nuevo campo de batalla

El navegador web se ha convertido en el núcleo de la actividad digital empresarial. Desde revisiones de código hasta tareas administrativas, la mayoría de las acciones del día a día suceden en pestañas del navegador. Esta centralización ofrece una superficie de ataque ideal para los actores maliciosos.

Incluso los empleados con mayor conciencia en ciberseguridad pueden caer en la trampa cuando interactúan con interfaces familiares y dominios legítimos. Los atacantes aprovechan esta confianza e insertan elementos como CAPTCHA reales, enlaces firmados y verificaciones de autenticidad, haciendo que los intentos de phishing pasen desapercibidos.

Ingeniería social en el navegador


Exploiting lo cotidiano

Los CAPTCHA, las páginas de inicio de sesión y las redirecciones seguras se han vuelto tan comunes que los atacantes los usan como herramientas de ingeniería social. Esto no solo ocurre en campañas de phishing, sino también en amenazas emergentes como ClickFix, una técnica basada en engañar al usuario para ejecutar acciones maliciosas desde el navegador.

Este fenómeno evidencia un hecho alarmante: lo "conocido" ya no es sinónimo de seguro. Las plataformas y dominios confiables ahora funcionan como vehículo para ejecutar ataques invisibles ante los ojos de las soluciones de seguridad convencionales.

¿Por qué las soluciones tradicionales fallan frente al phishing de hora cero?

Las herramientas de seguridad no lo ven venir

Aunque muchas organizaciones cuentan con defensas en capas como:

• Pasarelas de correo electrónico seguras (SEG)
• Filtrado DNS
• Puertas de enlace web seguras (SWG)
• Sistemas EDR y antivirus
• Protecciones del navegador

...la mayoría sigue siendo vulnerable al phishing basado en dominios confiables.

Esto se debe a que las soluciones tradicionales están diseñadas para identificar comportamientos maliciosos conocidos. En el phishing de hora cero, no hay malware que detectar. Solo hay formularios de recolección de credenciales cuidadosamente ocultos, alojados en dominios legítimos. Como resultado, las herramientas de seguridad del endpoint no marcan ninguna alerta.

Cómo defenderse del phishing de ChainLink

Llevar la seguridad al navegador

La clave para contrarrestar estas amenazas sofisticadas está en trasladar la seguridad al punto de interacción real: el navegador. Las organizaciones deben adoptar herramientas capaces de realizar análisis en tiempo real de las páginas web, supervisar el comportamiento del usuario y detectar secuencias encadenadas de phishing antes de que se produzca la filtración de datos.

Además:

• Implementa soluciones de protección del navegador que analicen el contenido renderizado.
• Supervisa interacciones en tiempo real y comportamiento contextual del usuario.
• Educa a los empleados sobre los nuevos vectores de ataque que ya no presentan "banderas rojas" evidentes.
• Considera tecnologías que identifican y bloquean formularios de recolección sospechosos, incluso en dominios conocidos.

Detener el phishing en su raíz


Los ataques de phishing de ChainLink representan un nuevo nivel de sofisticación, aprovechando la infraestructura confiable para sortear filtros y soluciones de seguridad. Para combatir estas amenazas modernas, es necesario abandonar el enfoque perimetral clásico y actuar directamente donde se manifiesta el riesgo: en el navegador y durante las interacciones del usuario.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una campaña de malware a gran escala dirigida a jugadores de Minecraft ha sido descubierta recientemente, afectando a miles de usuarios que descargan mods y trucos infectados para este popular videojuego. La operación utiliza ladrones de información (infostealers) diseñados para robar credenciales, tokens de autenticación, y billeteras de criptomonedas en sistemas Windows.

La amenaza fue identificada por investigadores de Check Point Research, quienes atribuyen la campaña al grupo conocido como Stargazers Ghost Network, una red activa desde 2023 que emplea tácticas de distribución como servicio (Distribution-as-a-Service, DaaS) para propagar su malware utilizando plataformas legítimas como GitHub y Pastebin.

Stargazers Ghost Network: malware oculto en mods de Minecraft

Ecosistema de modding como vector de ataque

La campaña aprovecha el vasto ecosistema de modding de Minecraft, un entorno ideal para infiltrar malware a través de archivos aparentemente inofensivos. Según Check Point, los actores maliciosos utilizan repositorios de GitHub disfrazados de mods populares como Skyblock Extras, Polar Client, FunnyMap, Oringo y Taunahi. En total, se han identificado aproximadamente 500 repositorios, muchos de ellos bifurcados o clonados, que forman parte de esta operación.

Check Point también ha detectado más de 700 "estrellas" en GitHub generadas por unas 70 cuentas falsas, lo que indica un esfuerzo coordinado para dar legitimidad a estos proyectos maliciosos.

Técnicas avanzadas para eludir detección

Malware basado en Java y Godot

El malware se presenta en múltiples etapas. La infección inicial comienza cuando el jugador ejecuta un archivo JAR malicioso dentro de Minecraft, lo que desencadena la descarga de una segunda etapa desde Pastebin, utilizando URLs codificadas en Base64. Esta segunda etapa incluye un ladrón de información basado en Java, que apunta a:

• Tokens de cuentas de Minecraft
• Datos de lanzadores como Lunar, Feather y Essential
• Tokens de Discord y Telegram

Los datos robados se transmiten a través de solicitudes HTTP POST al servidor del atacante.

44 CALIBER: ladrón de información .NET

Una vez ejecutado, el ladrón de Java también actúa como cargador para un segundo malware conocido como 44 CALIBER, un ladrón .NET más tradicional que roba:

• Credenciales de navegadores (Chromium, Edge, Firefox)
• Documentos personales y archivos del sistema
• Billeteras de criptomonedas (BitcoinCore, Monero, Ethereum, Zcash, entre otras)
• Cuentas de VPN (ProtonVPN, NordVPN, OpenVPN)
• Información de aplicaciones como Steam, Discord, FileZilla y Telegram

Este malware también captura información del sistema, datos del portapapeles y realiza capturas de pantalla, lo que representa una amenaza crítica para la privacidad y seguridad del usuario.

Origen y señales de compromiso (IoC)

Los investigadores destacan que los webhooks de exfiltración usan Discord y contienen comentarios en ruso, junto con marcas de tiempo UTC+3, lo que apunta a que los operadores podrían tener origen en Europa del Este, posiblemente Rusia.

Check Point ha compartido una lista completa de indicadores de compromiso (IoC) al final de su informe técnico, con el fin de ayudar a administradores y expertos en ciberseguridad a identificar y mitigar esta amenaza.

Recomendaciones para protegerse del malware en Minecraft

Para evitar ser víctima de esta y otras campañas similares, se recomienda a los jugadores de Minecraft tomar las siguientes precauciones:

• Descargar mods únicamente de plataformas de confianza y comunidades oficiales.
• Verificar que los proyectos en GitHub tengan un historial legítimo de confirmaciones, colaboradores activos y una comunidad real.
• Evitar mods compartidos por usuarios desconocidos o repositorios con poca o ninguna actividad reciente.
• Utilizar cuentas de Minecraft secundarias o "desechables" al probar mods desconocidos.
• Contar con una solución de seguridad endpoint actualizada que pueda detectar cargas maliciosas.

En fin, la campaña dirigida por Stargazers Ghost Network pone en evidencia cómo plataformas legítimas como GitHub y Pastebin pueden ser utilizadas para distribuir software malicioso a través de archivos que aparentan ser herramientas útiles para la comunidad gamer. En el caso de Minecraft, cuya base de usuarios incluye una gran cantidad de menores de edad y entusiastas del modding, los riesgos son aún más altos.

La concienciación en ciberseguridad, combinada con buenas prácticas de higiene digital, sigue siendo la primera línea de defensa contra estas campañas que buscan explotar la confianza de los usuarios en entornos populares.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El Ministerio de Digitalización de Dinamarca ha anunciado un ambicioso plan para sustituir gradualmente las soluciones de Microsoft por software libre, principalmente Linux y LibreOffice, a partir de 2025. Este paso marca un hito en la estrategia tecnológica del país y forma parte de un esfuerzo nacional por reducir la dependencia tecnológica de empresas estadounidenses, optimizar los costes y reforzar la soberanía digital.

Una transición histórica hacia el código abierto

La migración tiene como objetivo reemplazar herramientas como Office 365 y Windows por alternativas de código abierto que permitan un mayor control sobre los datos y los sistemas utilizados por la administración pública. Dinamarca se une así a una creciente tendencia europea en favor del software de código abierto, ya observada en países como Alemania, Francia y España.

La ministra de Digitalización, Caroline Stage Olsen, confirmó que más de la mitad del personal del ministerio comenzará a trabajar con entornos Linux y LibreOffice en los próximos meses. La intención es que toda la plantilla haya completado la transición antes de finalizar el año.

Este movimiento no solo implica un cambio de herramientas, sino también una transformación profunda en la cultura digital del sector público danés, con énfasis en el uso de soluciones abiertas, seguras y menos dependientes de terceros.

Motivos de la migración: soberanía digital, seguridad y ahorro

Las razones detrás de esta decisión son múltiples. En primer lugar, el gobierno danés busca reducir la dependencia tecnológica de proveedores extranjeros, especialmente de Estados Unidos, en un contexto de creciente preocupación por la seguridad de los datos públicos y la exposición a riesgos derivados del dominio de grandes corporaciones tecnológicas.

En segundo lugar, el uso de software libre supone una reducción significativa de los costes de licenciamiento, lo que permite optimizar el gasto público. Además, el código abierto ofrece una mayor transparencia y auditabilidad, facilitando el cumplimiento de normativas de protección de datos y seguridad informática.

Proceso gradual y con margen de reversibilidad

La ministra Olsen ha subrayado que se trata de un proceso planificado y progresivo, con posibilidad de ajuste en función de los resultados. La primera etapa incluye a la mitad del personal del ministerio, y si no se presentan obstáculos insalvables, la migración continuará hasta completarse.

En caso de dificultades técnicas que afecten el trabajo diario, se contempla un retorno temporal a las soluciones de Microsoft, mientras se buscan nuevas alternativas. Sin embargo, Olsen ha recalcado que el compromiso es firme: "No avanzaremos hacia nuestro objetivo si no empezamos".

Copenhague y Aarhus también abandonan Microsoft

La decisión del Ministerio de Digitalización no es aislada. Las dos principales ciudades del país, Copenhague y Aarhus, han comenzado sus propios procesos de migración lejos de las tecnologías de Microsoft. Ambas municipalidades citan razones similares: costes elevados, preocupaciones de privacidad de datos y la necesidad de recuperar el control tecnológico.

Este enfoque refuerza la visión nacional de que la digitalización debe estar al servicio de los ciudadanos y no sujeta a los intereses de empresas extranjeras.

Una tendencia europea en crecimiento

El caso danés se suma a una tendencia en expansión dentro de la Unión Europea, donde diversos gobiernos buscan reemplazar soluciones propietarias por alternativas abiertas y locales. Un ejemplo relevante es el del estado federado de Schleswig-Holstein en Alemania, que también ha decidido migrar completamente a Linux y software libre.

La Comisión Europea, por su parte, ha manifestado su interés en promover infraestructuras digitales soberanas y debatir legislaciones que limiten la dependencia de proveedores tecnológicos dominantes, especialmente en áreas críticas como la nube y la inteligencia artificial.

Retos de la migración: formación y adaptación cultural

El camino hacia el software libre no está exento de desafíos. Expertos en transformación digital señalan que el éxito dependerá en gran medida de la formación adecuada del personal y de la existencia de competencias técnicas internas capaces de gestionar, mantener y evolucionar las nuevas herramientas.

Desde el gobierno danés se insiste en que no se trata de "dar la espalda" a la innovación ni a la colaboración internacional, sino de garantizar que el país nunca más dependa de unos pocos proveedores para operar su administración pública.

Un modelo a seguir para la soberanía digital

La apuesta de Dinamarca por abandonar Microsoft y adoptar software libre como LibreOffice y Linux es un paso firme hacia la autonomía tecnológica. A través de esta decisión, el país no solo busca proteger sus datos y optimizar recursos, sino también convertirse en un referente para otros estados europeos que desean fortalecer su infraestructura digital nacional.

En un entorno global cada vez más interconectado y con riesgos crecientes en ciberseguridad y privacidad, la migración hacia tecnologías abiertas y controladas localmente se presenta como una opción estratégica para garantizar el futuro digital de los gobiernos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Expertos en ciberseguridad de SafeDep y Veracode han identificado varios paquetes npm maliciosos diseñados para ejecución remota de código (RCE) y descarga de cargas útiles adicionales. Estos paquetes fueron eliminados del repositorio npm tras cientos de descargas.

Paquetes npm infectados

• eslint-config-airbnb-compat (676 descargas)
• ts-runtime-compat-check (1 588 descargas)
• solders (983 descargas)
• @mediawave/lib (386 descargas)

Aunque los paquetes ya se eliminaron, existe riesgo para desarrolladores que los hayan instalado recientemente.

Detalles técnicos: RCE multi-etapa
SafeDep detectó que eslint-config-airbnb-compat incluye ts-runtime-compat-check como dependencia. Esta se conecta a proxy.eslint-proxy[.]site para descargar y ejecutar cadenas codificadas en Base64. El investigador Kunal Singh advierte:

Citar"Implementa un ataque de ejecución remota de código de múltiples etapas utilizando una dependencia transitiva para ocultar el código malicioso."

Por otro lado, Veracode identificó que el paquete solders incorpora un script post‑install que ejecuta código malicioso al instalarse. El análisis revela una ofuscación compleja usando caracteres Unicode japoneses, generando dinámicamente código malintencionado.

El script detecta Windows y ejecuta PowerShell para descargar una segunda etapa desde firewall[.]tel, que luego configura exclusiones en Windows Defender. Posteriormente, un batch descarga una DLL .NET oculta como imagen PNG desde i.ibb[.]co. Esta DLL extrae datos de la imagen y carga en memoria una variante de Pulsar RAT—a través de manipulación sofisticada del scheduler y UAC (FodHelper.exe). Veracode concluye que:

Citar"Desde una pared de caracteres japoneses hasta una RAT oculta dentro de los píxeles de un archivo PNG, el atacante hizo todo lo posible para ocultar su carga útil..."

Malware criptográfico en npm: credenciales, cryptojacking y clippers

El informe de Socket revela amenazas específicas para el ecosistema Web3 y blockchain, incluyendo:

• express-dompurify, pumptoolforvolumeandcomment: robadores de credenciales y claves de billetera.
• BS58JS: drena fondos de criptobilleteras via transferencias encadenadas.
• lsjglsjdv, asyncaiosignal, raydium-sdk-liquidity-init: clippers que sustituyen direcciones copiadas con las controladas por atacantes.

El investigador Kirill Boychenko resalta que:

Citar"Los actores de amenazas motivados financieramente y los grupos patrocinados por el estado están evolucionando sus tácticas para explotar las debilidades sistémicas en la cadena de suministro de software."

El riesgo del slopsquatting y la IA en el desarrollo

La adopción de codificación asistida por IA ha dado paso al slopsquatting, donde los LLM "alucinan" nombres de dependencias que pueden ser tomados por atacantes. Trend Micro detectó un ejemplo:

Paquete de prueba starlette-reverse-proxy en Python, creado para causar un error de "módulo no encontrado". Un atacante podría subir ese nombre y explotar la confianza del desarrollador. Según Sean Park:

Citar"Si un adversario sube un paquete con el mismo nombre en el repositorio, puede tener graves consecuencias de seguridad."

Aunque herramientas como Claude Code CLI e OpenAI Codex CLI reducen las sugerencias fantasmas, advierte que no eliminan totalmente el riesgo.

Ejercicio de red teaming en PyPI: 'chimera‑sandbox‑extensions'

En PyPI se publicó el paquete chimera-sandbox-extensions, con 143 descargas, apuntando a usuarios de Chimera Sandbox. Investigadores de JFrog detectaron que el paquete robaba credenciales, variables CI/CD, tokens AWS, configuración JAMF y más, mediante un DGA (dominio generado dinámicamente).

CitarSegún Guy Korolevski de JFrog:

"El enfoque dirigido empleado por este malware... lo distingue de las amenazas de malware de código abierto más genéricas..."

Tras comunicarse con Grab, la empresa confirmó que se trataba de un ejercicio interno de red teaming, sin intención maliciosa ni ejecución fuera de sistemas controlados.

Fortalece tu cadena de suministro de código

• Audita dependencias npm/PyPI con herramientas como npm-audit y pip-audit.
• Evita paquetes ofuscados o con nombres sospechosos; verifica reputación y descargas.
• Monitoriza vínculos en tiempo de instalación (post‑install).
• Limita permisos en scripts de instalación, especialmente PowerShell en Windows.
• Adopta mecanismos anti-slopsquatting: validaciones manuales y bloqueos de nombres fantasiosos.
• Ejercicios de red teaming controlado, como el caso de chimera-sandbox-extensions, son útiles, atendiendo la comunicación responsable.

La seguridad en la cadena de suministro de software es clave: revisa dependencias, emplea escáneres, controla scripts de instalación y mantente alerta ante amenazas avanzadas de la comunidad open‑source.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La esperada versión Kali Linux 2025.2 ya está disponible para su descarga. Esta es la segunda gran actualización del año de la popular distribución enfocada en ciberseguridad, hacking ético y pruebas de penetración, y viene cargada con novedades, incluyendo 13 nuevas herramientas de seguridad, mejoras en NetHunter, una interfaz de usuario optimizada y un kit ampliado para hacking de automóviles.

Kali Linux es mantenida por Offensive Security y es una de las distribuciones Linux más utilizadas por profesionales de la seguridad informática, investigadores de redes y equipos de pentesting en todo el mundo.

Principales novedades de Kali Linux 2025.2

La nueva versión introduce varios cambios importantes tanto en funcionalidades como en experiencia de usuario. A continuación, te mostramos un resumen de las principales mejoras:

1. Kit de hacking de automóviles actualizado: CARsenal

Una de las actualizaciones más destacadas en Kali Linux 2025.2 es la renovación del kit de herramientas para piratería de vehículos, que ahora se llama CARsenal. Este conjunto de utilidades especializadas permite realizar pruebas de seguridad en automóviles modernos. Anteriormente conocido como CAN Arsenal, este kit no solo ha sido renombrado, sino también mejorado en cuanto a interfaz y funcionalidades.

Herramientas nuevas incluidas en CARsenal:

• hlcand: Versión modificada de Slcand para trabajar con ELM327.
• VIN Info: Herramienta para decodificar identificadores de vehículos.
• CaringCaribou: Proporciona módulos como Listener, Dump, Fuzzer, UDS y XCP.
• ICSim: Un simulador potente para probar CARsenal sin hardware físico, usando VCAN.

2. Interfaz renovada y menú Kali reorganizado

Kali Linux 2025.2 presenta una reorganización completa del menú principal, ahora alineado con el marco MITRE ATT&CK, lo que mejora la accesibilidad de herramientas para los equipos rojo (ataque) y azul (defensa). Esta estructura reemplaza al antiguo sistema heredado de BackTrack y WHAX, que carecía de escalabilidad y lógica de organización.

Además, la interfaz gráfica ha sido refinada con una mejor experiencia visual, incluyendo nuevos temas, iconografía moderna y una mejor integración con GNOME 48, que ofrece mejoras en notificaciones, rendimiento y compatibilidad con HDR.

En cuanto a KDE Plasma, la versión incluida ahora es la 6.3, que introduce:

• Mejoras en el escalado fraccional.
• Colores más precisos con Night Light.
• Un monitor del sistema más detallado.
• Mejor rendimiento en la gestión de CPU y batería.

El visor de documentos Evince ha sido reemplazado por la aplicación Papers, y se han añadido herramientas de bienestar digital para preservar la salud de la batería.

3. Nuevas herramientas de ciberseguridad incorporadas

Kali Linux 2025.2 añade 13 herramientas nuevas orientadas al análisis forense, pruebas de penetración, fuzzing, OSINT y más:

• azurehound: Recolector de datos para BloodHound en entornos Azure.
• binwalk3: Análisis avanzado de firmware.
• bloodhound-ce-python: Ingestor para BloodHound CE.
• bopscrk: Generador de diccionarios inteligentes.
• crlfuzz: Escáner rápido de vulnerabilidad CRLF.
• donut-shellcode: Ejecuta shellcode desde la memoria.
• gitxray: OSINT sobre repositorios GitHub.
• ldeep: Enumerador LDAP.
• rubeus: Herramienta para abusar de Kerberos.
• tinja: Verificador de inyecciones de plantillas.
• Y más herramientas listas para pruebas avanzadas.

4. Kali NetHunter con mejoras clave

Kali NetHunter, la plataforma de pruebas de penetración móvil para dispositivos Android, también ha recibido mejoras notables. Entre ellas:

• Soporte para inyección inalámbrica y ataques de desautenticación.
• Captura de protocolo WPA2 en el TicWatch Pro 3, el primer reloj inteligente soportado.
• Nuevas compilaciones de kernel para dispositivos como:
• Xiaomi Redmi 4/4X (A13)
• Xiaomi Redmi Note 11 (A15)
• Realme C15 (A10)
• Samsung Galaxy S10 y S9 (A13–A15)

Además, se ha presentado un adelanto de Kali NetHunter KeX en Android Auto, permitiendo sesiones gráficas completas en unidades principales de automóvil.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las cuentas de correo electrónico de varios periodistas del prestigioso diario The Washington Post fueron comprometidas en un ciberataque dirigido, que se presume fue orquestado por un actor estatal extranjero. Este incidente refuerza las crecientes preocupaciones sobre la ciberseguridad de medios de comunicación y el uso de plataformas como Microsoft Exchange en contextos geopolíticamente sensibles.

Ataque dirigido y notificación interna

El ataque fue detectado el jueves por la noche, y el periódico lanzó de inmediato una investigación para contener y mitigar el impacto del incidente. El domingo 15 de junio, la redacción del medio recibió un memorándum interno informando sobre una posible "intrusión no autorizada" en su sistema de correo electrónico corporativo.

De acuerdo con The Wall Street Journal, el memorándum fue firmado por Matt Murray, editor ejecutivo del Washington Post, e indicaba que el ataque había comprometido cuentas de Microsoft pertenecientes a un número limitado de periodistas. Aunque los detalles técnicos aún no han sido divulgados públicamente, la empresa de medios está trabajando con expertos en ciberseguridad para investigar el alcance total del ataque.

Objetivo: periodistas especializados en temas estratégicos

Fuentes cercanas al caso informaron que los principales afectados fueron periodistas que cubren temas críticos como la seguridad nacional, la política económica y la relación bilateral con China. Esto ha llevado a analistas a sospechar de la posible implicación de actores patrocinados por el Estado, comúnmente conocidos como amenazas persistentes avanzadas (APT, por sus siglas en inglés).

El Washington Post, propiedad del fundador de Amazon, Jeff Bezos, es uno de los medios de comunicación más influyentes en los Estados Unidos y a nivel global, lo que lo convierte en un blanco atractivo para campañas de ciberespionaje.

Microsoft Exchange: el blanco recurrente de ciberataques

Los actores APT, en particular aquellos asociados con intereses estatales chinos, tienen un largo historial de explotación de vulnerabilidades en Microsoft Exchange, una plataforma ampliamente utilizada por organizaciones de todo el mundo para la gestión de correos electrónicos y calendarios.

En 2023, Microsoft advirtió sobre la explotación activa de una vulnerabilidad crítica de elevación de privilegios en Exchange utilizada como día cero para ejecutar ataques de retransmisión NTLM (NT LAN Manager). Estos ataques permiten a los ciberdelincuentes escalar privilegios dentro de una red y acceder a información sensible.

Años atrás, hackers chinos utilizaron fallos de seguridad en endpoints de Exchange para acceder a correos electrónicos de al menos dos docenas de agencias gubernamentales alrededor del mundo. Estas campañas, altamente sofisticadas, resultaron en la sustracción de datos extremadamente sensibles.

Historial de ciberespionaje vinculado a grupos APT chinos

La empresa de ciberseguridad ESET documentó en 2021 cómo varios grupos APT vinculados con intereses chinos —incluidos APT27, Bronze Butler y Calypso— explotaron múltiples vulnerabilidades de día cero en Microsoft Exchange. Estos ataques, meticulosamente organizados, tenían como objetivo principal recolectar inteligencia sobre organismos gubernamentales, entidades diplomáticas y medios de comunicación estratégicos.

En 2020, se registraron ciberataques contra agencias gubernamentales estadounidenses y, en 2021, miembros de la OTAN también fueron blanco de estas amenazas. Estas acciones muestran una estrategia sostenida de penetración a través de software corporativo ampliamente desplegado, como lo es Microsoft Exchange.

El silencio del Washington Post y la preocupación en el sector

Hasta la fecha, el Washington Post no ha divulgado detalles técnicos adicionales sobre la brecha de seguridad ni ha confirmado la identidad de los posibles atacantes. Sin embargo, expertos en ciberseguridad señalan que esta clase de ataques encaja en el modus operandi de campañas de espionaje digital con motivaciones geopolíticas.

Este incidente ocurre en un contexto de tensiones crecientes entre Estados Unidos y China, especialmente en lo relacionado con la tecnología, la ciberseguridad y el control de la información. La intersección entre periodismo, seguridad informática y relaciones internacionales se vuelve cada vez más crítica, ya que los medios de comunicación representan una fuente clave de información sobre políticas públicas y decisiones estratégicas.

La prensa en la mira del ciberespionaje

El ataque cibernético contra los periodistas del Washington Post refuerza la necesidad urgente de fortalecer la seguridad digital en los medios de comunicación. La utilización de vulnerabilidades en plataformas como Microsoft Exchange para acceder a información sensible demuestra que los actores estatales continúan empleando tácticas sofisticadas para influir y espiar a través del ciberespacio.

Ante esta realidad, es crucial que las organizaciones periodísticas inviertan en soluciones avanzadas de ciberseguridad, realicen auditorías periódicas de sus sistemas y capaciten a su personal para enfrentar amenazas como el spear phishing, la explotación de vulnerabilidades y las intrusiones APT.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La firma de ciberseguridad Kaspersky ha emitido una alerta sobre múltiples tiendas en línea falsas que aparentan vender figuras coleccionables Labubu, diseñadas por el artista hongkonés Kasing Lung y comercializadas por la empresa Pop Mart. Estas páginas fraudulentas, disponibles en varios idiomas, buscan engañar a los compradores y robar su información personal y financiera.

Aprovechando la popularidad mundial de estos peluches estilo kawaii, especialmente tras el aumento de interés en abril de 2024 impulsado por celebridades, los estafadores ofrecen "ediciones especiales" y "ofertas irresistibles" para atraer a víctimas desprevenidas.

¿Por qué son tan deseadas las figuras Labubu?

Los Labubu son figuras coleccionables que se venden en cajas sorpresa, es decir, el comprador no sabe qué modelo obtendrá hasta abrir el empaque. Esta estrategia ha creado una comunidad global de fanáticos que buscan versiones raras o limitadas, algunas de las cuales alcanzan precios de reventa de hasta 3,000 dólares. En México, estas figuras se han viralizado entre coleccionistas jóvenes y amantes del estilo kawaii, elevando su demanda y atrayendo también a los ciberdelincuentes.

Cómo operan las tiendas falsas: diseño clon y precios engañosos

Los sitios fraudulentos detectados por Kaspersky replican cuidadosamente el diseño y branding de tiendas oficiales como Pop Mart, utilizando URLs sospechosas, descuentos excesivos y narrativas falsas para aparentar legitimidad.

Por ejemplo:

• Un sitio ofrecía figuras entre 30 y 79.99 dólares, incluyendo una historia ficticia sobre el origen del personaje.
• Otro portal en portugués anunciaba figuras "importadas desde Japón" por tan solo 47.90 reales brasileños.

Estas tácticas buscan inducir a los usuarios a ingresar datos de tarjetas de crédito, direcciones personales y otras credenciales sensibles.

Técnicas comunes en las estafas con figuras Labubu

Según María Isabel Manjarrez, investigadora de seguridad de Kaspersky, los estafadores emplean una combinación de técnicas para aumentar su efectividad:

• Diseño idéntico al sitio legítimo.
• Errores ortográficos leves y modificaciones sutiles en el dominio.
• Mensajes de urgencia, como "¡Últimas unidades disponibles!".
• Formas de pago riesgosas, como transferencias bancarias o criptomonedas.
• Precios absurdamente bajos que resultan demasiado buenos para ser ciertos.

Estas señales son fundamentales para detectar posibles fraudes.

Impacto regional: el phishing sigue creciendo en América Latina

El fraude con figuras Labubu no es un caso aislado. De acuerdo con el informe Panorama de Amenazas para América Latina de Kaspersky, en el último año se registraron más de 697 millones de ataques de phishing en la región, lo que equivale a 1,326 intentos por minuto. Una gran parte de estas campañas maliciosas se centra en el comercio electrónico, aprovechando el auge de las compras en línea.

Recomendaciones de seguridad para evitar caer en estafas

Para minimizar el riesgo de ser víctima de estas tiendas falsas, Kaspersky recomienda seguir estas buenas prácticas:

✅ Comprar solo en sitios oficiales como Pop Mart o distribuidores certificados.

✅ Verificar que la URL comience con https:// y que tenga el ícono de candado.

✅ Desconfiar de promociones o descuentos poco realistas.

✅ Evitar ingresar datos bancarios en sitios no verificados.

✅ Usar tarjetas virtuales o servicios como PayPal que ofrezcan protección al consumidor.

✅ Instalar soluciones de seguridad como Kaspersky Premium, que detectan sitios falsos, protegen aplicaciones bancarias y alertan sobre filtraciones de datos personales.

Kaspersky: la emoción de una "oferta imperdible" puede costarte caro
Según Carolina Mojica, gerente de producto para el consumidor de Kaspersky en América Latina:

Citar"Los ciberdelincuentes saben que la emoción de encontrar una 'oferta imperdible' puede hacer que bajemos la guardia. Por eso juegan con la urgencia y la apariencia de autenticidad".

Esta estrategia de ingeniería social es una de las más efectivas y peligrosas en el entorno digital actual, especialmente en contextos de alta demanda como el de las figuras Labubu.

La fiebre por Labubu es real, pero también los riesgos

El éxito de Labubu ha trascendido el mundo de los coleccionables para convertirse en un fenómeno cultural global. Sin embargo, este mismo auge ha sido aprovechado por delincuentes para ejecutar campañas de phishing y fraude digital.

Protegerse implica combinar sentido común, verificación de fuentes y el uso de herramientas de ciberseguridad confiables. No te dejes engañar por precios bajos o ediciones "exclusivas" en sitios no verificados. La próxima vez que busques tu figura Labubu favorita, asegúrate de que sea en un canal legítimo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

WestJet, la segunda aerolínea más grande de Canadá, ha confirmado que fue víctima de un ataque cibernético que afectó el acceso a varios sistemas internos, incluida su aplicación móvil y su sitio web. La compañía está trabajando activamente para contener la amenaza y restaurar completamente sus operaciones digitales.

En un comunicado oficial publicado en su sitio web, WestJet informó:

Citar"WestJet está al tanto de un incidente de ciberseguridad que involucra sistemas internos y la aplicación WestJet, lo cual ha restringido el acceso para varios usuarios."

Respuesta inmediata ante el incidente y colaboración con autoridades

La aerolínea canadiense ha activado a sus equipos de seguridad interna, además de estar colaborando con las autoridades federales. Entre los organismos involucrados se encuentran el Ministerio de Transporte de Canadá y agencias del orden público especializadas en delitos informáticos.

Citar"Hemos activado equipos internos especializados en cooperación con las fuerzas del orden y el Ministerio de Transporte de Canadá para investigar el asunto y limitar los impactos", declaró la empresa.

El objetivo inmediato de WestJet es mantener la seguridad operacional y proteger la información confidencial de sus clientes y empleados. En su aviso de seguridad, también ofrecieron disculpas a los pasajeros por las interrupciones sufridas durante el incidente.

Impacto en servicios digitales y restauración parcial

Durante el ataque cibernético, los usuarios no pudieron acceder a la aplicación móvil ni iniciar sesión en el sitio web oficial de la aerolínea. Estos servicios fueron restaurados horas después, aunque algunos sistemas internos y software clave aún enfrentan limitaciones.

Una actualización emitida la mañana del sábado señala que las operaciones de vuelos y logística siguen funcionando con normalidad y sin comprometer la seguridad. Sin embargo, algunos sistemas de soporte siguen sin acceso completo mientras continúan las tareas de investigación y contención.

¿Se trata de un ataque de ransomware?

Aunque WestJet no ha confirmado el tipo exacto de ciberataque, la naturaleza del incidente sugiere la posibilidad de un ataque de ransomware. La pérdida de acceso a sistemas internos podría deberse a una cifra de archivos maliciosa ejecutada por ciberdelincuentes, o a una desconexión preventiva implementada por la empresa para evitar la propagación de la amenaza.

Hasta el momento, no se ha hecho pública ninguna demanda de rescate, ni se ha confirmado la exfiltración de datos personales o financieros de clientes. La aerolínea tampoco ha revelado si el grupo detrás del ataque ha sido identificado.

WestJet mantiene la confidencialidad mientras continúa la investigación

El medio especializado en ciberseguridad BleepingComputer intentó contactar a WestJet para obtener más detalles sobre el incidente, incluyendo la naturaleza del ataque, los sistemas comprometidos y si hubo pérdida de datos. Sin embargo, la compañía aún no ha emitido una respuesta oficial a estas consultas.

Un nuevo caso que expone la vulnerabilidad del sector aéreo

El ataque a WestJet es parte de una creciente ola de ciberataques dirigidos a la industria del transporte y la aviación, sectores considerados críticos por su dependencia de sistemas digitales y la gran cantidad de datos sensibles que manejan.

Este incidente pone de relieve la importancia de reforzar las defensas cibernéticas en infraestructuras críticas y subraya la necesidad de contar con planes de respuesta ante incidentes bien estructurados.

La aerolínea canadiense continúa trabajando para restablecer completamente sus servicios y proteger la privacidad de sus usuarios. Se recomienda a los clientes de WestJet estar atentos a futuras comunicaciones oficiales y cambiar sus credenciales si han utilizado los servicios digitales recientemente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Anubis es una operación de ransomware como servicio (RaaS) que ha ganado notoriedad en el panorama de amenazas cibernéticas desde su aparición en diciembre de 2024. A pesar de su corta trayectoria, este malware ha llamado la atención por incorporar características especialmente destructivas que lo diferencian de otros ransomware conocidos.

No debe confundirse con el troyano bancario para Android del mismo nombre. Esta versión de Anubis está dirigida a sistemas de escritorio y redes empresariales, y ha sido identificada como una amenaza emergente por diversos investigadores de ciberseguridad.

Evolución de Anubis: de nuevo jugador a operador sofisticado

Desde principios de 2025, Anubis ha intensificado su actividad. El 23 de febrero, sus operadores anunciaron un programa de afiliados en el foro clandestino RAMP, lo que marca una estrategia clara de expansión y profesionalización. Según un informe de la firma de inteligencia KELA, el modelo de reparto ofrecido era atractivo:

• 80% de las ganancias para afiliados de ransomware.
• 60% para afiliados centrados en extorsión de datos.
• 50% para los brokers de acceso inicial.

Actualmente, la página de extorsión de Anubis alojada en la dark web enumera al menos ocho víctimas, una cifra modesta que podría aumentar conforme crece la confianza entre los cibercriminales en la eficacia del malware.

La novedad técnica más peligrosa: un módulo de borrado irreversible

Una de las funcionalidades más alarmantes introducidas recientemente es un módulo de limpieza (wiper) que destruye el contenido de los archivos cifrados, incluso si se paga el rescate. Según un informe publicado por Trend Micro, este comportamiento destructivo busca aumentar la presión sobre las víctimas para que paguen rápidamente, sin espacio para prolongar las negociaciones o resistirse.

¿Cómo funciona el wiper de Anubis?

El borrado de archivos se activa mediante el parámetro de línea de comandos /WIPEMODE, que requiere autenticación por clave. Una vez habilitado:

• El contenido de los archivos se borra completamente, reduciendo su tamaño a 0 KB.
• Se conservan los nombres de los archivos y la estructura de carpetas para simular que todo está intacto.
• El daño es irreversible: no se puede recuperar la información ni con herramientas forenses.

Esta táctica destructiva coloca a Anubis en una nueva categoría de ransomware, donde la recuperación de datos no es posible, aun si se cumplen las exigencias del rescate.

Características técnicas del malware Anubis

El análisis técnico de Trend Micro revela que Anubis cuenta con una serie de comandos avanzados al momento de ejecutarse:

• Elevación de privilegios para maximizar el control del sistema.
• Exclusión de directorios críticos, como los de sistema y programas, para evitar bloquear completamente el sistema operativo.
• Selección de rutas objetivo para el cifrado.
• Eliminación de copias sombra de volumen.
• Terminación de procesos o servicios que interfieran con el cifrado.

El sistema de cifrado utilizado es ECIES (Elliptic Curve Integrated Encryption Scheme), y se han identificado similitudes en la implementación con otros ransomware como EvilByte y Prince.

Señales de ataque: vectores de infección y síntomas

Los ataques de Anubis suelen iniciarse mediante campañas de phishing, utilizando correos electrónicos con enlaces maliciosos o archivos adjuntos infectados. Una vez dentro del sistema, el malware:

• Añade la extensión .anubis a todos los archivos cifrados.
• Crea una nota de rescate en formato HTML en cada directorio afectado.
• Intenta cambiar el fondo de escritorio (aunque esta acción suele fallar).

Estos indicadores permiten a los profesionales de seguridad identificar rápidamente un compromiso con este ransomware.

Anubis y la nueva generación de ransomware destructivo

Anubis representa una evolución en el modelo de ransomware como servicio (RaaS), no solo por su estructura de afiliados y sofisticación técnica, sino también por su enfoque destructivo. Al implementar un módulo de borrado que hace imposible la recuperación de datos, incluso tras el pago del rescate, los operadores buscan maximizar la presión sobre las víctimas y consolidarse como una amenaza seria en el ciberespacio.

Las organizaciones deben estar atentas a los indicadores de compromiso (IoC), reforzar sus medidas de ciberseguridad y priorizar estrategias de respaldo offline para mitigar el impacto de este tipo de amenazas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ha corregido una grave vulnerabilidad en su sistema de recuperación de cuentas, que permitía a actores maliciosos realizar ataques de fuerza bruta para obtener el número de teléfono de recuperación asociado a una cuenta de Google. El fallo de seguridad, descubierto por el investigador conocido como brutecat, podría haber sido utilizado para comprometer la privacidad de millones de usuarios en todo el mundo.

Cómo funcionaba la vulnerabilidad en la recuperación de cuentas de Google

El exploit se basaba en una versión obsoleta y sin JavaScript del formulario de recuperación de nombre de usuario, alojado en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.]com/signin/usernamerecovery. Esta versión carecía de mecanismos antiabuso fundamentales como CAPTCHAs eficaces o límites de tasa de solicitudes, lo que facilitaba automatizar pruebas con distintas combinaciones de números de teléfono.

La funcionalidad afectada permite a los usuarios verificar si un correo electrónico o número de teléfono de recuperación están asociados a un nombre para mostrar. Sin embargo, el sistema podía ser manipulado para que un atacante, con suficientes intentos, adivinara el número de teléfono exacto en cuestión de segundos o minutos, dependiendo del país y la longitud del número.

Cadena de explotación: paso a paso

El proceso para explotar esta vulnerabilidad constaba de los siguientes pasos:

• Filtrar el nombre completo de la víctima mediante la creación de un documento en Looker Studio y su transferencia, provocando que el nombre del destinatario se mostrara en la pantalla.
• Utilizar el flujo "Olvidé mi contraseña" de Google para obtener los últimos dos dígitos del número de teléfono asociado a la cuenta objetivo.
• Realizar fuerza bruta del número completo mediante el formulario vulnerable hasta adivinar los dígitos restantes.

Según el investigador, un número con código de país de Singapur podía obtenerse en solo 5 segundos, mientras que para un número estadounidense el tiempo estimado era de aproximadamente 20 minutos.


Riesgos asociados: desde intercambio de SIM hasta toma de control de cuentas

Con acceso al número de teléfono completo de recuperación, un atacante podría lanzar un ataque de SIM swapping (intercambio de SIM), tomar el control del número y, desde allí, restablecer la contraseña de la cuenta de Google u otros servicios que dependan del mismo número para autenticación.

Este tipo de ataque representa una amenaza crítica, especialmente para:

• Periodistas
• Creadores de contenido
• Activistas
• Empresarios o empleados con acceso a información sensible

Reacción de Google: mitigación y recompensas

Google recibió el informe de vulnerabilidad el 14 de abril de 2025 y, como parte de su programa de recompensas por errores, otorgó a brutecat 5.000 dólares por la divulgación responsable. Para mitigar la vulnerabilidad, Google eliminó completamente la versión sin JavaScript del formulario de recuperación de nombre de usuario a partir del 6 de junio de 2025.

Esta solución definitiva ha cerrado el vector de ataque, fortaleciendo el sistema de recuperación de cuentas para todos los usuarios.

Otras vulnerabilidades recientes descubiertas por brutecat

El investigador brutecat ya es conocido por haber reportado otras fallas de seguridad de alto impacto en el ecosistema de Google. Entre ellas:

• Enero de 2025: Descubrió una vulnerabilidad que permitía revelar la dirección de correo electrónico de cualquier propietario de canal de YouTube, mediante el encadenamiento de errores en la API de YouTube y la API del Pixel Recorder. Fue recompensado con 10.000 dólares.
• Marzo de 2025: Reveló un problema de control de acceso en el endpoint /get_creator_channels, que exponía la dirección de correo electrónico y detalles de monetización de cualquier canal del Programa de Socios de YouTube (YPP). Recibió una recompensa de 20.000 dólares.

Google reconoció públicamente que el fallo permitía desanonimizar a creadores de contenido o incluso suplantarlos, violando así las expectativas de privacidad y anonimato dentro de la plataforma.

La importancia de la seguridad en funciones de recuperación

Este caso destaca la vulnerabilidad inherente a los sistemas de recuperación de cuentas cuando no están debidamente protegidos frente a automatización y fuerza bruta. Aunque la funcionalidad estaba destinada a mejorar la experiencia del usuario, su diseño deficiente abrió una puerta crítica a la exposición de datos sensibles.

La rápida respuesta de Google demuestra la eficacia del modelo de divulgación responsable y recompensa de vulnerabilidades, aunque también subraya la necesidad de que las grandes plataformas evalúen constantemente el impacto de funciones legadas u obsoletas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han revelado dos graves vulnerabilidades en los dispositivos GPS de la marca SinoTrack, ampliamente utilizados en vehículos conectados. Las fallas permiten a atacantes remotos acceder a funciones críticas del vehículo, como el rastreo de ubicación y la desconexión de componentes, a través de interfaz web sin autenticación segura.

La alerta fue emitida por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), quien advierte que la explotación exitosa de estas vulnerabilidades en dispositivos IoT podría tener implicaciones severas para la privacidad y seguridad física de los propietarios de vehículos.

Qué dispositivos SinoTrack están afectados

CISA ha confirmado que todas las versiones de la plataforma SinoTrack IoT PC están afectadas por estas vulnerabilidades de seguridad. SinoTrack, conocida por sus dispositivos de rastreo GPS asequibles, distribuye su tecnología a nivel global, lo que amplía la superficie de ataque potencial.

Las vulnerabilidades identificadas han sido catalogadas bajo los siguientes identificadores:

CVE-2025-5484 – Autenticación débil en la interfaz de administración

• Puntuación CVSS: 8.3
• Descripción: La interfaz central de administración utiliza credenciales predeterminadas débiles. El nombre de usuario es un identificador único impreso físicamente en el dispositivo, y la contraseña predeterminada no es modificada automáticamente.
• Impacto: Permite que un atacante obtenga acceso no autorizado a la plataforma web de gestión y controle remotamente funciones del vehículo.

CVE-2025-5485 – Identificadores numéricos fácilmente enumerables

• Puntuación CVSS: 8.6
• Descripción: El nombre de usuario (identificador del dispositivo) es un número de hasta 10 dígitos, lo que facilita su descubrimiento por fuerza bruta o enumeración.
• Impacto: Permite a los atacantes descubrir dispositivos válidos e ingresar a sus perfiles sin autenticación robusta.

Riesgos y vectores de ataque

Un atacante podría obtener los identificadores de los dispositivos SinoTrack mediante acceso físico o incluso capturando imágenes publicadas en sitios como eBay, donde los dispositivos son revendidos con fotografías que muestran etiquetas visibles.

Con solo una imagen que revele el número de identificación del dispositivo, un atacante podría:

• Acceder a la interfaz web de administración.
• Rastrear la ubicación geográfica en tiempo real del vehículo.
• Ejecutar funciones críticas como desactivar la bomba de combustible, si el modelo lo permite.
• Robar información sensible del vehículo y del usuario.

El investigador de seguridad Raúl Ignacio Cruz Jiménez, quien reportó las fallas a CISA, advirtió en declaraciones a The Hacker News:

Citar"Debido a su falta de seguridad, este dispositivo permite la ejecución y el control remoto de los vehículos a los que está conectado y también roba información confidencial sobre usted y sus vehículos."

No existen parches disponibles: medidas de mitigación urgentes

A la fecha, SinoTrack no ha publicado actualizaciones de firmware o parches que corrijan estas fallas de seguridad. La redacción de The Hacker News intentó contactar a la compañía para obtener una respuesta oficial, pero no se ha recibido una declaración.

Mientras tanto, CISA recomienda a los usuarios tomar medidas de mitigación inmediatas, tales como:

• Cambiar la contraseña predeterminada del dispositivo SinoTrack lo antes posible.
• Ocultar o cubrir el identificador físico impreso en el dispositivo para evitar su exposición en imágenes públicas.
• Evitar publicar fotos de dispositivos GPS en sitios web de compraventa sin antes asegurarse de eliminar cualquier información visible.

• Monitorear regularmente la actividad del vehículo desde la interfaz de administración.

Dispositivos IoT inseguros: una amenaza creciente en el sector automotriz

Este incidente pone nuevamente en el centro del debate la seguridad de los dispositivos IoT en el entorno automotriz. El uso de contraseñas predeterminadas, identificadores predecibles y falta de autenticación robusta sigue siendo una de las principales debilidades de los dispositivos conectados.

La situación también subraya la importancia de que los fabricantes de dispositivos IoT adopten prácticas de seguridad por diseño, incluyendo:

• Forzar el cambio de credenciales al primer uso.
• Implementar autenticación multifactor.
• Cifrar las comunicaciones entre el dispositivo y los servidores de gestión.
• Validar accesos mediante tokens temporales o certificados.

En fin, las vulnerabilidades en dispositivos GPS de SinoTrack representan una amenaza significativa para la seguridad de los vehículos conectados. El hecho de que un atacante pueda rastrear vehículos y ejecutar comandos remotos sin autenticación fuerte, pone en riesgo tanto la privacidad del usuario como su integridad física.

Mientras la empresa no ofrezca soluciones oficiales, es crucial que los usuarios actúen de inmediato para reducir su exposición. Asimismo, se hace un llamado a la industria a fortalecer la ciberseguridad en dispositivos IoT críticos, especialmente aquellos utilizados en el transporte y movilidad inteligente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha confirmado un incidente crítico en curso que está afectando el sistema de autenticación de Microsoft 365, provocando errores en múltiples funciones relacionadas con la autenticación multifactor (MFA). Según informó la compañía en una alerta publicada en el Centro de administración de Microsoft 365, los usuarios y administradores pueden experimentar diversos problemas al intentar gestionar métodos de autenticación.

Errores en el registro de MFA y restablecimiento de contraseñas

Los usuarios afectados han reportado fallos al intentar restablecer contraseñas mediante el autoservicio y al acceder a la sección MySignIns, donde se gestionan los métodos de autenticación. Además, los administradores de TI pueden encontrar errores al intentar agregar nuevos métodos de MFA a las cuentas de usuario.

Uno de los mensajes de error más comunes que enfrentan los usuarios dice:

Citar"Su organización requiere que registre métodos de autenticación adicionales, pero actualmente no hay métodos compatibles habilitados para su cuenta. Pídale a su administrador que habilite más métodos de autenticación para que seleccione, o que registre uno o más métodos por usted."

Este mensaje ha generado confusión y frustración entre los clientes corporativos, especialmente en organizaciones que dependen de una autenticación sólida para cumplir con políticas de seguridad y normativas de cumplimiento.

Causa del incidente: cambio reciente en la infraestructura de autenticación

Según Microsoft, el origen del problema está relacionado con un cambio reciente en la infraestructura de autenticación, implementado con el objetivo de mejorar la funcionalidad de inicio de sesión mediante MFA. Sin embargo, este cambio provocó un comportamiento inesperado que degradó el rendimiento de los servicios de autenticación.

La compañía detalló en su informe:

Citar"Hemos identificado que parte de la infraestructura que procesa las solicitudes relacionadas con la autenticación no está funcionando dentro de los umbrales esperados. Estamos realizando cambios en la configuración para mitigar el impacto, y la telemetría muestra mejoras en la disponibilidad del servicio."

Regiones afectadas por el fallo de autenticación de Microsoft 365

Este incidente está afectando principalmente a los usuarios y organizaciones ubicadas en las regiones de:

• Europa
• Oriente Medio
• África (EMEA)
• Asia-Pacífico (APAC)

En particular, los usuarios del servicio NHSmail en Inglaterra, utilizado ampliamente en el sector de salud y servicios sociales, han reportado errores como:

• "Lo sentimos, nos encontramos con un problema"
• "No hay métodos disponibles"

Estos mensajes aparecen durante el proceso de configuración de autenticación multifactor en cuentas No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, lo que podría tener implicaciones graves en la seguridad y acceso del personal de salud a sus herramientas digitales.

Acciones de mitigación implementadas por Microsoft

Microsoft respondió rápidamente al incidente tras los primeros reportes, que comenzaron al menos el 18 de abril de 2025. En menos de dos horas desde la confirmación del problema, los ingenieros de Microsoft validaron una actualización de configuración para mitigar el impacto de forma temporal mientras se trabaja en una solución definitiva.

A las 10:31 EDT del 13 de junio, Microsoft informó que el problema había sido mitigado. La causa final fue atribuida a una infraestructura de base de datos que no estaba operando dentro de los umbrales esperados al procesar solicitudes de autenticación.

Incidentes anteriores de MFA en Microsoft 365

Este no es el primer incidente relacionado con problemas de MFA en Microsoft 365. En enero de 2025, Microsoft enfrentó una interrupción similar que impedía a los usuarios afectados acceder a las aplicaciones de Office. El problema en esa ocasión fue provocado por un repentino aumento en el uso de recursos de CPU, que dejó inoperativa la infraestructura responsable de registrar los métodos de autenticación.

En mayo de 2025, otro fallo afectó a varios servicios de Microsoft 365 en América del Norte, incluyendo la plataforma de colaboración Microsoft Teams. Un mes antes, la empresa resolvió un error de licenciamiento que bloqueaba el acceso a los servicios de Microsoft 365 para algunos usuarios con suscripciones familiares.

Recomendaciones para empresas y administradores de TI

Dado el historial reciente de errores críticos en Microsoft 365 relacionados con la autenticación, es recomendable que los administradores:

• Monitoreen constantemente el Centro de administración de Microsoft 365 para recibir alertas tempranas de incidentes.
• Implementen soluciones de respaldo para el acceso seguro, como métodos de autenticación alternativos o contingencias offline.
• Documenten procesos internos para restablecimiento manual de MFA y soporte técnico ante interrupciones.
• Evalúen herramientas de auditoría y telemetría para medir el impacto de estos incidentes en sus operaciones.

En fin, los problemas recientes de autenticación en Microsoft 365 ponen en evidencia la importancia de una infraestructura robusta y resiliente, especialmente en servicios esenciales como la autenticación multifactor. Aunque Microsoft ha demostrado capacidad de respuesta rápida mediante mitigaciones y ajustes de configuración, la frecuencia de estos fallos subraya la necesidad de contar con planes de contingencia bien definidos y actualizados.

Estaremos atentos a futuras actualizaciones por parte de Microsoft y recomendamos a las organizaciones seguir los canales oficiales para mantenerse informadas sobre nuevos desarrollos relacionados con la seguridad y disponibilidad de Microsoft 365.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha confirmado la existencia de un problema crítico de arranque seguro que afecta a los dispositivos Surface Hub v1 que ejecutan Windows 10, versión 22H2, tras la instalación de la actualización de seguridad KB5060533, lanzada como parte del martes de parches de junio de 2025. Esta incidencia impide que los equipos afectados inicien correctamente el sistema operativo, mostrando un error relacionado con la política de arranque seguro (Secure Boot).

Error de arranque tras instalar KB5060533 en Windows 10

Los usuarios afectados por esta falla reportan que sus dispositivos Surface Hub v1 no logran arrancar después de aplicar la actualización de seguridad de junio, recibiendo el siguiente mensaje de error:

Citar"Violación de arranque seguro. Se ha detectado una firma no válida. Compruebe la política de arranque seguro en Configuración."

Este problema no afecta a los modelos Surface Hub 2S ni Surface Hub 3, lo que indica que la incompatibilidad está directamente relacionada con la arquitectura específica del modelo Surface Hub v1 y su interacción con las nuevas políticas de seguridad incluidas en la actualización KB5060533.

Mitigación inmediata para Surface Hub v1

Ante la gravedad del problema, Microsoft actuó rápidamente, lanzando una mitigación el 11 de junio de 2025, apenas un día después de identificar el fallo. Esta acción tiene como objetivo impedir que otros dispositivos Surface Hub v1 que aún no habían instalado la actualización defectuosa resulten afectados por el mismo error.

La compañía declaró:

Citar"El 11 de junio de 2025 se lanzó una mitigación que evita que los dispositivos Surface Hub v1 adicionales encuentren este problema. Hemos confirmado que esta situación afecta a una parte de los dispositivos Surface Hub v1 y seguimos investigando. Proporcionaremos más información en cuanto esté disponible."

Esta respuesta temprana forma parte del protocolo de respuesta rápida a problemas conocidos que Microsoft aplica cuando una actualización genera consecuencias críticas en ciertos dispositivos.

Qué soluciona la actualización KB5060533

Aunque esta actualización está relacionada con los errores de arranque en Surface Hub v1, su objetivo principal era corregir múltiples vulnerabilidades y errores del sistema. Entre las correcciones más importantes de la KB5060533 se encuentra una solución para un fallo que provocaba bloqueos y reinicios inesperados en máquinas virtuales Hyper-V con Windows 10, Windows 11 y Windows Server.

Esto subraya la complejidad de las actualizaciones de seguridad de Microsoft, ya que, si bien resuelven vulnerabilidades activas, también pueden generar conflictos en dispositivos con configuraciones particulares o hardware especializado.

Junio 2025: un parche crítico con múltiples actualizaciones

Durante el martes de parches de junio de 2025, Microsoft lanzó correcciones para un total de 66 vulnerabilidades, incluyendo:

• CVE-2025-33053: una vulnerabilidad de día cero relacionada con WebDAV (Web Distributed Authoring and Versioning), activamente explotada.
• CVE-2025-33073: una vulnerabilidad de escalada de privilegios en SMB de Windows, ya divulgada públicamente.

De las 66 vulnerabilidades corregidas, 10 fueron clasificadas como críticas. Ocho de ellas permitían ejecución remota de código (RCE) en sistemas no actualizados, mientras que las otras dos podían ser explotadas para obtener privilegios elevados en el sistema.

Estas cifras reflejan la magnitud del esfuerzo de Microsoft por reforzar la seguridad de su ecosistema, aunque también ponen de relieve la necesidad de evaluar cuidadosamente el impacto de las actualizaciones, especialmente en entornos empresariales o con hardware específico como el Surface Hub v1.

Otros errores críticos corregidos: caso Easy Anti-Cheat

Además del problema con Surface Hub v1, Microsoft también lanzó una actualización de emergencia para Windows 11 24H2, identificada como KB5063060, para abordar una incompatibilidad con Easy Anti-Cheat. Esta incompatibilidad provocaba reinicios con pantallas azules de la muerte (BSOD) en algunos sistemas tras instalar las actualizaciones recientes.

Este incidente con Easy Anti-Cheat demuestra que los conflictos entre el software de seguridad de terceros y las actualizaciones del sistema operativo pueden tener consecuencias graves si no se detectan a tiempo.

Recomendaciones para administradores y usuarios

Dado el historial reciente de problemas tras actualizaciones críticas, se recomienda a los administradores de TI y usuarios corporativos:

• Probar las actualizaciones en entornos controlados antes de aplicarlas a gran escala.
• Revisar los registros de problemas conocidos (Known Issues) de Microsoft antes de implementar nuevas versiones.
• Estar atentos a mitigaciones o soluciones temporales proporcionadas por Microsoft en caso de errores post-actualización.
• Mantener una política de respaldo y recuperación activa para prevenir interrupciones críticas en caso de fallos.

En fin, el problema de arranque seguro provocado por la actualización KB5060533 en dispositivos Surface Hub v1 refleja la complejidad de mantener la seguridad sin comprometer la funcionalidad del sistema. Aunque Microsoft ha actuado con rapidez mediante mitigaciones, la situación resalta la necesidad de gestión proactiva de parches y monitoreo constante de problemas conocidos para garantizar la continuidad operativa de los dispositivos empresariales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los operadores detrás de VexTrio, una sofisticada red de servicios de distribución de tráfico malicioso (TDS), han sido vinculados directamente con otros sistemas similares como Help TDS y Disposable TDS, lo que evidencia una expansión estructurada de su ecosistema de malvertising. Esta infraestructura criminal se enfoca en redirigir tráfico web hacia contenido fraudulento y malware, aprovechando vulnerabilidades en sitios web legítimos y redes de afiliados engañosas.

Según un informe técnico de Infoblox, compartido con The Hacker News, VexTrio actúa como un consorcio de empresas de tecnología publicitaria maliciosa que emplean formatos como SmartLinks, redirecciones automáticas y notificaciones push, para diseminar estafas y software malicioso a escala global.

Las empresas fachada detrás de VexTrio

Entre las marcas asociadas a esta red destacan Los Pollos, Taco Loco y Adtrafico, las cuales gestionan redes de afiliados publicitarios que sirven como intermediarios entre operadores de malware y actores que ejecutan campañas fraudulentas. Estas entidades ofrecen atractivas promesas económicas para reclutar afiliados editoriales, responsables de comprometer sitios web, especialmente en WordPress, mediante inyección de scripts maliciosos.

Una vez comprometidos, estos sitios inician cadenas de redirección que conducen al usuario a infraestructuras de estafa controladas por VexTrio o sus asociados. Ejemplos de campañas empleadas incluyen Balada Injector, DollyWay, Sign1 y ataques a través de registros TXT de DNS, utilizados para ocultar mecanismos de control y rastreo dentro del tráfico web.

SmartLinks, DNS TXT y redirecciones ocultas

Los análisis de Infoblox, basados en más de 4,5 millones de registros TXT de DNS, permitieron identificar dos conjuntos principales de dominios utilizados para estas campañas. Cada conjunto funcionaba con un servidor C2 (comando y control) distinto, ambos con infraestructura conectada a proveedores rusos, aunque sin compartir recursos de red. Ambos tipos de tráfico inicialmente eran redirigidos a VexTrio, y posteriormente a Help TDS.

Help TDS y Disposable TDS han sido identificados como entidades estrechamente relacionadas, posiblemente gestionadas por los mismos operadores. Hasta noviembre de 2024, mantenían una relación exclusiva con VexTrio, actuando como rutas alternativas de redirección tras el colapso parcial de Los Pollos, cuya vinculación con VexTrio fue expuesta por Qurium Media Foundation.

De VexTrio a Monetizer: evolución del ecosistema TDS

Tras la caída de Los Pollos, Help TDS comenzó a redirigir tráfico a través de Monetizer, una plataforma que también utiliza tecnología TDS para conectar editores afiliados con anunciantes, manteniendo el flujo de monetización pese a los cambios estructurales. Si bien no presenta la complejidad operativa de VexTrio, Help TDS tiene fuertes conexiones rusas, tanto en su infraestructura como en el registro de dominios, y continúa operando como plataforma independiente dentro del ecosistema de malvertising.

VexTrio y el uso de notificaciones push maliciosas

Además de SmartLinks y campañas DNS, VexTrio y sus afiliados como BroPush, Partners House, RichAds, Admeking y RexPush han adoptado notificaciones push como vector principal para distribuir contenido engañoso. Estas campañas emplean herramientas como Google Firebase Cloud Messaging (FCM) y scripts basados en Push API personalizados para enviar mensajes directamente al navegador del usuario, dirigiéndolo hacia contenido fraudulento o software malicioso.

Cada año, cientos de miles de sitios web comprometidos redirigen a usuarios desprevenidos a esta compleja red de estafas y malware. Los operadores de VexTrio conocen bien a sus afiliados: muchos de los negocios implicados están registrados en jurisdicciones con requisitos KYC (Know Your Customer), lo que sugiere que la red cuenta con procesos de verificación estructurados, aunque destinados a fines ilícitos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

ConnectWise, proveedor líder de soluciones RMM y automatización para TI, anunció que reemplazará sus certificados de firma de código digital utilizados en los productos ScreenConnect, ConnectWise Automate y ConnectWise RMM, en respuesta a preocupaciones de seguridad planteadas por un investigador externo.

El cambio responde a la forma en que versiones anteriores de ScreenConnect gestionaban ciertos datos de configuración. Aunque ConnectWise no ha publicado detalles técnicos específicos en canales oficiales, una sección privada de preguntas frecuentes —filtrada posteriormente en Reddit— aclara la raíz del problema.

¿Cuál es la vulnerabilidad?

El problema radica en que ScreenConnect almacenaba datos de configuración en una sección del instalador que no está firmada digitalmente, aunque forma parte del ejecutable. Esta sección se usaba para transmitir parámetros como la URL del servidor de callback entre el agente y el servidor, sin invalidar la firma del código.

Aunque esta práctica era común para la personalización del instalador, su uso en combinación con herramientas de control remoto podría derivar en un patrón de diseño inseguro, especialmente según los estándares modernos de ciberseguridad. Esta debilidad ha sido calificada como potencialmente riesgosa por expertos en seguridad.

Rotación de certificados y nuevas medidas

ConnectWise anunció que la revocación de los certificados digitales existentes tendrá lugar el 13 de junio a las 8 p. m. ET (14 de junio a las 12 a. m. UTC). Paralelamente, la empresa lanzará una actualización de seguridad para ScreenConnect destinada a mejorar la gestión de datos de configuración, eliminando así vectores de riesgo.

Citar"Ya teníamos planes para fortalecer la gestión de certificados y mejorar la seguridad del producto. Ahora hemos acelerado ese calendario", explicó ConnectWise.

Además, se ha confirmado que:

• Las instancias en la nube de ConnectWise Automate y RMM ya están recibiendo la actualización de certificados automáticamente.
• Los usuarios de instalaciones locales deben actualizar sus versiones antes de la fecha límite y validar que todos los agentes estén correctamente actualizados para evitar interrupciones de servicio.

No hay evidencia de compromiso interno

ConnectWise enfatizó que no se ha producido una violación directa de sus sistemas o certificados digitales, aclarando que la medida es proactiva y preventiva.

Amenazas recientes y ataques avanzados

Este anuncio ocurre pocos días después de que ConnectWise revelara un incidente de seguridad en el que un presunto actor de amenazas patrocinado por un Estado-nación explotó la vulnerabilidad CVE-2025-3935, relacionada con inyección de código ViewState, para atacar a un número limitado de clientes.

A esto se suma el creciente uso de software legítimo de RMM, como ScreenConnect, por parte de ciberatacantes en campañas stealth bajo la técnica conocida como "living-off-the-land" (LotL). Esta metodología permite a los atacantes usar herramientas legítimas del entorno para movimiento lateral, transferencia de archivos y ejecución remota de comandos, eludiendo controles de seguridad tradicionales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

GitLab, la popular plataforma DevSecOps, ha lanzado una serie de actualizaciones de seguridad para abordar múltiples vulnerabilidades críticas que afectan tanto a su edición Community como Enterprise. Entre los fallos corregidos se encuentran aquellos que podrían permitir a atacantes remotos tomar el control de cuentas, inyectar trabajos maliciosos en canalizaciones CI/CD y realizar ataques de denegación de servicio.

Las actualizaciones de seguridad fueron liberadas en las versiones 18.0.2, 17.11.4 y 17.10.8. GitLab recomendó a todos los administradores de instalaciones autogestionadas actualizar inmediatamente para evitar la explotación de estas fallas.

Citar"Estas versiones contienen importantes correcciones de errores y seguridad. Recomendamos encarecidamente que todas las instalaciones autogestionadas se actualicen de inmediato", indicó GitLab. "GitLab.com ya opera con versiones parcheadas y los clientes de GitLab Dedicated no requieren ninguna acción adicional".

Principales vulnerabilidades corregidas

CVE-2025-4278 – Inyección de HTML y secuestro de cuentas

La vulnerabilidad CVE-2025-4278 permite a atacantes remotos inyectar código HTML malicioso en la página de búsqueda, lo que podría derivar en toma de control de cuentas al ejecutar scripts en el navegador de los usuarios.

CVE-2025-5121 – Inyección de trabajos CI/CD

Otra falla grave, identificada como CVE-2025-5121, afecta a las instancias con licencia de GitLab Ultimate EE. Esta vulnerabilidad permite a usuarios autenticados inyectar trabajos maliciosos en canalizaciones CI/CD de cualquier proyecto, comprometiendo el flujo de integración continua y la integridad del entorno DevOps.

¿Cómo funcionan las canalizaciones CI/CD en GitLab?

Las canalizaciones CI/CD de GitLab son componentes esenciales del proceso de desarrollo moderno. Permiten a los equipos automatizar la creación, prueba e implementación de código, ya sea de forma secuencial o en paralelo. La manipulación de estas canalizaciones por actores maliciosos representa un riesgo crítico para la seguridad del software y la infraestructura empresarial.

Otras vulnerabilidades críticas

Además, GitLab solucionó:

• CVE-2025-2254: una vulnerabilidad de XSS (cross-site scripting) que permitiría a atacantes ejecutar acciones maliciosas en nombre de usuarios legítimos.
• CVE-2025-0673: una vulnerabilidad de denegación de servicio (DoS) que podía provocar bucles de redireccionamiento infinitos, agotando recursos y dejando la plataforma inoperativa.

GitLab: objetivo frecuente de ciberataques

Los repositorios GitLab son objetivos frecuentes de ciberataques dirigidos a robar información confidencial, claves API, credenciales o código propietario. Este riesgo quedó evidenciado en los incidentes recientes que afectaron a Europcar Mobility Group y Pearson, cuyos repositorios fueron comprometidos durante el primer trimestre de 2025.

GitLab en cifras

La plataforma DevSecOps de GitLab cuenta con más de 30 millones de usuarios registrados y es utilizada por más del 50% de las empresas Fortune 100, incluyendo nombres como Goldman Sachs, Airbus, T-Mobile, Lockheed Martin, Nvidia y UBS.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una investigación forense reciente ha confirmado el uso del software espía Graphite, desarrollado por Paragon, en ataques de clic cero dirigidos a dispositivos iOS de Apple. Las víctimas incluyen al menos a dos periodistas en Europa, uno de ellos identificado como Ciro Pellegrino, de la publicación italiana No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, y otro que ha solicitado permanecer en el anonimato.

Según el informe de Citizen Lab, se identificó evidencia forense concluyente que vincula estos ataques con la plataforma mercenaria de vigilancia digital Graphite, utilizada para comprometer los dispositivos de las víctimas sin requerir interacción del usuario, una técnica conocida como ataque de clic cero.

Exploit de día cero en iOS 18.2.1

Los ataques ocurrieron a principios de 2025, y el 29 de abril Apple notificó a los afectados que habían sido blanco de un "spyware avanzado". El grupo atacante explotó una vulnerabilidad de día cero, catalogada como CVE-2025-43200, presente en iOS 18.2.1.

Apple describió esta falla como un problema de lógica al procesar imágenes o videos maliciosos enviados mediante enlaces de iCloud. Esta vulnerabilidad fue corregida en iOS 18.3.1, lanzado el 10 de febrero de 2025, mediante la implementación de comprobaciones de seguridad mejoradas. Sin embargo, el identificador CVE se incorporó oficialmente al boletín de seguridad de Apple semanas más tarde.

Vector de ataque: iMessage y servidor C2 de Paragon

El análisis de Citizen Lab reveló que el vector de entrega del spyware fue iMessage, mediante una cuenta etiquetada como "ATTACKER1", utilizada para enviar mensajes manipulados que explotaban la vulnerabilidad CVE-2025-43200 y permitían la ejecución remota de código (RCE) sin que la víctima tuviera que interactuar con el mensaje.

Una vez comprometido el dispositivo, el spyware se comunicaba con un servidor de comando y control (C2) alojado en la dirección IP https://46.183.184[.]91, identificada como parte de la infraestructura de Paragon y operativa al menos hasta el 12 de abril. Esta IP estaba alojada por EDIS Global, un proveedor de servicios VPS.

Atribución y casos relacionados

Aunque el software espía Graphite está diseñado para operar de forma sigilosa, Citizen Lab logró recuperar registros forenses suficientes para atribuir con alta confianza estos ataques a la plataforma desarrollada por Paragon. Este no es un caso aislado: la misma familia de spyware estuvo implicada a inicios de año en otro ataque de clic cero contra usuarios de WhatsApp en Italia.


Las autoridades italianas confirmaron recientemente múltiples ataques dirigidos a periodistas y activistas, incluyendo a Francesco Cancellato, Luca Casarini y el Dr. Giuseppe "Beppe" Caccia. Aunque el modus operandi es similar, las identidades de los responsables de esos ataques aún no han sido reveladas públicamente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un grupo de investigadores de Aim Labs descubrió en enero de 2025 una vulnerabilidad crítica en Microsoft 365 Copilot, denominada EchoLeak, que representa la primera vulnerabilidad de IA de clic cero conocida. Esta falla permite a los atacantes exfiltrar datos confidenciales directamente desde el contexto del usuario, sin requerir ninguna interacción.

El hallazgo fue reportado a Microsoft, que lo identificó como CVE-2025-32711, calificándolo como una falla de divulgación de información crítica. La empresa corrigió el problema en el lado del servidor en mayo de 2025, lo que significa que no se necesita ninguna actualización por parte del usuario final. Además, Microsoft aseguró que no hay evidencia de que la vulnerabilidad haya sido explotada activamente en entornos reales.

¿Qué es Microsoft 365 Copilot?

Microsoft 365 Copilot es un asistente de inteligencia artificial basado en modelos de lenguaje como GPT de OpenAI y Microsoft Graph, que está integrado en herramientas populares como Word, Excel, Outlook y Teams. Este asistente puede generar contenido, resumir correos electrónicos, responder preguntas empresariales y analizar datos utilizando la información interna de una organización.

¿Por qué EchoLeak es una amenaza relevante?

Aunque EchoLeak ya ha sido corregida, su importancia radica en que demuestra una nueva clase de vulnerabilidades conocidas como violaciones del alcance de los LLM (Large Language Models). Este tipo de vulnerabilidad hace que un modelo de lenguaje filtre datos internos confidenciales sin intención ni interacción del usuario, lo que expone a las organizaciones a exfiltraciones silenciosas y automatizadas.

La naturaleza de clic cero del ataque significa que los sistemas empresariales pueden ser comprometidos sin que la víctima haga nada más que usar Copilot normalmente, lo cual representa una nueva superficie de ataque para actores maliciosos que buscan explotar integraciones de IA en entornos corporativos.

Cómo funciona el ataque EchoLeak

El proceso de ataque de EchoLeak comienza con el envío de un correo electrónico malicioso al usuario objetivo. El mensaje aparenta ser legítimo, redactado como si fuera un documento comercial común, pero contiene una inyección de aviso (prompt injection) oculta.

Esta inyección está diseñada para instruir al modelo de lenguaje a recuperar y exfiltrar datos internos cuando se le realicen consultas relacionadas. Gracias a su redacción natural, el correo evita ser detectado por el clasificador XPIA (Cross-Prompt Injection Attack) de Microsoft.

Posteriormente, cuando el usuario realiza una consulta legítima a Copilot, el sistema RAG (Retrieval-Augmented Generation) puede considerar relevante ese correo electrónico y lo incluye en el contexto de solicitud del modelo. Una vez que la inyección alcanza al LLM, este extrae información sensible y la incrusta en una URL o imagen manipulada.

Los investigadores descubrieron que ciertos formatos de imagen en Markdown pueden activar automáticamente la solicitud de carga en el navegador, enviando datos incrustados directamente al servidor controlado por el atacante. Esto ocurre incluso si la víctima nunca hace clic en nada.

Limitaciones en la protección y vectores de abuso

Aunque Microsoft CSP bloquea la mayoría de los dominios externos, EchoLeak puede abusar de URLs de confianza, como las de Teams y SharePoint, para realizar exfiltraciones sin ser bloqueadas. Esta técnica aumenta significativamente el riesgo, ya que se aprovecha de las excepciones de seguridad ya establecidas en entornos empresariales.

La creciente adopción de herramientas de IA como Copilot, combinada con la complejidad de los modelos LLM y los sistemas RAG, sobrepasa las defensas tradicionales. Esto hace que sea probable que veamos nuevas vulnerabilidades similares en el futuro, especialmente si los atacantes perfeccionan técnicas de inyección encubierta.

Recomendaciones de seguridad para mitigar ataques como EchoLeak

Para proteger los entornos corporativos frente a vulnerabilidades similares a EchoLeak, se recomienda aplicar las siguientes medidas:

• Fortalecer los filtros de inyección de solicitudes, especialmente en plataformas que utilizan modelos de lenguaje.
• Implementar un control granular del alcance de entrada, para limitar qué datos se incorporan en las consultas del modelo.
• Aplicar filtros de posprocesamiento que bloqueen respuestas con enlaces externos o datos estructurados sospechosos.
• Configurar motores RAG para excluir fuentes externas no verificadas, especialmente correos electrónicos no empresariales.
• Auditar los permisos de acceso a aplicaciones como Teams y SharePoint, que podrían ser utilizados como canales de exfiltración.
• Mantenerse informado sobre nuevas técnicas de prompt injection y ataques a LLM para anticipar futuras amenazas.

En fin, la vulnerabilidad EchoLeak marca un punto de inflexión en la ciberseguridad aplicada a modelos de lenguaje, al evidenciar cómo una IA integrada puede ser manipulada para filtrar datos sin intervención del usuario. Aunque Microsoft solucionó la falla, su existencia subraya la necesidad urgente de adaptar las defensas tradicionales a un nuevo paradigma dominado por sistemas inteligentes y altamente conectados. Las organizaciones que dependen de asistentes de IA deben reforzar sus prácticas de seguridad y vigilancia para prevenir exfiltraciones silenciosas y automatizadas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo vector de ciberataque, denominado SmartAttack, ha sido desarrollado por investigadores de seguridad israelíes. Este ataque innovador utiliza relojes inteligentes como receptores encubiertos de señales ultrasónicas, permitiendo la exfiltración de datos desde sistemas físicamente aislados, también conocidos como sistemas con air gap o espacio de aire.

Sistemas aislados: no tan seguros como parecen
Los sistemas con air gap se utilizan ampliamente en entornos de alta seguridad como instalaciones gubernamentales, infraestructura crítica, plantas nucleares y plataformas militares. Estos entornos están completamente desconectados de redes externas con el objetivo de proteger información confidencial contra malware y filtraciones de datos.

Sin embargo, esta separación física no los hace invulnerables. Existen múltiples vectores de ataque, como empleados malintencionados, dispositivos USB comprometidos y ataques a la cadena de suministro patrocinados por estados. Una vez que un actor de amenazas logra introducir malware en el sistema, puede comenzar la transmisión encubierta de datos sin interferir con el funcionamiento normal del equipo.

Cómo funciona el ataque SmartAttack

El ataque SmartAttack fue desarrollado por un equipo dirigido por Mordechai Guri, conocido por explorar canales de exfiltración encubiertos. Este nuevo enfoque aprovecha el altavoz interno del ordenador comprometido para emitir señales ultrasónicas codificadas que pueden ser recibidas por el micrófono de un smartwatch cercano.

Mediante el uso de modulación por desplazamiento de frecuencia binaria (B-FSK), las señales de audio se codifican en unos y ceros:

• Una frecuencia de 18,5 kHz representa el bit "0".
• Una frecuencia de 19,5 kHz representa el bit "1".

Estas frecuencias son inaudibles para los humanos, pero detectables por relojes inteligentes. Un algoritmo de procesamiento de señales en el reloj demodula la señal para reconstruir los datos, como teclas pulsadas, contraseñas, claves de cifrado y otras credenciales sensibles.

Una vez capturada, la información puede ser exfiltrada mediante Wi-Fi, Bluetooth o conectividad celular.

Limitaciones técnicas del ataque

Aunque efectivo, SmartAttack enfrenta desafíos técnicos:

• Los micrófonos de los relojes inteligentes son menos sensibles que los de los teléfonos inteligentes, lo que dificulta la captura de señales en ambientes ruidosos o con baja intensidad.
• La orientación de la muñeca afecta el éxito del ataque; la línea de visión entre el reloj y el altavoz es clave.
• El alcance máximo de transmisión varía entre 6 y 9 metros (20 a 30 pies).
• La velocidad de transmisión de datos es limitada, oscilando entre 5 y 50 bits por segundo, reduciendo la fiabilidad a mayores distancias o velocidades.

Medidas de mitigación contra SmartAttack

Para proteger sistemas críticos frente a este tipo de ataques, los investigadores recomiendan:

• Prohibir el uso de relojes inteligentes en zonas de alta seguridad.
• Eliminar altavoces incorporados en equipos con air gap, lo que neutralizaría los canales de exfiltración acústica.
• Implementar interferencia ultrasónica activa, como emisión de ruido de banda ancha.
• Aplicar cortafuegos de audio a nivel de software, para bloquear cualquier emisión sonora no autorizada.

En fin, SmartAttack demuestra cómo incluso los sistemas aislados físicamente pueden ser vulnerables ante ciberataques avanzados utilizando canales encubiertos de exfiltración. Este ataque resalta la necesidad de políticas estrictas de seguridad física, control de dispositivos personales como smartwatches y la adopción de contramedidas activas en entornos sensibles. En un contexto donde las amenazas internas y la ingeniería de hardware juegan un papel cada vez más relevante, SmartAttack es un claro recordatorio de que la seguridad de la información requiere un enfoque integral y en constante evolución.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Oficina Central de Investigación de la India (CBI, por sus siglas en inglés) ha desarticulado una compleja red de cibercrimen transnacional especializada en estafas de soporte técnico dirigidas a ciudadanos japoneses. En el marco de la Operación Chakra V, las autoridades arrestaron a seis personas y desmantelaron dos centros de llamadas ilegales ubicados en Delhi, Haryana y Uttar Pradesh.

La operación, llevada a cabo el 28 de mayo de 2025, forma parte de un esfuerzo conjunto para combatir delitos financieros facilitados por medios digitales. Según la CBI, los ciberdelincuentes operaban centros de llamadas falsos que simulaban ser servicios legítimos de atención al cliente de empresas multinacionales como Microsoft. A través de tácticas de ingeniería social y engaños técnicos, convencían a sus víctimas de que sus dispositivos estaban comprometidos, para luego inducirlas a transferir dinero a cuentas de mulas.

Estafa de soporte técnico con alcance internacional

La red de fraude fue detectada gracias a una colaboración entre la CBI, la Agencia Nacional de Policía de Japón y el equipo de ciberseguridad de Microsoft. Esta cooperación internacional permitió rastrear las actividades delictivas, identificar a los responsables y confiscar equipos clave, incluyendo ordenadores, discos de almacenamiento, grabadoras de vídeo digital y teléfonos móviles.

"El grupo empleaba técnicas avanzadas de engaño digital y aprovechaba vulnerabilidades humanas mediante ingeniería social", detalló la CBI. "Bajo el pretexto de ofrecer soporte técnico, estafaban a ciudadanos extranjeros, mayoritariamente japoneses".

Steven Masada, representante de Microsoft, subrayó que la creciente conectividad entre ciberdelincuentes ha internacionalizado estas amenazas. "Con la expansión del cibercrimen como servicio (CaaS), los actores maliciosos colaboran globalmente. Para combatir estas amenazas, necesitamos una visión ecosistémica y alianzas estratégicas entre sectores y países", afirmó.

Microsoft y JC3 eliminaron más de 66.000 dominios maliciosos

Como parte del esfuerzo por frenar estas operaciones fraudulentas, Microsoft ha colaborado con el Centro de Control de Ciberdelincuencia de Japón (JC3) para desmantelar una red mundial de dominios maliciosos. Desde mayo de 2024, se han eliminado más de 66.000 sitios web fraudulentos y URLs relacionadas con campañas de estafa mediante soporte técnico falso.

El análisis de Microsoft reveló que la red criminal involucraba no solo a operadores de los centros de llamadas, sino también a generadores de pop-ups maliciosos, expertos en SEO para posicionar sitios fraudulentos, proveedores de servicios logísticos, procesadores de pagos e incluso proveedores de talento humano.

Además, los delincuentes utilizaron inteligencia artificial generativa (IA) para automatizar y escalar sus ataques, generando mensajes personalizados, traduciendo contenido al japonés y creando contenido visual engañoso.

Contexto: aumento del cibercrimen en India y vínculos con otros incidentes globales

Esta operación se produce en un contexto de creciente preocupación internacional por la participación de operadores indios en esquemas de fraude cibernético. Recientemente, Reuters informó que empleados de TaskUs, una empresa de servicios externalizados en India, fueron sobornados por actores maliciosos para acceder a datos sensibles de clientes de Coinbase, la reconocida plataforma de criptomonedas. El incidente, detectado en enero de 2025, provocó la rescisión del contrato entre TaskUs y Coinbase, tras confirmarse el acceso no autorizado a la información.

Simultáneamente, las autoridades globales intensifican la lucha contra otras formas de cibercrimen. INTERPOL anunció el arresto de 20 sospechosos en 12 países entre marzo y mayo de 2025 por su presunta implicación en la producción y distribución de material de abuso sexual infantil (CSAM). Las detenciones incluyeron a un profesional de la salud y a un docente en España, así como a varios implicados en América Latina, Europa y Estados Unidos.

INTERPOL indicó que ya se han identificado al menos 68 sospechosos adicionales y que las investigaciones continúan en múltiples jurisdicciones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad han detectado una nueva campaña maliciosa que utiliza la táctica de ingeniería social ClickFix para infectar sistemas Apple macOS con Atomic macOS Stealer (AMOS), un ladrón de información especializado en robar credenciales y datos sensibles.

Según un informe publicado por CloudSEK, esta campaña de malware emplea dominios typosquat que imitan a empresas legítimas, como el proveedor estadounidense de telecomunicaciones Spectrum. Estos sitios falsos, como panel-spectrum[.]net y spectrum-ticket[.]neto, redirigen a los usuarios a una supuesta verificación de seguridad mediante CAPTCHA. Sin embargo, al hacer clic en la opción "Soy humano", se muestra un mensaje de error seguido de una "Verificación alternativa" que instruye a los usuarios a ejecutar comandos maliciosos.

Cómo funciona el ataque ClickFix en macOS

Cuando un usuario accede a estos sitios fraudulentos, se copia automáticamente un script de shell en su portapapeles. Luego, se le presentan instrucciones específicas según su sistema operativo. Para usuarios de macOS, el guion les pide abrir la Terminal e ingresar su contraseña para ejecutar el script, el cual descarga y ejecuta el malware AMOS, diseñado para:

• Robar contraseñas del sistema.
• Eludir controles de seguridad.
• Comunicar datos robados a un servidor de comando y control (C2).

Este tipo de ataque aprovecha la fatiga del usuario ante verificaciones constantes, lo que facilita el engaño y la ejecución del malware.

Origen y características del malware AMOS

El Atomic macOS Stealer es una amenaza activa en foros de ciberdelincuencia y se actualiza constantemente. En esta campaña, se ha identificado la presencia de comentarios en ruso en el código fuente, lo que sugiere su origen en grupos de habla rusa.

El informe también destaca errores en la implementación del sitio malicioso, como instrucciones confusas para los diferentes sistemas operativos. Por ejemplo, a los usuarios de Linux se les ofrecía un comando de PowerShell, mientras que tanto usuarios de Windows como macOS veían la instrucción "Mantenga presionada la tecla de Windows + R".

Crecimiento de campañas ClickFix y otras variantes

La campaña forma parte de una tendencia creciente en la que los actores de amenazas utilizan ClickFix como técnica de ingeniería social para distribuir diversas familias de malware, incluyendo:

• Troyanos de acceso remoto (RAT).
• Ladrones de información como Lumma y StealC.
• Herramientas como XWorm RAT, PureLogs Stealer y DanaBot.

Cofense también ha reportado campañas similares que suplantan a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, especialmente dirigidas a cadenas hoteleras y empresas del sector de alimentos, utilizando CAPTCHAs falsos para inducir la descarga de scripts maliciosos.

Además, se han detectado versiones falsas de CAPTCHA populares, como Google reCAPTCHA y Cloudflare Turnstile, en campañas que buscan camuflar los intentos de infección como verificaciones rutinarias.

Impacto global y tácticas de evasión

La firma Darktrace ha documentado múltiples incidentes relacionados con ClickFix en clientes ubicados en Europa, Medio Oriente, África y Estados Unidos. Estas campañas comparten patrones comunes:

• Uso de phishing dirigido (spear phishing).
• Distribución de malware mediante sitios web comprometidos o typosquatting.
• Verificaciones falsas de seguridad como método de distracción.
• Evasión de mecanismos de seguridad a través de scripts nativos del sistema.

En un incidente de abril de 2025, actores desconocidos utilizaron ClickFix para entregar malware que permitía el movimiento lateral en redes corporativas y la exfiltración de datos sensibles mediante solicitudes HTTP POST.

Cómo protegerse de la amenaza ClickFix

El éxito de estas campañas radica en su capacidad para explotar errores humanos mediante ingeniería social bien ejecutada. Los atacantes se benefician de la automatización del comportamiento del usuario, que tiende a hacer clic en verificaciones y aceptar mensajes sin cuestionarlos.

Recomendaciones para usuarios y empresas:

• Nunca ejecutar scripts sugeridos por sitios desconocidos.
• Desconfiar de verificaciones CAPTCHA que soliciten comandos del sistema.
• Utilizar soluciones antimalware actualizadas y específicas para macOS.
• Capacitar a los empleados en detección de técnicas de phishing avanzado.

Con la proliferación de campañas como esta, es esencial adoptar una postura proactiva en materia de ciberseguridad para evitar compromisos y proteger datos confidenciales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva variante de la botnet Mirai está explotando activamente una vulnerabilidad crítica de inyección de comandos en dispositivos de grabación de video digital (DVR) de TBK Vision, específicamente los modelos DVR-4104 y DVR-4216. El objetivo de los atacantes es secuestrar estos dispositivos para integrarlos en botnets y realizar ataques cibernéticos masivos, como ataques de denegación de servicio distribuido (DDoS) y tráfico proxy malicioso.

CVE-2024-3721: Vulnerabilidad crítica en dispositivos IoT

La falla, identificada como CVE-2024-3721, fue revelada públicamente por el investigador de seguridad conocido como "netsecfish" en abril de 2024. Se trata de una vulnerabilidad de inyección de comandos que puede ser explotada a través de una solicitud POST maliciosamente diseñada, permitiendo la ejecución remota de comandos de shell en dispositivos vulnerables mediante la manipulación de parámetros como mdb y mdc.

Una prueba de concepto (PoC) publicada por el investigador demostró lo sencillo que es explotar esta debilidad en los sistemas expuestos a Internet.

Explotación activa por variante de Mirai

Recientemente, la firma de ciberseguridad Kaspersky ha detectado la explotación activa de CVE-2024-3721 en sus honeypots de Linux. Según sus análisis, una nueva variante de la botnet Mirai está utilizando la PoC publicada para tomar control de los DVR afectados.

Los atacantes cargan un binario de malware ARM32 que conecta el dispositivo comprometido con un servidor de comando y control (C2). A partir de ahí, el dispositivo es utilizado para realizar actividades maliciosas típicas de botnets Mirai, como:

• Ataques DDoS masivos contra infraestructuras críticas
• Tráfico proxy encubierto
• Escaneo y explotación de otros dispositivos vulnerables

Impacto global y alcance de la amenaza

Aunque netsecfish informó inicialmente que más de 114,000 dispositivos DVR vulnerables estaban expuestos a Internet, los escaneos más recientes de Kaspersky revelan alrededor de 50,000 dispositivos aún en riesgo, lo que representa una superficie de ataque significativa.

Los países más afectados por esta variante de Mirai, según la telemetría de Kaspersky, incluyen:

• China
• India
• Egipto
• Ucrania
• Rusia
• Turquía
• Brasil

Cabe destacar que la telemetría puede no reflejar con precisión el alcance global debido a restricciones de uso de productos Kaspersky en ciertos países.

¿Se han lanzado parches de seguridad?

Hasta el momento, no está claro si TBK Vision ha emitido parches para mitigar la vulnerabilidad CVE-2024-3721. El medio especializado BleepingComputer intentó contactar con la empresa para confirmar la existencia de actualizaciones de seguridad, pero no ha recibido respuesta.

Un aspecto crítico a considerar es que los modelos afectados han sido rebrandeados bajo múltiples marcas, como:

• Novo
• CeNova
• QSee
• Pulnix
• XVR 5 en 1
• Securus
• Night OWL
• DVR Login
• HVR Login
• MDVR

Esto complica enormemente la identificación y aplicación de parches en entornos donde estos dispositivos están desplegados.

Un patrón recurrente: explotación tras divulgación pública

Este no es el primer caso en que vulnerabilidades reveladas por netsecfish son rápidamente explotadas por actores de amenazas. En 2023, el investigador expuso una cuenta de puerta trasera (backdoor) y una vulnerabilidad de inyección de comandos en dispositivos D-Link al final de su vida útil (EoL).

En ambos casos, la explotación activa se detectó pocos días después de la publicación de la prueba de concepto, lo que evidencia la velocidad con la que los grupos de malware integran nuevos exploits públicos a sus herramientas.

Recomendaciones de seguridad

• Para mitigar los riesgos asociados a esta vulnerabilidad, se recomienda:
• Desconectar de Internet cualquier DVR TBK afectado o rebrandeado hasta que se confirme su actualización.
• Aplicar parches de seguridad tan pronto estén disponibles.
• Implementar reglas de firewall que bloqueen accesos no autorizados a los dispositivos.
• Utilizar soluciones de seguridad IoT y segmentar la red para minimizar el impacto en caso de compromiso.
• Monitorizar comportamientos inusuales en los dispositivos, como un aumento en el tráfico saliente o conexiones inesperadas a servidores externos.

En fin, la explotación activa de CVE-2024-3721 por parte de una nueva variante de Mirai demuestra la persistente amenaza que representan las vulnerabilidades no parcheadas en dispositivos IoT. La rápida adopción de estos exploits por parte de ciberdelincuentes refuerza la necesidad de actuar con prontitud ante cualquier alerta de seguridad y fortalecer las defensas en infraestructuras críticas conectadas a Internet.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

United Natural Foods (UNFI), el mayor distribuidor mayorista de alimentos en América del Norte que cotiza en bolsa, fue víctima de un ciberataque que obligó a desconectar varios de sus sistemas críticos. El incidente, detectado el jueves 5 de junio, ha generado interrupciones temporales en la capacidad de la compañía para procesar y distribuir pedidos, afectando directamente su cadena de suministro en Estados Unidos y Canadá.

UNFI: infraestructura crítica de distribución alimentaria

Con sede en Rhode Island, UNFI opera 53 centros de distribución y abastece productos frescos, congelados y de despensa a más de 30,000 ubicaciones, incluyendo supermercados, minoristas independientes, plataformas de comercio electrónico, tiendas especializadas en productos naturales y clientes del sector de servicios alimentarios.

En agosto de 2024, la empresa reportó ingresos anuales superiores a 31,000 millones de dólares, trabaja con más de 11,000 proveedores y cuenta con una plantilla que supera los 28,000 empleados.

Detalles del ataque cibernético

Según una presentación 8-K ante la Comisión de Bolsa y Valores de EE. UU. (SEC) y un comunicado oficial en su sitio web, UNFI activó inmediatamente su plan de respuesta ante incidentes de ciberseguridad, aplicando medidas de contención como la desconexión proactiva de ciertos sistemas tecnológicos.

Citar"El incidente ha causado, y se espera que continúe causando, interrupciones temporales en las operaciones comerciales de la compañía", indicó UNFI.

Aunque aún no se ha confirmado la naturaleza exacta del ciberataque, ni si hubo robo de datos, la empresa ya notificó a las autoridades competentes y ha contratado a firmas especializadas en ciberseguridad para llevar a cabo una investigación forense.

Medidas adoptadas para restaurar operaciones

Con el objetivo de garantizar la continuidad del servicio, UNFI ha implementado soluciones alternativas mientras trabaja en el restablecimiento seguro de sus sistemas comprometidos. La empresa también ha reafirmado su compromiso con la transparencia y la protección de sus clientes.

Citar"La compañía continúa trabajando para restaurar sus sistemas de manera segura y minimizar el impacto en sus operaciones y en la cadena de suministro", agregó el comunicado.

Reacción del público y contexto en la industria

La noticia del ciberataque se propagó rápidamente por redes sociales, donde empleados y usuarios reportaron interrupciones en los sistemas y cancelaciones de turnos laborales. A pesar del interés mediático, la empresa no ha respondido a solicitudes de comentarios por parte de medios como BleepingComputer.

UNFI se suma así a una lista creciente de empresas del sector alimentario que han sido víctimas de ciberataques en los últimos años. En marzo, por ejemplo, Sam's Club, propiedad de Walmart, informó sobre una posible brecha vinculada al ransomware Clop. En 2021, JBS Foods, el mayor productor mundial de carne de vacuno, pagó 11 millones de dólares tras ser afectado por un ataque de ransomware REvil que paralizó su producción global.

Riesgos crecientes en la industria alimentaria

Este incidente destaca nuevamente la creciente amenaza que representa el ransomware y los ciberataques dirigidos a infraestructuras críticas, especialmente en sectores como la distribución de alimentos. La dependencia de sistemas digitales para la gestión logística y la entrega de productos convierte a empresas como UNFI en objetivos de alto valor para actores maliciosos.

A medida que estos ataques se vuelven más frecuentes y sofisticados, es fundamental que las empresas del sector refuercen sus estrategias de ciberseguridad proactiva, incluyendo evaluaciones de riesgos, formación del personal y protocolos de recuperación ante incidentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad crítica ha sido descubierta en Roundcube Webmail, una de las plataformas de correo web más utilizadas en entornos corporativos y gubernamentales. El fallo de seguridad, identificado como CVE-2025-49113, ha pasado inadvertido durante más de diez años y permite a atacantes autenticados ejecutar código arbitrario en servidores vulnerables.

Con una puntuación CVSS de 9.9 sobre 10, esta falla representa una amenaza significativa para miles de servidores que aún ejecutan versiones antiguas de Roundcube. La vulnerabilidad afecta a todas las versiones anteriores a 1.6.11 y 1.5.10 LTS, y ha sido clasificada como una ejecución remota de código post-autenticación provocada por una deserialización insegura de objetos PHP.

Detalles técnicos de la vulnerabilidad CVE-2025-49113

De acuerdo con la Base de Datos Nacional de Vulnerabilidades (NVD) del Instituto Nacional de Estándares y Tecnología (NIST), el fallo se produce porque el parámetro _from en la URL de program/actions/settings/upload.php no se valida adecuadamente. Esto permite la deserialización de objetos PHP, abriendo la puerta a que un atacante autenticado ejecute comandos arbitrarios en el servidor.

Citar"Roundcube Webmail antes de 1.5.10 y 1.6.x antes de 1.6.11 permite la ejecución remota de código por parte de usuarios autenticados porque el parámetro _from no está validado en upload.php", describe el NIST.

La falla fue descubierta por Kirill Firsov, fundador y CEO de la empresa de ciberseguridad FearsOff, con sede en Dubái. La compañía ha señalado que publicará más información técnica y una prueba de concepto (proof of concept, PoC) en los próximos días, brindando tiempo suficiente para que los usuarios apliquen los parches de seguridad.

Impacto y versiones afectadas

Esta vulnerabilidad impacta directamente a todas las implementaciones de Roundcube Webmail que aún no han sido actualizadas a las versiones 1.6.11 o 1.5.10 LTS, las cuales ya contienen el parche correspondiente.

Los expertos recomiendan enfáticamente actualizar inmediatamente a estas versiones para mitigar el riesgo. No aplicar la actualización expone a las organizaciones a ataques dirigidos y pérdida de información crítica.

Roundcube en la mira de actores estatales

Esta no es la primera vez que Roundcube es objetivo de actores de amenazas avanzadas. En 2024, se reportaron múltiples ataques que explotaban vulnerabilidades similares, incluyendo CVE-2024-37383, con el objetivo de comprometer cuentas de correo electrónico y obtener credenciales.

El grupo de ciberespionaje APT28, vinculado a la inteligencia militar rusa, fue observado aprovechando vulnerabilidades en Roundcube, Zimbra, Horde y MDaemon para acceder a correos electrónicos de entidades gubernamentales y empresas de defensa, principalmente en Europa del Este.

Recientemente, ESET reportó que APT28 utilizó ataques de tipo XSS (Cross-Site Scripting) para explotar fallas en múltiples servidores de correo web, incluida Roundcube, recopilando información confidencial de usuarios específicos.

Confirmación por parte de Positive Technologies

La empresa de ciberseguridad Positive Technologies también confirmó la existencia de CVE-2025-49113 tras reproducir con éxito la vulnerabilidad. En una publicación en su cuenta oficial de X (antes Twitter), instó a las organizaciones a aplicar la última actualización de seguridad sin demora.

Citar"Esta vulnerabilidad permite a los usuarios autenticados ejecutar comandos arbitrarios a través de la deserialización de objetos PHP", indicó la firma rusa.

Recomendaciones para administradores de sistemas

Para mitigar esta amenaza de forma inmediata, se recomienda lo siguiente:

• Actualizar Roundcube a la versión 1.6.11 o 1.5.10 LTS sin demora.
• Aplicar políticas de seguridad adicionales para monitorear actividad sospechosa de usuarios autenticados.
• Auditar los sistemas de correo web y analizar posibles compromisos previos.
• Estar atentos a la publicación de PoC y nuevas actualizaciones por parte de FearsOff y Positive Technologies.

En fin, la vulnerabilidad CVE-2025-49113 en Roundcube representa un riesgo crítico para organizaciones que dependen de este sistema de correo web. Dada la alta severidad y la posibilidad de ejecución remota de código, la actualización inmediata es esencial para prevenir ataques cibernéticos y proteger la integridad de los sistemas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un número creciente de campañas maliciosas está explotando un nuevo troyano bancario para Android llamado Crocodilus, apuntando a usuarios en Europa, América del Sur y otras regiones. Este malware, recientemente analizado en un informe de ThreatFabric, ha evolucionado rápidamente y ahora emplea técnicas avanzadas de ofuscación, nuevas funcionalidades y métodos de distribución sofisticados para evadir la detección y comprometer dispositivos móviles.

Expansión global del malware Crocodilus

Detectado por primera vez en marzo de 2025, Crocodilus comenzó atacando principalmente a usuarios de España y Turquía, haciéndose pasar por aplicaciones legítimas como Google Chrome. Desde entonces, su alcance geográfico se ha ampliado considerablemente, con nuevas campañas dirigidas a Polonia, Argentina, Brasil, India, Indonesia y Estados Unidos.

Las investigaciones más recientes revelan que los operadores de Crocodilus están activos y mantienen una estrategia de desarrollo constante. Esto incluye mejoras técnicas y la incorporación de funciones adicionales que refuerzan su capacidad para robar credenciales bancarias, frases semilla de criptomonedas y otros datos sensibles.

Técnicas de infección y distribución

Crocodilus emplea varios vectores de distribución. En Polonia, por ejemplo, los ciberdelincuentes utilizan anuncios falsos en Facebook que simulan ser plataformas bancarias o de comercio electrónico. Las víctimas son atraídas con supuestos puntos de bonificación y redirigidas a sitios maliciosos desde donde se descarga el malware.

Otras campañas se presentan como actualizaciones del navegador web o incluso como aplicaciones de casinos en línea, especialmente en España y Turquía. Este tipo de ingeniería social es clave para inducir a los usuarios a instalar voluntariamente el troyano en sus dispositivos Android.

Capacidades del troyano bancario Crocodilus

Crocodilus es un malware altamente sofisticado con funciones avanzadas como:

• Ataques de superposición (overlay attacks): Suplantación de aplicaciones financieras legítimas para capturar nombres de usuario y contraseñas.
• Abuso de servicios de accesibilidad: Permite registrar entradas de teclado, leer la pantalla y controlar el dispositivo sin interacción del usuario.
• Robo de frases semilla y claves privadas: Captura frases asociadas a billeteras de criptomonedas, permitiendo el vaciamiento de activos digitales.
• Creación remota de contactos falsos: Recientemente, el malware puede agregar automáticamente contactos a la agenda del usuario tras recibir el comando "TRU9MMRHBCRO".

Este último desarrollo podría ser una respuesta directa a las nuevas funciones de seguridad introducidas por Google en Android, que alertan a los usuarios cuando se inicia una aplicación bancaria durante una sesión de pantalla compartida. Al añadir un contacto falso con nombre como "Soporte bancario", el atacante puede engañar al usuario simulando una llamada legítima y potencialmente evadir los sistemas antifraude que detectan números desconocidos.

El peligro del recopilador automatizado de frases semilla

Una de las funcionalidades más alarmantes de las variantes recientes de Crocodilus es un analizador automático de frases semilla, diseñado para extraer frases clave y claves privadas de aplicaciones específicas de billeteras cripto. Esta automatización aumenta significativamente el riesgo de robo masivo de criptomonedas y expone a usuarios desprevenidos a pérdidas económicas severas.

Crocodilus: una amenaza en evolución para Android

La evolución constante del troyano Crocodilus y su expansión fuera de sus regiones iniciales reflejan una tendencia preocupante: los malware bancarios para Android se están volviendo más globales, sofisticados y persistentes. A medida que los atacantes refuerzan sus herramientas, los usuarios y las instituciones deben aumentar su vigilancia y adoptar prácticas de seguridad más robustas.

Recomendaciones:

• Evita descargar aplicaciones desde enlaces en redes sociales o anuncios.
• Verifica siempre la legitimidad de una app en Google Play Store.
• Utiliza soluciones de seguridad móvil que incluyan detección de malware bancario.
• No compartas tu pantalla al utilizar apps financieras.
• Mantén Android y todas tus apps actualizadas con los últimos parches de seguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En una operación internacional liderada por el Servicio Secreto de Estados Unidos (USSS) y la Oficina Federal de Investigaciones (FBI), las autoridades incautaron varios dominios asociados al mercado ilegal BidenCash, una conocida plataforma de la web oscura dedicada a la compraventa de tarjetas de crédito robadas, datos personales y accesos SSH.

Incautación de dominios de BidenCash: golpe a la web oscura

Los principales dominios vinculados a BidenCash ahora redirigen al sitio oficial del Servicio Secreto (usssdomainseizure.com), donde una pancarta informa que la incautación forma parte de una operación internacional contra el crimen cibernético. Esta acción fue respaldada por la Policía Nacional Holandesa (Politie), la fundación de ciberseguridad The ShadowServer Foundation y la empresa Searchlight Cyber, especializada en visibilidad de superficie de ataque en tiempo real.

Según el investigador de seguridad g0njxa, incluso el dominio de BidenCash en la web clara con el TLD .asia fue redirigido a la página del Servicio Secreto. Sin embargo, algunos dominios secundarios del mercado todavía estarían activos, según informes no confirmados.

BidenCash: mercado ilegal con millones en ingresos

Un comunicado oficial del Departamento de Justicia de EE. UU. reveló que la operación permitió confiscar más de 145 dominios y criptomonedas asociadas con BidenCash. Desde su creación en marzo de 2022, el sitio operaba cobrando comisiones por cada transacción, generando más de 17 millones de dólares en ingresos ilícitos.

El mercado contaba con más de 117.000 usuarios registrados y facilitó el tráfico de más de 15 millones de números de tarjetas de pago, junto con información de identificación personal (PII) de las víctimas.

Filtraciones masivas y promoción delictiva

Desde sus inicios, los operadores de BidenCash intentaron ganar notoriedad mediante filtraciones masivas. En junio de 2022, liberaron una base de datos con 6.600 tarjetas y millones de correos electrónicos. En octubre del mismo año, filtraron otra con 1,2 millones de tarjetas de crédito, en su mayoría pertenecientes a ciudadanos estadounidenses, con fechas de vencimiento entre 2023 y 2026.

En 2023, siguieron promoviendo sus servicios con dos nuevas filtraciones que sumaron más de 4 millones de tarjetas de crédito expuestas. Estas acciones tenían como objetivo captar más compradores y reforzar su presencia como sustituto del desaparecido mercado Joker's Stash.

Evolución del fraude con tarjetas: de malware PoS a skimming web

Durante décadas, los mercados ilegales de tarjetas como BidenCash se han nutrido de datos obtenidos a través de malware de puntos de venta (PoS) y técnicas de web skimming. Inicialmente, los ciberdelincuentes utilizaban malware que extraía los datos directamente de la memoria de los terminales de pago. Más recientemente, plantan código malicioso en tiendas en línea para capturar la información de tarjetas durante el proceso de pago.

Acciones recientes contra el fraude financiero

El Servicio Secreto de EE. UU. continúa liderando operaciones contra el fraude financiero, incluyendo casos de tarjetas de crédito robadas, lavado de dinero y estafas con criptomonedas. A finales de mayo de 2025, junto a socios estatales y locales, la agencia inspeccionó más de 411 negocios físicos en busca de dispositivos de skimming en cajeros automáticos, estaciones de gasolina y terminales PoS.

Aunque solo se incautaron 17 skimmers, se estima que la operación previno pérdidas superiores a los 5 millones de dólares.

En fin, la incautación de los dominios de BidenCash representa un golpe importante contra el ecosistema de ciberdelincuencia financiera en la web oscura. Aunque estos mercados suelen intentar reactivarse bajo nuevos dominios, las acciones coordinadas de agencias como el USSS, FBI y sus aliados internacionales son claves para desmantelar las infraestructuras que sustentan el tráfico de tarjetas de crédito robadas y la suplantación de identidad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Dirección Principal de Inteligencia (GUR) del Ministerio de Defensa de Ucrania ha llevado a cabo un ciberataque exitoso contra Tupolev, la reconocida empresa aeroespacial y de defensa de Rusia responsable del desarrollo de bombarderos estratégicos supersónicos como el Tu-160, Tu-22 y Tu-95. Según medios ucranianos, esta operación forma parte de una serie de acciones ofensivas cibernéticas que buscan debilitar la infraestructura militar rusa desde dentro.

Hackeo a Tupolev: 4,4 GB de datos confidenciales comprometidos

Una fuente interna del GUR reveló que los expertos en ciberinteligencia militar accedieron a los sistemas internos de Tupolev, extrayendo aproximadamente 4,4 gigabytes de información clasificada. Este conjunto de datos incluye:

• Información personal del personal de Tupolev
• Comunicaciones internas de la dirección ejecutiva
• Documentación sobre adquisiciones militares
• Currículums de ingenieros y diseñadores
• Actas de reuniones privadas y estratégicas

Aunque no se ha especificado la fecha exacta del compromiso, la fuente indicó que los hackers estuvieron infiltrados durante un periodo prolongado, lo que permitió recopilar información adicional que podría utilizarse en futuras operaciones contra otras organizaciones del sector defensa en Rusia.

Citar"El valor de los datos obtenidos es difícil de exagerar. Prácticamente no queda nada secreto sobre las operaciones de Tupolev desde la perspectiva de la inteligencia ucraniana", afirmó la fuente anónima al Kyiv Post.

Impacto en la industria de defensa rusa

Además del robo de información, los agentes del GUR desfiguraron el sitio web oficial de Tupolev, insertando una imagen simbólica de un búho con un avión entre sus garras. Actualmente, el dominio redirige al sitio de United Aircraft Corporation (UAC), conglomerado estatal que agrupa a fabricantes como Tupolev, Mikoyan, Ilyushin, Sukhoi, Yakovlev e Irkut.

Un portavoz de UAC no estuvo disponible para comentarios al momento de la publicación, según informó BleepingComputer.

Este ciberataque se suma a una ofensiva más amplia que incluye la reciente operación del Servicio de Seguridad de Ucrania (SBU), en la que se utilizaron drones FPV (visión en primera persona) para atacar simultáneamente 41 aviones de combate estacionados en cuatro aeródromos rusos. Entre los objetivos se encontraban aeronaves de vigilancia A-50 y bombarderos estratégicos Tu-160, Tu-22 y Tu-95.

GUR intensifica operaciones cibernéticas contra entidades rusas

No es la primera vez que la inteligencia militar ucraniana ataca a entidades clave de la Federación Rusa. Anteriormente, el GUR afirmó haber comprometido los servidores del Ministerio de Defensa ruso (Minoborony), accediendo a documentos secretos y datos altamente confidenciales.

Asimismo, se han reportado violaciones a otras instituciones rusas, incluyendo:

• La Agencia Federal de Transporte Aéreo (Rosaviatsia)
• El Centro Ruso de Hidrometeorología Espacial
• El Servicio Federal de Impuestos (FNS)

En algunos casos, los atacantes ucranianos también destruyeron bases de datos y borraron servidores de respaldo, provocando interrupciones operativas significativas.

Hacktivismo ucraniano contra objetivos rusos desde 2014

Desde el inicio de la agresión rusa en 2014, diversos grupos de hacktivistas ucranianos han participado en operaciones cibernéticas contra infraestructura crítica rusa. Un ejemplo reciente ocurrió en enero, cuando la Alianza Cibernética Ucraniana (UCA) hackeó al proveedor de servicios de Internet ruso Nodex, eliminando sistemas y copias de seguridad.

La UCA también ha reclamado ataques exitosos contra:

• Vladislav Surkov, asesor político de Vladimir Putin
• El Ministerio de Defensa ruso
• El Ministerio de Carbón y Energía de la República Popular de Donetsk
• El Instituto de la Comunidad de Estados Independientes, financiado por Gazprom
• Diversos oficiales militares y medios de comunicación rusos

Ucrania intensifica la guerra cibernética contra Rusia

El ataque a Tupolev representa un importante golpe para la industria de defensa rusa, afectando directamente su capacidad de operación y desarrollo estratégico. La guerra cibernética liderada por Ucrania, tanto desde el ámbito oficial como desde el activismo digital, continúa escalando en complejidad y alcance, consolidándose como una herramienta clave en el conflicto geopolítico actual.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

AxOS está ganando reconocimiento entre los entusiastas del software libre y usuarios avanzados de Linux. Aunque su presencia en línea aún es emergente, cada vez más personas exploran esta prometedora distribución Linux personalizada, que busca unir la potencia de Arch Linux con una experiencia visual moderna y accesible. En esta guía detallada te explicamos qué es AxOS, cómo nació el proyecto, cuáles son sus principales características técnicas, su filosofía de desarrollo y cómo puedes unirte a su comunidad.

Si estás buscando una alternativa a las distribuciones tradicionales de Linux, ya sea como usuario avanzado o principiante curioso, AxOS Linux podría ser el sistema operativo que necesitas.

¿Qué es AxOS?

AxOS es un sistema operativo de código abierto basado en Arch Linux, desarrollado por una comunidad francófona con un enfoque en la usabilidad y el diseño visual. Aunque parte de la robustez de Arch, AxOS no es un simple fork: es una reinterpretación que aporta una identidad propia, facilitando el acceso al ecosistema Arch sin renunciar a la personalización ni a una interfaz más cuidada.

Esta distribución Linux se caracteriza por su enfoque rolling release, su arquitectura ligera y su flexibilidad para adaptarse a distintos perfiles de usuario, desde desarrolladores hasta entusiastas del escritorio.

Filosofía y origen del proyecto AxOS
AxOS nace de una visión colaborativa, donde la comunidad es el motor del desarrollo. Según indican sus creadores en el repositorio oficial de GitHub, cualquier persona puede contribuir, sugerir mejoras o participar activamente en el crecimiento del proyecto.

Distribuido bajo la licencia GNU General Public License (GPL), AxOS es 100% libre y abierto, lo que significa que puedes descargarlo, modificarlo y redistribuirlo sin restricciones más allá de las condiciones de la GPL. Toda la documentación técnica, actualizaciones y recursos adicionales están disponibles tanto en la web oficial de AxOS como en su espacio en GitHub.

Características técnicas de AxOS

AxOS destaca entre las distribuciones derivadas de Arch Linux por su equilibrio entre rendimiento, estética y facilidad de uso. Estas son algunas de sus funcionalidades más relevantes:

• Versatilidad y personalización: Al seguir el modelo de instalación mínima de Arch Linux, AxOS permite configurar el sistema desde cero, adaptándolo completamente a tus necesidades.
• Diseño refinado: El equipo de desarrollo cuida cada detalle visual, integrando temas, iconos y fondos que ofrecen una experiencia moderna, clara y agradable.
• Actualizaciones continuas: Gracias a su modelo rolling release, AxOS permanece al día sin necesidad de reinstalaciones completas con cada nueva versión.
• Documentación útil: El proyecto cuenta con manuales descargables, como la guía en PDF sobre AxosVisual, enfocada en la gestión de inventarios y sistemas, accesible desde la web oficial.

Instalación de AxOS paso a paso

El proceso de instalación de AxOS es muy similar al de Arch Linux, aunque con ciertas adaptaciones pensadas para facilitar el acceso a usuarios menos experimentados:

• Descarga la imagen ISO desde el sitio oficial o GitHub.
• Graba la ISO en una memoria USB utilizando herramientas como Rufus, Balena Etcher o la terminal.
• Inicia el equipo desde el USB y sigue las instrucciones del instalador de AxOS.
• Elige el entorno de escritorio y las aplicaciones que deseas incluir.
• Completa la instalación y reinicia el sistema.

Una vez instalado, el sistema permite una amplia personalización, como es característico en la familia Arch.

Comunidad de AxOS: contribuye y participa

La comunidad de AxOS es aún pequeña, pero está activa y abierta a nuevas contribuciones. A través de GitHub, cualquier usuario puede:

• Reportar errores o bugs.
• Proponer mejoras o nuevas funciones.
• Participar en discusiones sobre el rumbo del proyecto.
• Consultar el código fuente y sugerir pull requests.

Además, se promueve el respeto a las normas básicas de convivencia, como aceptar la licencia, revisar los archivos de contribución y seguir el código de conducta del proyecto.

Relación de AxOS con Arch Linux

AxOS aprovecha toda la potencia de Arch Linux: utiliza su gestor de paquetes pacman, su sistema de actualizaciones continuas y su arquitectura de instalación modular. Esto garantiza compatibilidad, seguridad y rendimiento.

Sin embargo, AxOS añade su propio valor al integrar mejoras visuales y funcionales que simplifican la curva de aprendizaje y mejoran la experiencia de usuario desde el primer uso.

Usabilidad y rendimiento: una combinación destacada

Una de las principales fortalezas de AxOS es su capacidad para equilibrar rendimiento con una interfaz visual moderna. Gracias a su base ligera, puede ejecutarse en equipos con recursos modestos, mientras que su enfoque en el diseño mejora la interacción diaria con el sistema.

Aunque el proyecto aún se encuentra en desarrollo activo, sus actualizaciones frecuentes garantizan estabilidad, seguridad y nuevas funcionalidades. El equipo se esfuerza por facilitar una experiencia accesible para todo tipo de usuarios, sin sacrificar control ni personalización.

Recursos y visibilidad en línea

Pese a ser un proyecto joven, AxOS cuenta con una creciente presencia digital:

• Sitio web oficial: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
• Repositorio GitHub con código y documentación.
• Manuales en PDF, como el de AxosVisual, orientado a gestión de inventarios y sistemas.
• Menciones en redes como LinkedIn y primeras apariciones en YouTube con reseñas y tutoriales.
• Seguimiento emergente en plataformas como DistroWatch.

Este es un momento ideal para quienes deseen contribuir con contenido, guías o videos, ya que el ecosistema aún está en expansión.

Licencia libre y derechos de uso

AxOS se distribuye bajo la GNU GPL, lo que permite su uso, modificación y redistribución de manera completamente legal y gratuita. Todos los detalles sobre licencias están disponibles en los archivos del repositorio y en la documentación incluida en la imagen ISO.

¿Por qué elegir AxOS?

AxOS es ideal si buscas un sistema operativo que combine:

• La potencia y libertad de Arch Linux.
• Una interfaz visual refinada.
• Actualizaciones constantes sin complicaciones.
• Una comunidad abierta al desarrollo colaborativo.
• Flexibilidad total para personalizar tu entorno.

Ya seas un usuario avanzado de Linux o estés buscando tu primera distribución Arch simplificada, AxOS es una opción prometedora que vale la pena explorar.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han descubierto una sofisticada campaña de spear-phishing dirigida a directores financieros (CFO) y altos ejecutivos del sector bancario, energético, asegurador e inversionista. Esta operación maliciosa utiliza NetBird, una herramienta legítima de acceso remoto basada en WireGuard, como vector de ataque para establecer persistencia en los sistemas comprometidos.

La actividad fue detectada por Trellix a mediados de mayo de 2025, aunque aún no ha sido atribuida a ningún grupo de amenazas conocido. El investigador Srini Seethapathy describió el ataque como una operación en múltiples fases que explota la confianza en herramientas empresariales legítimas para evadir medidas de seguridad.

Fase inicial: phishing dirigido con suplantación de reclutadores

El ataque comienza con un correo electrónico de phishing que simula provenir de un reclutador de Rothschild & Co., ofreciendo una "oportunidad estratégica". El mensaje incluye un supuesto archivo PDF, que en realidad redirige a una URL oculta dentro de Firebase. La URL de redireccionamiento está encriptada y solo puede ser accedida tras completar un CAPTCHA personalizado, una técnica utilizada para eludir mecanismos automatizados de detección como Cloudflare Turnstile o Google reCAPTCHA.

Una vez completado el CAPTCHA, se descarga un archivo ZIP malicioso que contiene un VBScript diseñado para recuperar e iniciar un segundo script desde un servidor externo. Este script descarga un archivo adicional, lo renombra a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y extrae dos instaladores MSI: uno para NetBird y otro para OpenSSH.

Persistencia y evasión: cómo se oculta el ataque

El malware instala ambos programas en el sistema, crea una cuenta de usuario local oculta, habilita el acceso remoto al escritorio y configura tareas programadas para asegurar la persistencia de NetBird tras reinicios. También elimina accesos directos visibles al software instalado, dificultando la detección del compromiso.

Trellix identificó otra URL maliciosa activa desde hace casi un año, que distribuye el mismo payload, lo que sugiere que esta campaña podría llevar operando en secreto desde hace meses.

Tendencias: abuso de herramientas legítimas y ataques de ingeniería social

Este ataque se alinea con una tendencia creciente en la que los ciberdelincuentes utilizan aplicaciones legítimas de acceso remoto como ConnectWise, ScreenConnect, Atera, Splashtop, FleetDeck y LogMeIn Resolve. Estas herramientas, diseñadas para administración remota, son aprovechadas por actores maliciosos para establecer persistencia sin levantar sospechas.

CitarSegún Seethapathy:

"Este ataque no es una estafa de phishing común. Está cuidadosamente diseñado, con múltiples capas, dirigido a personas clave y adaptado para eludir tanto tecnologías de defensa como la conciencia del usuario."

Más campañas de phishing activas en 2025

El informe coincide con la aparición de múltiples campañas de phishing en curso, entre ellas:

• Uso de dominios de confianza de ISPs japoneses para eludir filtros SPF y DKIM.
• Abuso de Google Apps Script para alojar páginas de phishing que roban credenciales de Microsoft.
• Imitaciones de facturas de Apple Pay para robar información bancaria y cuentas de correo.
• Páginas de phishing en Notion para capturar credenciales mediante enlaces falsos.
• Explotación de la vulnerabilidad CVE-2017-11882 en Microsoft Office para distribuir el malware Formbook oculto en archivos PNG.

Auge del phishing como servicio (PhaaS) y automatización de ataques

En paralelo, Trustwave ha expuesto la conexión entre los kits de phishing Tycoon y DadSec (alias Storm-1575 según Microsoft), que comparten infraestructura centralizada. DadSec está vinculado a una nueva campaña que utiliza la plataforma Tycoon 2FA, diseñada para eludir mecanismos de autenticación multifactor (MFA) mediante ataques tipo adversario-en-el-medio (AiTM).

También se ha detectado el kit de phishing Haozi, de origen chino, que ha generado más de 280.000 dólares en actividades ilícitas en cinco meses. Este servicio PhaaS de suscripción anual (2.000 dólares) proporciona una interfaz web automatizada y soporte vía Telegram para que incluso actores sin conocimientos técnicos puedan lanzar campañas de phishing.

Nuevas tácticas: phishing de dispositivos, OAuth y unión de dominio

Microsoft ha advertido sobre el uso de nuevas técnicas por parte de actores de amenazas vinculados a Rusia y otros grupos avanzados, incluyendo:

• Phishing de códigos de dispositivos.
• Phishing de consentimiento OAuth, con enlaces maliciosos disfrazados de aplicaciones legítimas.
• Phishing de unión de dispositivos, que engaña al usuario para registrar dispositivos en dominios controlados por el atacante.

Estas técnicas aprovechan errores humanos más que fallos técnicos, consolidando el phishing como la principal amenaza cibernética en 2025.

Concienciación, defensa activa y visibilidad

Las campañas de spear-phishing como esta representan un riesgo crítico para organizaciones en todo el mundo. La combinación de herramientas legítimas, evasión de detección y técnicas de ingeniería social avanzadas demuestra la necesidad de adoptar enfoques de seguridad proactivos.

Según Igor Sakhnov, CISO adjunto de Microsoft:

"Aunque las tecnologías de detección han mejorado, los atacantes siguen explotando el comportamiento humano. La formación continua y el conocimiento de las tácticas más comunes son esenciales para prevenir estos ataques."

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El mercado de ciberdelincuencia Russian Market se ha consolidado como una de las plataformas más populares para la compra y venta de credenciales robadas mediante malware ladrón de información (infostealers). Según un informe reciente de ReliaQuest, este mercado ruso ha experimentado un crecimiento significativo, especialmente tras la eliminación del conocido Genesis Market, que dejó un vacío importante en el panorama criminal.

Auge de Russian Market tras la caída de Genesis Market

Aunque Russian Market ha estado activo durante aproximadamente seis años, fue en 2022 cuando comenzó a ganar notoriedad. En 2025, su popularidad alcanzó nuevas alturas, en parte debido a la desaparición de Genesis Market, lo que impulsó a ciberdelincuentes a migrar hacia esta plataforma.

A pesar de que el 85% de las credenciales vendidas en Russian Market se "reciclan" de otras fuentes, su oferta de registros a precios bajos (desde $2 por archivo) y su facilidad de acceso lo han convertido en una referencia para los actores de amenazas.

¿Qué contiene un registro robado por malware infostealer?

Un registro de infostealer es un archivo (o conjunto de archivos) generado por un malware ladrón de información, y puede contener:

• Contraseñas de cuentas
• Cookies de sesión
• Datos de tarjetas de crédito
• Credenciales de carteras de criptomonedas
• Información del sistema del dispositivo infectado

Cada registro puede incluir docenas, e incluso miles, de credenciales, lo que multiplica exponencialmente el valor del botín. Posteriormente, estos datos robados se cargan en servidores controlados por ciberdelincuentes, y se revenden en mercados como Russian Market para su uso en ataques posteriores.

Enfoque en empresas: SaaS y credenciales SSO en la mira

Los malware infostealers se han vuelto una herramienta clave para los actores de amenazas que buscan acceder a cuentas empresariales. ReliaQuest destaca que:

• El 61% de los registros disponibles en Russian Market contienen credenciales SaaS de plataformas como Google Workspace, Zoom y Salesforce.
• El 77% de los registros incluyen credenciales SSO (Single Sign-On), lo que permite a los atacantes acceder a múltiples servicios con un solo conjunto de credenciales.

Citar"Las cuentas en la nube comprometidas permiten a los atacantes acceder a sistemas críticos y representan una oportunidad para el robo de datos confidenciales", explican los investigadores de ReliaQuest.

Lumma Stealer en declive, Acreed en ascenso

El informe también analiza la evolución de los malware infostealers predominantes en Russian Market. Hasta hace poco, Lumma Stealer dominaba el mercado, representando el 92% de los registros robados publicados en la plataforma.

Lumma tomó protagonismo tras el colapso de Raccoon Stealer, desmantelado por una operación de las fuerzas del orden. Sin embargo, recientemente, una operación policial global incautó más de 2.300 dominios asociados a Lumma, interrumpiendo significativamente sus actividades.

Aunque sus desarrolladores intentan reconstruir y reiniciar la infraestructura de Lumma, según Check Point, su presencia en el mercado ha disminuido, abriendo paso a nuevos actores.

Acreed: el nuevo infostealer que conquista Russian Market

ReliaQuest ha observado un rápido crecimiento de Acreed, un nuevo malware ladrón de información que ha ganado tracción tras el declive de Lumma. Según Webz, Acreed logró más de 4.000 registros robados en su primera semana de actividad en Russian Market.

Acreed funciona de manera similar a otros infostealers: roba información almacenada en navegadores como Chrome, Firefox y sus derivados, incluyendo:

• Contraseñas
• Cookies de sesión
• Billeteras de criptomonedas
• Datos de tarjetas de crédito

Vectores de infección: cómo operan los infostealers
Los métodos de distribución de malware infostealer más comunes incluyen:

• Correos electrónicos de phishing
• Campañas de ClickFix
• Publicidad maliciosa de software pirata
• Contenido en plataformas como YouTube y TikTok

Estas técnicas buscan engañar a los usuarios para que descarguen e instalen software malicioso que compromete sus dispositivos y datos.

Recomendaciones de seguridad

Para minimizar el riesgo de infección con malware infostealer y evitar que tus credenciales terminen en Russian Market, se recomienda:

• Evitar descargar software de fuentes no oficiales
• Utilizar soluciones de seguridad actualizadas
• Habilitar la autenticación multifactor (MFA)
• Educar a los empleados sobre amenazas de phishing y enlaces maliciosos

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta