Investigadores de ciberseguridad han revelado una grave vulnerabilidad en el framework Laravel, que permite la ejecución remota de código (RCE) cuando su clave APP_KEY es expuesta. Esta falla crítica se debe a problemas de deserialización combinados con malas prácticas de gestión de secretos, lo que representa una amenaza significativa para la seguridad de miles de aplicaciones web.

¿Qué es APP_KEY y por qué es tan importante en Laravel?

La APP_KEY es una cadena de 32 bytes generada aleatoriamente durante la instalación de Laravel. Se utiliza para:

• Cifrar y descifrar datos confidenciales
• Generar tokens seguros
• Firmar cookies de sesión
• Proteger integridad de datos

Se almacena en el archivo .env, junto a otros secretos sensibles como credenciales de bases de datos o tokens de API. Por tanto, la exposición de esta clave compromete toda la seguridad criptográfica de la aplicación.

Exposición masiva de APP_KEYs en GitHub

De acuerdo con un informe de GitGuardian, en colaboración con Synacktiv, se han recopilado más de 260,000 APP_KEYs filtradas en GitHub desde 2018 hasta mayo de 2025. De estas, más de 10,000 claves fueron únicas y 400 fueron validadas como funcionales, permitiendo la explotación directa de aplicaciones activas.

Entre los hallazgos más preocupantes:

• Más de 600 aplicaciones Laravel vulnerables a ataques RCE confirmadas
• 28,000 pares APP_KEY + APP_URL expuestos simultáneamente
• 120 aplicaciones con claves válidas y accesibles, vulnerables a ataques triviales

La combinación de APP_KEY y APP_URL permite a los atacantes apuntar directamente a la aplicación, obtener cookies de sesión cifradas y descifrarlas para obtener acceso privilegiado.

Deserialización insegura y ejecución remota de código

El origen de la vulnerabilidad está en cómo Laravel maneja la función decrypt(). Al descifrar datos, Laravel deserializa automáticamente la información, lo que abre la puerta a la ejecución de código si el contenido ha sido manipulado maliciosamente.

Citar"Si un atacante tiene acceso a APP_KEY y puede invocar la función decrypt() con una carga útil manipulada, puede ejecutar código arbitrario en el servidor web", explicó Guillaume Valadon, investigador de seguridad.

Este vector de ataque fue identificado inicialmente como CVE-2018-15133, que afecta a versiones anteriores a Laravel 5.6.30. Sin embargo, la amenaza sigue presente en versiones más recientes cuando los desarrolladores utilizan configuraciones como SESSION_DRIVER=cookie, como lo evidencia la vulnerabilidad CVE-2024-55556.

AndroxGh0st y ataques en la vida real

La vulnerabilidad no es teórica. Ha sido explotada activamente por grupos maliciosos, como los asociados con el malware AndroxGh0st, que escanean Internet en busca de archivos .env mal configurados y con claves expuestas.

Un análisis detallado muestra que:

• El 63% de las exposiciones de APP_KEY provienen directamente de archivos .env
• Estos archivos también contienen otros secretos como:
• Tokens de almacenamiento en la nube
• Credenciales de bases de datos
• API Keys de servicios de IA y comercio electrónico

Ecosistema en riesgo: secretos en contenedores y DockerHub

El problema no se limita a Laravel. GitGuardian también ha detectado 100,000 secretos válidos en imágenes públicas de Docker en DockerHub, incluyendo credenciales de:

• Amazon Web Services (AWS)
• Google Cloud Platform
• GitHub
• CircleCI
• Claves API y tokens JWT

Un análisis de Binarly en más de 80,000 imágenes únicas reveló 644 secretos únicos expuestos, abarcando múltiples organizaciones y servicios. La presencia de repositorios Git completos dentro de imágenes de contenedores agrava aún más el riesgo.

Recomendaciones clave para desarrolladores y equipos de seguridad

GitGuardian subraya que eliminar una clave comprometida del repositorio no es suficiente. Si el repositorio fue clonado o almacenado por herramientas de terceros, el secreto sigue en riesgo.

Medidas recomendadas:

• Rotar inmediatamente cualquier APP_KEY comprometida.
• Actualizar todos los entornos de producción con la nueva clave.
• Implementar un sistema de monitoreo de secretos continuo.
• Configurar correctamente SESSION_DRIVER para evitar el uso inseguro de cookies serializadas.
• Eliminar archivos .env sensibles de las imágenes de Docker.
• Aplicar herramientas como phpggc para probar vulnerabilidades de deserialización en entornos controlados.
• Adoptar un enfoque de seguridad por diseño, incluyendo guías específicas para Laravel y otras plataformas populares.

Nuevas amenazas: MCP y filtraciones en aplicaciones de IA

La adopción acelerada del Modelo de Contexto de Protocolo (MCP) en aplicaciones de IA corporativas también ha introducido nuevos vectores de ataque. GitGuardian identificó que el 5,2% de los repositorios con MCP publicados en GitHub filtraron al menos un secreto, superando el promedio global del 4,6%.

Este descubrimiento posiciona a los servidores MCP como una nueva fuente de filtración de secretos, especialmente relevantes para flujos de trabajo agentivos en entornos de inteligencia artificial empresarial.

En fin, la exposición de APP_KEYs en Laravel no es solo una mala práctica, sino una amenaza crítica que permite la ejecución remota de código, comprometiendo datos sensibles, infraestructura y modelos de negocio. La magnitud de las filtraciones en GitHub, DockerHub y servidores MCP demuestra que la gestión de secretos debe ser una prioridad absoluta en cualquier estrategia de ciberseguridad.

Para proteger tus aplicaciones Laravel y demás servicios, es esencial combinar rotación activa de claves, monitoreo continuo de secretos, configuración segura de entornos y concienciación de los equipos de desarrollo. Solo así se puede reducir significativamente el riesgo ante ataques sofisticados como los descritos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

NVIDIA ha emitido una advertencia urgente a sus clientes sobre una nueva variante del ataque RowHammer, denominada GPUHammer, que compromete la integridad de sus unidades de procesamiento gráfico (GPU), afectando directamente la precisión de los modelos de inteligencia artificial (IA). La compañía insta a los usuarios a habilitar los códigos de corrección de errores (ECC) a nivel de sistema como medida de defensa.

¿Qué es GPUHammer y por qué representa una amenaza?

GPUHammer es el primer exploit conocido de tipo RowHammer dirigido específicamente a GPUs, demostrado en modelos como la NVIDIA A6000 con memoria GDDR6. Este ataque permite que usuarios maliciosos manipulen la memoria compartida de una GPU para modificar datos almacenados por otros usuarios, todo sin acceso directo a sus cargas de trabajo.

En una prueba realizada por investigadores de la Universidad de Toronto, se comprobó que un solo cambio de bit podía reducir la precisión de un modelo de IA de ImageNet del 80% al 0,1%. Esto convierte a GPUHammer no solo en una amenaza para la seguridad, sino en una vulnerabilidad crítica para la fiabilidad de los modelos de IA.

RowHammer: de la DRAM a la GPU

RowHammer es una vulnerabilidad a nivel de hardware que afecta a la memoria DRAM. Mediante accesos repetitivos a una fila de memoria, un atacante puede provocar interferencias eléctricas que alteran los bits en filas adyacentes. A diferencia de Spectre y Meltdown, que explotan fallos en la ejecución especulativa de CPUs, RowHammer actúa directamente sobre el comportamiento físico de la memoria.

En 2022, investigadores de la Universidad de Michigan y Georgia Tech combinaron RowHammer y Spectre en un ataque denominado SpecHammer, capaz de insertar valores maliciosos en la memoria de un dispositivo víctima mediante cambios de bits, facilitando así ataques especulativos.

GPUHammer extiende esta técnica a las GPUs, incluso en presencia de mitigaciones tradicionales como Target Row Refresh (TRR), exponiendo una nueva superficie de ataque poco explorada hasta ahora.

Impacto en la inteligencia artificial y el aprendizaje automático

El principal objetivo de GPUHammer es corromper modelos de red neuronal profunda (DNN) sin alterar los datos de entrada. Esta manipulación subrepticia puede degradar drásticamente la precisión de modelos de IA, afectando aplicaciones críticas como:

• Vehículos autónomos
• Motores de detección de fraudes
• Diagnóstico médico asistido por IA
• Plataformas de IA periférica

En entornos de GPU compartidas, como servicios en la nube o infraestructuras de escritorio virtual (VDI), un atacante podría explotar GPUHammer para afectar cargas de trabajo adyacentes, introduciendo riesgos entre inquilinos que no suelen contemplarse en los esquemas de seguridad actuales.

Mitigaciones recomendadas por NVIDIA

Para reducir el riesgo de ataques GPUHammer, NVIDIA recomienda habilitar ECC mediante el comando:


Y verificar su estado con:


La activación de ECC permite detectar y corregir errores de memoria causados por fluctuaciones de voltaje o manipulaciones intencionadas. Sin embargo, esta protección puede conllevar:

• Hasta un 10% de ralentización en cargas de inferencia
• Reducción del 6,25% en capacidad de memoria disponible

Por ello, se sugiere habilitar ECC selectivamente en nodos de entrenamiento o tareas de alto riesgo. Además, se recomienda supervisar registros del sistema como /var/log/syslog o dmesg en busca de errores corregidos que puedan indicar intentos de explotación en curso.

Cabe destacar que las GPUs más recientes, como la NVIDIA H100 o la RTX 5090, integran ECC en el chip, ofreciendo protección nativa frente a ataques de esta clase.

Riesgos regulatorios y de cumplimiento

La corrupción silenciosa de modelos de IA mediante ataques de inversión de bits plantea graves riesgos regulatorios, especialmente en sectores como:

• Sanidad
• Finanzas
• Defensa
• Sistemas autónomos

Una inferencia errónea causada por un modelo dañado podría infringir normativas de seguridad, integridad de datos y explicabilidad, reguladas por estándares como ISO/IEC 27001 o la Ley de IA de la Unión Europea. Por ello, las organizaciones que dependen intensamente de GPUs deben considerar la memoria de GPU como parte esencial de su postura de seguridad y auditoría.

CrowHammer y ataques poscuánticos

El descubrimiento de GPUHammer coincide con otra investigación avanzada: CrowHammer, una variante de RowHammer presentada por investigadores de NTT Social Informatics Laboratories y CentraleSupelec. Este ataque permite comprometer FALCON (FIPS 206), un esquema de firma digital poscuántico seleccionado por el NIST para su estandarización.

Según el estudio, un solo cambio de bit en la tabla de distribución de Falcon puede sesgar la salida lo suficiente como para permitir la recuperación completa de la clave criptográfica, exponiendo incluso algoritmos diseñados para resistir la computación cuántica.

En fin, GPUHammer representa una nueva clase de amenazas de hardware, dirigidas no solo a vulnerar sistemas, sino a socavar la integridad fundamental de los modelos de inteligencia artificial. Su aparición debe servir como una alerta para todos los sectores que dependen de GPUs para sus operaciones críticas.

La habilitación de ECC, la segmentación de cargas de trabajo y la inclusión de la memoria GPU en auditorías de seguridad son pasos esenciales para proteger los modelos de IA frente a manipulaciones invisibles. A medida que la IA continúa expandiéndose, la seguridad de la infraestructura que la sustenta se vuelve más crucial que nunca.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una grave vulnerabilidad de seguridad ha sido descubierta en McHire, la plataforma impulsada por inteligencia artificial que McDonald's utiliza para gestionar solicitudes de empleo en sus restaurantes. El fallo, identificado por los investigadores de ciberseguridad Ian Carroll y Sam Curry, expuso transcripciones de chats, tokens de sesión y datos personales de más de 64 millones de postulaciones en Estados Unidos.

¿Qué es McHire y cómo funciona?

McHire es una plataforma desarrollada por la empresa No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, utilizada por aproximadamente el 90% de los franquiciados de McDonald's. Su propósito es simplificar el proceso de contratación mediante un chatbot conversacional llamado Olivia, que interactúa con los aspirantes y recopila información como:

• Nombre completo
• Dirección de correo electrónico
• Número telefónico
• Dirección residencial
• Disponibilidad laboral
• Resultados de una prueba de personalidad

Este sistema ha sido adoptado masivamente debido a su eficiencia, pero la reciente brecha de seguridad pone en duda su fiabilidad en términos de protección de datos.

Detalles técnicos de la vulnerabilidad

Los investigadores descubrieron que la interfaz de administración de McHire vinculada a una franquicia de prueba utilizaba credenciales extremadamente débiles: el nombre de usuario y la contraseña eran ambos "123456". Una vez autenticados, Carroll y Curry enviaron una solicitud de empleo simulada a través del chatbot Olivia para estudiar cómo se manejaban los datos.

Durante la prueba, observaron que las solicitudes HTTP se enviaban a un punto final de API:
/api/lead/cem-xhr,

utilizando un parámetro lead_id (identificador del solicitante). Al modificar este número —incrementándolo o reduciéndolo— descubrieron que podían acceder a otras transcripciones de chat y datos confidenciales de postulantes reales, sin ninguna validación de permisos.

Este tipo de vulnerabilidad es conocido como IDOR (Insecure Direct Object Reference), una falla común pero crítica que ocurre cuando una aplicación expone identificadores internos sin verificar si el usuario tiene permiso para acceder a esos datos.

Citar"Durante una revisión superficial de seguridad de solo unas horas, identificamos dos problemas graves: el uso de credenciales predeterminadas en el panel de administración, y una referencia directa de objeto insegura en una API interna que nos permitía acceder a cualquier contacto y chat que quisiéramos", explicó Carroll.

¿Qué datos estuvieron expuestos?

El acceso indebido permitía obtener:

• Transcripciones completas del chat entre el candidato y el chatbot Olivia
• Tokens de sesión
• Información personal proporcionada por los usuarios
• Interacciones como clics en botones, incluso si no se ingresó información adicional

Aunque No tienes permitido ver enlaces. Registrate o Entra a tu cuenta aclaró que no todos los registros contenían datos personales, el riesgo fue considerable debido al volumen masivo de solicitudes comprometidas.

Línea de tiempo y respuesta

• 30 de junio de 2025: Los investigadores reportaron la falla a McDonald's y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.
• 1 hora después: McDonald's reconoció el informe y ordenó desactivar las credenciales predeterminadas.
• Ese mismo día: Paradox aplicó una solución inmediata para mitigar la vulnerabilidad IDOR.

En declaraciones a Wired, McDonald's expresó su descontento:

Citar"Estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo. Tan pronto como nos enteramos del problema, exigimos su corrección inmediata. Paradox resolvió la falla el mismo día en que fue reportada."

Medidas tomadas y próximos pasos

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta ha implementado medidas adicionales para reforzar la seguridad de la plataforma y evitar que este tipo de incidentes vuelva a ocurrir. La empresa también anunció una revisión exhaustiva de su infraestructura, así como mejoras en los mecanismos de autenticación y autorización.

Además, se aclaró que las "64 millones de solicitudes" no equivalen a 64 millones de personas únicas, sino al número total de interacciones o intentos de aplicación registrados por la plataforma.

Reflexiones sobre la ciberseguridad en plataformas de empleo

Este incidente pone en relieve varios temas críticos:

• La importancia de evitar credenciales predeterminadas en entornos de producción
• La necesidad de implementar validación de acceso robusta en APIs
• La responsabilidad compartida entre proveedores tecnológicos y las empresas que los contratan
• La urgencia de realizar auditorías de seguridad periódicas, incluso para herramientas de automatización

En fin, la vulnerabilidad descubierta en McHire subraya los peligros de una configuración inadecuada de seguridad, especialmente en plataformas que manejan información altamente sensible. Aunque la falla fue mitigada con rapidez, su existencia inicial demuestra la necesidad de mayor vigilancia, control de calidad y auditorías independientes para garantizar la privacidad de los usuarios.

Tanto las empresas tecnológicas como los grandes corporativos deben comprometerse a implementar estándares estrictos de ciberseguridad. En un mundo donde cada clic puede significar una exposición de datos, no hay lugar para contraseñas como "123456".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google Gemini, el asistente de inteligencia artificial integrado en Workspace, está siendo explotado por actores maliciosos para generar resúmenes de correos electrónicos aparentemente legítimos que contienen advertencias o instrucciones falsas. Esta sofisticada técnica de phishing sin enlaces ni archivos adjuntos se basa en el uso de inyecciones rápidas (prompt injections) diseñadas para manipular la interpretación del contenido por parte del modelo de IA.

Inyecciones indirectas: el nuevo vector de ataque en correos electrónicos

El ataque consiste en incrustar comandos maliciosos invisibles dentro de un correo electrónico, los cuales Gemini interpreta y obedece al generar el resumen del mensaje. Estos comandos están ocultos mediante técnicas de HTML y CSS que reducen el tamaño de fuente a cero y cambian el color del texto a blanco, volviéndolos invisibles para el usuario en la interfaz de Gmail. Dado que el mensaje no incluye enlaces ni archivos adjuntos, es más probable que pase los filtros de spam y llegue directamente a la bandeja de entrada.

Cuando el destinatario abre el correo electrónico y solicita un resumen a través de Gemini, el modelo analiza todo el contenido, incluidas las instrucciones ocultas. Como resultado, el resumen puede contener advertencias falsas, como mensajes de seguridad que alertan sobre una supuesta filtración de contraseña o invitan a llamar a un número de soporte técnico fraudulento.

Caso revelado por el programa 0din de Mozilla

El ataque fue descubierto por Marco Figueroa, investigador y gerente del programa de recompensas por errores de IA generativa en Mozilla, a través del programa 0din, una iniciativa enfocada en identificar vulnerabilidades en modelos de inteligencia artificial.

Figueroa demostró cómo un correo con una directiva oculta podía manipular a Gemini para mostrar un mensaje de advertencia que alertaba falsamente sobre un compromiso en la cuenta de Gmail del usuario. En su demostración, Gemini incluso proporcionaba un número de teléfono falso para "soporte técnico", haciendo que el ataque se asemejara a una comunicación oficial de Google.

Este hallazgo demuestra cómo los atacantes pueden aprovechar la confianza de los usuarios en herramientas automatizadas de IA para facilitar ataques de ingeniería social altamente convincentes.

Medidas de detección y mitigación recomendadas

El investigador propuso varias estrategias para mitigar esta amenaza emergente:

1. Neutralización del contenido oculto

Los equipos de seguridad pueden implementar filtros que eliminen o ignoren cualquier contenido que utilice estilos CSS para ocultarse en el cuerpo del correo. Esto reduciría la posibilidad de que Gemini procese instrucciones maliciosas sin el conocimiento del usuario.

2. Escaneo del contenido generado

Se sugiere aplicar un sistema de posprocesamiento sobre los resúmenes generados por Gemini. Este sistema debería analizar la salida en busca de mensajes urgentes, números de teléfono o direcciones URL sospechosas. Cualquier contenido que cumpla estos criterios puede marcarse para revisión manual.

3. Concienciación del usuario

Es fundamental que los usuarios comprendan que los resúmenes generados por IA no deben considerarse autorizaciones oficiales de seguridad. Las alertas legítimas sobre contraseñas, accesos no autorizados o actividad sospechosa deben verificarse siempre a través de canales oficiales de Google o del equipo de TI de la organización.

La respuesta de Google

En respuesta a las consultas realizadas por el medio especializado BleepingComputer, un portavoz de Google confirmó que la compañía está al tanto de la investigación y aseguró que se están implementando medidas para fortalecer la protección contra ataques de inyección rápida.

"Estamos constantemente fortaleciendo nuestras defensas mediante ejercicios de equipo rojo que entrenan a nuestros modelos contra ataques adversarios", señaló un vocero de Google.

Asimismo, el portavoz indicó que algunas de las mitigaciones ya están en proceso de implementación o se desplegarán en breve. Según Google, no existen hasta ahora evidencias concretas de que este tipo de manipulación se haya producido en entornos reales fuera del entorno de prueba descrito por Figueroa.

En fin, el uso malicioso de Google Gemini para Workspace representa una evolución significativa en las tácticas de phishing. Al explotar la confianza depositada en los sistemas de IA, los atacantes pueden ejecutar campañas altamente efectivas sin recurrir a métodos tradicionales como archivos maliciosos o enlaces de phishing.

Las empresas y usuarios deben estar alerta ante esta amenaza emergente, implementar filtros proactivos y educar a los empleados sobre los riesgos de confiar ciegamente en herramientas automatizadas de resumen de contenido. La ciberseguridad en la era de la inteligencia artificial requiere no solo tecnología avanzada, sino también una mentalidad crítica y defensas en múltiples niveles.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

AT&T ha lanzado oficialmente su nueva función de seguridad "Wireless Lock", diseñada para proteger a los usuarios frente a los crecientes y sofisticados ataques de intercambio de SIM (SIM swapping). Esta medida de protección evita que se realicen cambios no autorizados en las cuentas, incluida la portabilidad de números telefónicos, mientras la función está activada.

¿Qué es Wireless Lock y cómo protege tu número de teléfono?

Wireless Lock permite a los clientes de AT&T bloquear su número de teléfono directamente desde la aplicación móvil o el portal web de la compañía. Una vez activado, el sistema impide:

• Transferencias del número a otra tarjeta SIM.
• Cambios de proveedor (portabilidad).
• Modificaciones en la información de facturación.
• Alteraciones de usuarios autorizados.
• Cambios en los números de teléfono asociados a la cuenta.

Este nivel de protección se aplica incluso ante intentos de modificación realizados por empleados de AT&T, lo que añade una capa adicional de defensa contra fraudes internos y externos. Para desactivar la función, es necesario que el titular de la cuenta inicie sesión y lo haga manualmente.

Una respuesta tardía pero necesaria a un problema crítico

Aunque Wireless Lock ya estaba disponible para algunos usuarios desde hace casi un año, AT&T ha comenzado su implementación generalizada para todos los clientes. Sin embargo, la compañía ha sido criticada por su demora en adoptar esta funcionalidad, considerando que Verizon y otros operadores ya contaban con herramientas similares desde hace más de cinco años.

¿Qué es un ataque de intercambio de SIM?

Los ataques de intercambio de SIM (también conocidos como SIM hijacking) ocurren cuando un ciberdelincuente logra transferir el número de teléfono de una víctima a una tarjeta SIM controlada por él. Esto les permite interceptar:

• Llamadas telefónicas
• Mensajes SMS
• Códigos de autenticación multifactor (2FA)

Con este acceso, los atacantes pueden vulnerar cuentas bancarias, correos electrónicos, redes sociales e incluso billeteras de criptomonedas, provocando pérdidas económicas y compromisos de seguridad graves.

En muchos casos, los atacantes logran sus objetivos mediante:

• Ingeniería social: engañar a empleados de soporte para realizar el cambio.
• Sobornos a trabajadores de telecomunicaciones, ofreciendo hasta $300 por realizar el intercambio de SIM de forma interna.
• Violaciones de seguridad en operadores y servicios externos.

Casos recientes de SIM swapping que refuerzan la necesidad de protección

Los ataques de SIM swapping han aumentado en frecuencia e impacto. Algunos ejemplos notables:

• 2020: El ciberdelincuente Joseph James O'Connor ('PlugwalkJoke') se declaró culpable de robar $794,000 en criptomonedas mediante ataques de intercambio de SIM.
• 2021: T-Mobile alertó a clientes sobre múltiples intentos de SIM swapping vinculados a filtraciones de datos.
• 2023: Un ataque a Google Fi facilitó intercambios de SIM para tomar control de cuentas vinculadas.
• Scatter Spider, un grupo de amenazas avanzado, fue acusado en EE. UU. de usar esta técnica para infiltrarse en redes corporativas.

Incluso se han documentado campañas de secuestro de eSIM, donde los atacantes activan tarjetas SIM electrónicas con los datos de las víctimas, sin necesidad de acceso físico a una tarjeta SIM.

El problema interno: empleados como objetivo de los ciberdelincuentes

Más allá de los hackers externos, en 2023 se descubrió que empleados de Verizon y T-Mobile recibieron mensajes directos ofreciéndoles pagos a cambio de realizar cambios no autorizados en las SIM de clientes. Esta táctica refuerza la necesidad de implementar barreras automatizadas, como Wireless Lock, que no dependan exclusivamente del personal humano.

Regulaciones de la FCC y el futuro de la protección móvil

Ante el incremento alarmante de estos fraudes, la Comisión Federal de Comunicaciones (FCC) de EE. UU. aprobó en 2023 nuevas normativas para endurecer los controles de identidad durante el intercambio de SIM y los procesos de portabilidad numérica.

Estas regulaciones buscan exigir a los operadores:

• Autenticación multifactor para cambios de SIM.
• Notificaciones proactivas ante cualquier intento de portabilidad.
• Verificación rigurosa antes de realizar alteraciones en las cuentas de usuarios.

Funciones avanzadas para cuentas empresariales

Para clientes corporativos, Wireless Lock de AT&T incluye funciones adicionales, como:

• Exención personalizada de líneas del bloqueo para permitir operaciones legítimas.
• Restricción granular de tipos de cambio que pueden realizarse en cuentas empresariales.
• Control de privilegios según usuarios autorizados dentro de una misma cuenta empresarial.

Wireless Lock es un paso vital hacia la ciberseguridad móvil

Aunque su implementación haya tardado, AT&T da un paso importante con Wireless Lock para prevenir el fraude de intercambio de SIM, una amenaza real que ha causado millonarias pérdidas económicas y severos incidentes de seguridad.

Los usuarios deben activar esta función de inmediato desde su cuenta AT&T para proteger sus números y minimizar los riesgos de acceso no autorizado a sus cuentas sensibles, como banca en línea, autenticaciones 2FA, y billeteras digitales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha confirmado un problema crítico en Microsoft 365 relacionado con una configuración incorrecta de registros DNS, que está afectando la entrega de códigos de acceso de un solo uso (OTP) en Exchange Online. Este fallo impacta a usuarios que intentan abrir correos electrónicos cifrados a través del portal de Office 365 desde plataformas como Gmail, Yahoo Mail u otros clientes que no están suscritos a Microsoft 365.

¿Qué está ocurriendo con los mensajes OTP en Exchange Online?

Cuando un usuario recibe un mensaje cifrado enviado a un correo externo, Microsoft ofrece la posibilidad de acceder al contenido a través de un código OTP enviado en un correo electrónico independiente. Este código permite al destinatario abrir el mensaje de forma segura desde el portal de cifrado de mensajes de Office 365.

Sin embargo, en las últimas semanas, numerosos usuarios han reportado no recibir los mensajes OTP, lo que les impide acceder al contenido cifrado. Según una alerta de servicio publicada en el Centro de administración de Microsoft 365, el problema se debe a una configuración errónea en los registros DNS del dominio encargado de generar y entregar estos códigos de acceso.

Citar"Algunos usuarios que esperan recibir mensajes de correo electrónico OTP para mensajes cifrados en Exchange Online pueden verse afectados", indicó Microsoft.

Causa raíz: error en los registros DNS

Microsoft detalló que el dominio que genera y entrega los correos electrónicos OTP presentaba registros DNS mal configurados, lo que provocó el fallo en la entrega. En una fase anterior del incidente, se identificó que los registros DNS asociados fueron eliminados accidentalmente, afectando la resolución de nombres y, en consecuencia, la entrega de los mensajes.

La empresa ha tomado medidas correctivas:

• Se restauraron y corrigieron los registros DNS del dominio implicado.
• Se inició la comunicación directa con una muestra de usuarios afectados para validar si el problema fue resuelto.
• Se continúa el monitoreo del impacto como un incidente de servicio crítico dentro de Microsoft 365.

Usuarios afectados y procesos específicos

El error no afecta a todos los usuarios por igual. Microsoft aclaró que el fallo ocurre principalmente en entornos que han configurado verificaciones de DNS para los mensajes entrantes. Es decir, las organizaciones que utilizan filtros de seguridad avanzados o políticas de validación DNS son más propensas a bloquear los mensajes OTP por considerar el dominio no válido, dada la configuración incorrecta.

Este detalle resalta la importancia de validar correctamente los registros SPF, DKIM y DMARC, ya que las fallas en estos elementos esenciales del sistema de nombres de dominio pueden resultar en errores de entrega, como en este caso.

Antecedentes: fallos DNS frecuentes en Microsoft

Este incidente no es aislado. Microsoft ha enfrentado diversos problemas relacionados con configuraciones DNS en los últimos años, algunos con gran impacto global:

• Febrero de 2025: Error de autenticación en Entra ID debido a cambios en el DNS del dominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que afectó la autenticación de múltiples usuarios en servicios de Microsoft 365.
• Agosto de 2023: Una configuración incorrecta en el registro SPF de DNS provocó errores masivos en la entrega de correos desde Hotmail a nivel mundial.
• Abril de 2021: Una falla en el código causó una sobrecarga de los servidores DNS de Azure, lo que derivó en una interrupción global de servicios como Teams, Outlook y SharePoint.

Estos eventos reflejan cómo una mala configuración de DNS puede comprometer la disponibilidad de servicios esenciales, afectando tanto la comunicación como la seguridad de las plataformas en la nube.

Recomendaciones para usuarios y administradores de TI

Mientras Microsoft continúa resolviendo el problema, se recomienda a los usuarios y equipos de TI:

• Verificar si sus sistemas de filtrado de correo están bloqueando mensajes desde el dominio de OTP de Microsoft.
• Reforzar la configuración de los registros SPF, DKIM y DMARC para permitir la recepción de mensajes de autenticación.
• Consultar regularmente el Centro de administración de Microsoft 365 para obtener actualizaciones en tiempo real sobre incidentes.
• Configurar reglas de filtrado que identifiquen mensajes legítimos de OTP y eviten su marcado como spam o phishing.

En gin, el reciente problema de entrega de códigos OTP en Exchange Online debido a una configuración errónea de DNS pone de manifiesto la dependencia crítica de la infraestructura de nombres de dominio en la funcionalidad de los servicios en la nube. Aunque Microsoft ha implementado correcciones, la situación recuerda a administradores y usuarios que incluso pequeños errores en la configuración pueden tener un impacto global en la experiencia del usuario y la seguridad de los datos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad han advertido sobre una ola creciente de campañas de phishing sofisticadas que utilizan técnicas de devolución de llamada (TOAD, por sus siglas en inglés), suplantación de marca y archivos PDF maliciosos para engañar a los usuarios y obtener acceso a sus datos confidenciales. Estas campañas combinan elementos de ingeniería social, códigos QR maliciosos, números VoIP y funcionalidades legítimas como Microsoft 365 Direct Send para burlar los mecanismos tradicionales de defensa de correo electrónico.

¿Qué es TOAD y cómo funciona este tipo de phishing?

TOAD (Telephone-Oriented Attack Delivery) es una técnica de phishing en la que el objetivo es persuadido para llamar a un número telefónico que en realidad está controlado por ciberdelincuentes. A diferencia del phishing convencional basado únicamente en enlaces o archivos adjuntos, TOAD combina interacción humana con ingeniería social, lo que aumenta su tasa de efectividad.

Citar"Una parte significativa de las amenazas con archivos PDF adjuntos persuaden a las víctimas para que llamen a números controlados por el adversario", explicó Omid Mirzaei, investigador de Cisco Talos.

Durante la llamada, los atacantes se hacen pasar por representantes de atención al cliente, técnicos de soporte o personal de facturación. Mediante el uso de guiones, música de espera y falsificación de identificador de llamadas, logran establecer confianza para extraer datos personales, instalar malware o solicitar acciones que comprometen el dispositivo de la víctima.

Marcas más suplantadas en campañas TOAD

Un análisis realizado entre el 5 de mayo y el 5 de junio de 2025 reveló que las marcas más imitadas en estas campañas incluyen:

• Microsoft
• DocuSign
• NortonLifeLock
• PayPal
• Geek Squad

Los atacantes se aprovechan de la confianza que generan estas marcas para insertar archivos PDF con logos y tipografía oficiales, lo que da credibilidad a los mensajes. Muchos de estos PDF incluyen códigos QR maliciosos, que redirigen a páginas de inicio de sesión falsas o portales de pago fraudulentos.

Códigos QR maliciosos: el nuevo vector en archivos PDF

Una táctica emergente es el uso de anotaciones PDF para ocultar enlaces maliciosos detrás de campos de formulario, notas adhesivas o comentarios, haciendo difícil su detección automatizada. Los códigos QR incrustados pueden dirigir a los usuarios a:

• Falsas páginas de inicio de sesión de Microsoft 365
• Sitios de phishing que simulan servicios como Dropbox o Adobe
• Formularios para robo de credenciales o instalación de software no autorizado

VoIP y anonimato: la infraestructura detrás del phishing telefónico

La mayoría de los números utilizados por los atacantes son de Voz sobre Protocolo de Internet (VoIP), lo que les permite permanecer en el anonimato y reutilizar los mismos números durante varios días. Esta reutilización facilita ataques en múltiples etapas con un mismo número, haciendo seguimiento a víctimas que hayan interactuado previamente.

Direct Send de Microsoft 365: suplantación interna sin comprometer cuentas
Un método de ataque reciente y alarmante es el uso de la función legítima Direct Send en M365, que permite a los atacantes enviar correos desde direcciones internas aparentemente válidas sin necesidad de comprometer una cuenta. Esta táctica ha sido utilizada contra al menos 70 organizaciones desde mayo de 2025, según Varonis.

Citar"Esta simplicidad hace del envío directo un vector atractivo y de bajo esfuerzo para los atacantes", señaló Tom Barnea, investigador de seguridad.

Los correos aprovechan la predictibilidad del host ("<tenant_name>.mail.protection.outlook.com") para evadir controles SPF/DKIM y llegar a las bandejas de entrada con apariencia legítima.

TOAD, vishing y BEC: técnicas que se entrelazan

Aunque TOAD comparte elementos con otras amenazas como el vishing (phishing por voz) y el compromiso de correo electrónico empresarial (BEC), su diferencia clave es la interacción activa con la víctima. Algunos atacantes inducen la descarga de herramientas de acceso remoto como TeamViewer o AnyDesk, mientras que otros recopilan información bancaria o credenciales de forma directa.

IA, phishing y el nuevo riesgo de envenenamiento de modelos

Una investigación de Netcraft ha demostrado que incluso los modelos de lenguaje de IA pueden ser engañados para recomendar URLs falsas al preguntar dónde iniciar sesión en marcas reconocidas. En un tercio de las respuestas, los modelos sugirieron:

• Dominios no registrados o estacionados (30%)
• URLs que apuntan a sitios no relacionados (5%)

Este hallazgo resalta una nueva capa de riesgo: los atacantes podrían reclamar estos dominios y diseñar sitios web falsos que aparecen como sugerencias legítimas provenientes de herramientas de IA como ChatGPT.

Ataques dirigidos a herramientas de desarrollo y asistentes IA
Los ciberdelincuentes también están inyectando contenido malicioso en plataformas como GitHub. Por ejemplo, un atacante publicó el proyecto fraudulento Moonshot-Volume-Bot, promocionándolo mediante cuentas falsas, tutoriales y foros con el fin de sembrar código malicioso en los repositorios y envenenar asistentes de codificación de IA como Cursor.

Citar"Estas cuentas estaban cuidadosamente diseñadas para ser indexadas por canalizaciones de entrenamiento de IA", explicó el investigador Bilaal Rashid.

SEO, phishing y manipulación de motores de búsqueda

En paralelo, los actores de amenazas están utilizando un mercado ilícito conocido como Hacklink, que permite la compra de enlaces en sitios web legítimos (.gov, .edu) comprometidos para manipular algoritmos de búsqueda. Este proceso hace que sitios de phishing aparezcan como resultados destacados en búsquedas relacionadas con marcas confiables.

Citar"Los estafadores insertan enlaces maliciosos y modifican el contenido que aparece en los resultados de búsqueda, sin necesidad de tomar control total del sitio", señaló Andrew Sebborn, experto en seguridad.

Cómo mitigar estas amenazas emergentes

Para reducir el riesgo de caer en este tipo de ataques, los expertos recomiendan:

• Implementar un motor de detección de suplantación de marca
• Desconfiar de correos con archivos PDF que contengan códigos QR o números de teléfono
• Evitar llamar a números no verificados en correos electrónicos
• Utilizar autenticación multifactor y políticas de seguridad en M365
• Monitorizar respuestas generadas por IA y verificar URLs sugeridas

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han identificado una vulnerabilidad crítica en MCP Inspector, una herramienta de desarrollo del ecosistema de inteligencia artificial (IA) de Anthropic, que permite la ejecución remota de código (RCE) en sistemas de desarrollo local. Esta falla, rastreada como CVE-2025-49596, posee una puntuación CVSS de 9.4/10, lo que la posiciona como una amenaza severa para la seguridad de los desarrolladores, entornos de código abierto y usuarios empresariales que trabajan con el Model Context Protocol (MCP).

¿Qué es MCP Inspector y por qué es relevante?

El Model Context Protocol (MCP), lanzado por Anthropic en noviembre de 2024, es un protocolo abierto diseñado para estandarizar cómo los modelos de lenguaje grande (LLM) interactúan con fuentes de datos externas y herramientas auxiliares. MCP Inspector es una herramienta clave dentro de este ecosistema, utilizada para probar y depurar servidores MCP, conectando una interfaz web con servidores locales o remotos que exponen funcionalidades a través del protocolo.

La amenaza detrás de CVE-2025-49596

Según un informe publicado por Oligo Security, la vulnerabilidad reside en la configuración por defecto de MCP Inspector, que carece de autenticación y cifrado. Esto, sumado a la posibilidad de exposición a redes no confiables, habilita a atacantes a lanzar comandos arbitrarios desde navegadores, simplemente al hacer que un desarrollador visite un sitio web malicioso.

Citar"Este es uno de los primeros RCE críticos en el ecosistema MCP de Anthropic, y demuestra cómo las herramientas IA pueden ser utilizadas como vectores de ataque desde el navegador", explicó Avi Lumelsky, investigador de Oligo Security.

El ataque combina una vulnerabilidad CSRF en Inspector con una debilidad de larga data en navegadores modernos denominada 0.0.0.0 Day, la cual permite a sitios web maliciosos interactuar con servicios locales expuestos, como los que ejecuta MCP Inspector por defecto en 0.0.0.0:6277.

Prueba de concepto y mecanismos de explotación

La prueba de concepto (PoC) desarrollada por los investigadores demuestra cómo un sitio web malicioso puede usar Server-Sent Events (SSE) para enviar solicitudes al servidor proxy de MCP Inspector desde el navegador. Esto permite la ejecución de comandos en el equipo del desarrollador incluso si este solo está escuchando en localhost.

La dirección IP 0.0.0.0 indica al sistema operativo que escuche en todas las interfaces de red, lo cual incluye 127.0.0.1, abriendo la posibilidad de ataques remotos si la herramienta está mal configurada.

Además, los atacantes pueden aplicar técnicas como la revinculación de DNS, falsificando registros que apuntan a direcciones locales, lo que facilita aún más la obtención de privilegios de ejecución remota.

Solución y mitigación: versión 0.14.1

Tras la divulgación responsable en abril de 2025, los responsables del proyecto lanzaron la versión 0.14.1 de MCP Inspector el 13 de junio de 2025. Esta actualización incorpora:

• Autenticación por token de sesión en el servidor proxy.
• Validación de encabezados HTTP Origin y Host.
• Bloqueo por defecto de ataques CSRF y revinculación de DNS.

Citar"Los servicios localhost no siempre son seguros. Las capacidades de red de los navegadores y herramientas como MCP pueden exponer servicios a Internet sin que el desarrollador lo note", advirtió Lumelsky.

Más amenazas en el ecosistema MCP

El hallazgo de CVE-2025-49596 se suma a otros incidentes recientes. Trend Micro reportó una vulnerabilidad de inyección SQL no parcheada en el servidor SQLite MCP de Anthropic que podría usarse para insertar avisos maliciosos y tomar el control de los flujos de trabajo de agentes de IA.

También, Backslash Security descubrió que cientos de servidores MCP eran vulnerables debido a configuraciones inseguras como:

• Permitir ejecución de comandos arbitrarios sin verificación.
• Acceso a servicios a través de 0.0.0.0, facilitando el ataque conocido como NeighborJack.

Citar"En un entorno como una cafetería o espacio de coworking, un desarrollador puede estar ejecutando MCP en su máquina. Un atacante cercano podría acceder al servicio y ejecutar comandos sin restricciones", alertó Backslash Security.

Riesgo de envenenamiento del contexto en LLM

Debido a que MCP está diseñado para acceder a fuentes de datos externas, también puede ser explotado para el envenenamiento del contexto, alterando la salida de un modelo de lenguaje grande (LLM) a través de entradas maliciosas que contienen instrucciones ocultas.

El investigador Micah Gold señaló que mitigar esta amenaza requeriría que cada herramienta MCP implemente mecanismos propios de sanitización de datos, lo que resulta poco práctico. En cambio, propone configurar reglas de IA predefinidas que permitan a los agentes identificar comportamientos sospechosos o manipulaciones en tiempo real.

Recomendaciones para desarrolladores

Actualizar a MCP Inspector 0.14.1 inmediatamente.

• No ejecutar el servidor MCP en 0.0.0.0 sin control de acceso.
• Implementar autenticación en entornos locales, incluso si son de desarrollo.
• Monitorizar el tráfico hacia localhost desde el navegador.
• Definir reglas de comportamiento seguras para los agentes de IA.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo de amenazas persistentes avanzadas (APT) Blind Eagle, también conocido como AguilaCiega, APT-C-36 y APT-Q-98, ha sido vinculado con el uso del servicio de alojamiento a prueba de balas Proton66 como parte de sus operaciones cibernéticas dirigidas contra objetivos en América Latina, especialmente instituciones financieras en Colombia y Ecuador.

Un reciente informe publicado por Trustwave SpiderLabs detalla cómo los investigadores lograron atribuir con alta confianza la infraestructura maliciosa de Proton66 a las campañas de Blind Eagle. El análisis técnico se centró en la actividad identificada desde agosto de 2024, donde se observó el uso de dominios y direcciones IP que apuntaban a un modelo de ataque bien estructurado basado en Visual Basic Script (VBS) y troyanos de acceso remoto (RATs).

Proton66: un servicio de bulletproof hosting para cibercriminales

Proton66 es un proveedor de servicios de alojamiento que opera bajo el modelo de bulletproof hosting (BPH), lo que significa que ignora activamente denuncias de abuso, violaciones legales y solicitudes de eliminación de contenido malicioso. Este tipo de infraestructura permite a los actores de amenazas hospedar scripts maliciosos, paneles de control C2, páginas de phishing y otros recursos sin interrupciones, lo que dificulta los esfuerzos de mitigación por parte de investigadores y autoridades.

Dominio, infraestructura y técnicas de evasión

Los investigadores de Trustwave descubrieron múltiples dominios con patrones similares, como gfast.duckdns[.]org y njfast.duckdns[.]org, que resolvían a la IP 45.135.232[.]38, asociada con Proton66. Este patrón sugiere una operación sostenida que utiliza servicios de DNS dinámicos como DuckDNS para rotar subdominios sin tener que registrar nuevos dominios, una táctica eficaz para evadir la detección por parte de soluciones de seguridad tradicionales.

Estos dominios fueron utilizados para alojar páginas de phishing bancario y scripts VBS maliciosos, que funcionan como la primera etapa de la cadena de ataque. Según el investigador Serhii Melnyk, los scripts VBS servían como cargadores (loaders) para la entrega de herramientas RAT de segunda etapa, como AsyncRAT y Remcos RAT, ambas utilizadas ampliamente en el ecosistema de malware por su disponibilidad en línea y bajo coste.

El rol del VBS en campañas de múltiples etapas

Aunque Visual Basic Script (VBS) pueda parecer un lenguaje obsoleto, sigue siendo una herramienta poderosa en manos de cibercriminales. Su compatibilidad con sistemas Windows, facilidad de ejecución en segundo plano y capacidad para eludir herramientas antivirus lo convierten en un vector eficaz de acceso inicial.

Los scripts identificados en esta campaña estaban diseñados para:

• Descargar y ejecutar archivos ejecutables cifrados desde servidores remotos.
• Actuar como cargadores para troyanos de acceso remoto.
• Eludir mecanismos de detección y mezclarse con la actividad legítima del sistema operativo.

Este enfoque por etapas es característico de campañas APT bien organizadas, donde el acceso inicial mediante VBS da paso a fases más complejas de espionaje, robo de datos o control persistente del sistema comprometido.

Objetivos regionales: Colombia en el centro del ataque

Blind Eagle ha centrado históricamente sus ataques en objetivos sudamericanos, con especial énfasis en instituciones financieras colombianas. En esta campaña reciente, se han identificado páginas de phishing que suplantan a entidades como:

• Bancolombia
• BBVA Colombia
• Banco Caja Social
• Davivienda

Estas páginas están diseñadas para capturar credenciales de acceso, información de tarjetas y otros datos confidenciales de las víctimas, utilizando réplicas visuales altamente convincentes de los portales oficiales.

Herramientas de evasión: Crypters and Tools y Vbs-Crypter

El análisis del código malicioso también reveló el uso de Vbs-Crypter, una herramienta de ofuscación asociada a un servicio basado en suscripción llamado Crypters and Tools, utilizado por múltiples actores de amenazas para empaquetar y ocultar cargas útiles. Esta técnica incrementa la dificultad de detección por parte de motores antivirus y soluciones EDR.

Trustwave también identificó un panel de botnet activo operado por el grupo, el cual permite:

• Control total de máquinas comprometidas.
• Recolección y exfiltración de datos.
• Comunicación bidireccional con endpoints infectados.

Estas funcionalidades están presentes en las suites de gestión de RAT comerciales, lo que demuestra el grado de profesionalización del grupo.

Explotación de vulnerabilidades: caso CVE-2024-43451

Además de las tácticas descritas, Darktrace reveló una campaña paralela de Blind Eagle desde noviembre de 2024 en la que se explotó una vulnerabilidad crítica de Windows, CVE-2024-43451, ya parcheada. Esta vulnerabilidad fue utilizada para ejecutar cargas útiles de segunda etapa directamente desde sitios comprometidos.

Este comportamiento, documentado previamente por Check Point en marzo de 2025, refleja la capacidad del grupo para adaptarse rápidamente y mantener operativas sus tácticas, técnicas y procedimientos (TTP) incluso después de que los parches hayan sido lanzados públicamente.

Una amenaza persistente con infraestructura resiliente

El caso de Blind Eagle evidencia cómo los grupos de amenazas avanzadas aprovechan infraestructura resistente como Proton66, lenguajes heredados como VBS y servicios dinámicos como DuckDNS para ejecutar ataques altamente dirigidos y efectivos. Su foco en el sector financiero y su adaptación a nuevas vulnerabilidades hacen de este grupo una amenaza relevante para la seguridad cibernética en América Latina.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un reciente estudio realizado por la empresa de ciberseguridad OX Security ha revelado graves fallos de seguridad en algunos de los entornos de desarrollo integrados (IDE) más populares del mundo, incluidos Microsoft Visual Studio Code, Visual Studio, IntelliJ IDEA y Cursor. Estos fallos afectan directamente al proceso de verificación de extensiones, abriendo la puerta a ataques mediante ejecución remota de código a través de extensiones maliciosas que aparentan ser confiables.

Extensiones maliciosas con símbolo verificado: una amenaza creciente

Los investigadores Nir Zadok y Moshe Siman Tov Bustan, de OX Security, publicaron un informe detallado en colaboración con The Hacker News, en el que describen cómo las verificaciones defectuosas de extensiones permiten que actores maliciosos manipulen el sistema de confianza del marketplace de Visual Studio Code.

Citar"Descubrimos que las comprobaciones de verificación defectuosas en Visual Studio Code permiten a los editores agregar funcionalidad a las extensiones mientras mantienen el ícono verificado", indicaron los expertos. "Esto genera una falsa sensación de seguridad entre los desarrolladores."

¿Cómo funciona el ataque?

El estudio técnico detalla que Visual Studio Code realiza una solicitud HTTP POST al dominio marketplace.visualstudio[.]com para verificar si una extensión está marcada como confiable. El fallo reside en que esta verificación puede ser manipulada, permitiendo a los atacantes crear una extensión maliciosa que imita los atributos de una ya verificada, como una publicada por Microsoft, y eludir los controles de seguridad.

Esta técnica, conocida como abuso de carga lateral de extensiones, facilita la distribución de complementos maliciosos que pueden ejecutar comandos del sistema operativo sin el consentimiento del usuario.

Ejecución remota de código y robo de datos sensibles

En una prueba de concepto (PoC), los investigadores demostraron cómo una extensión maliciosa podría, por ejemplo, abrir la aplicación Calculadora de Windows, evidenciando la capacidad para ejecutar comandos en el host afectado. Pero el verdadero riesgo es mucho mayor: en entornos de desarrollo, los atacantes pueden tener acceso a:

• Credenciales confidenciales
• Repositorios de código fuente
• Tokens de autenticación
• Secretos API y claves SSH

Esto convierte a los IDE en vectores de ataque críticos, especialmente en organizaciones que dependen del desarrollo de software como parte de sus operaciones principales.

VSIX y ZIP: formatos vulnerables

La investigación también demuestra que al manipular los valores de verificación utilizados en los paquetes .VSIX y .ZIP, los atacantes pueden conservar el símbolo de confianza incluso al distribuir las extensiones fuera del marketplace oficial. Esta técnica es funcional en Visual Studio Code, IntelliJ IDEA y Cursor, lo que resalta la extensión del problema en múltiples plataformas líderes de desarrollo.

Respuesta de Microsoft y evaluación del riesgo

Microsoft respondió a la divulgación indicando que el comportamiento actual es "por diseño", subrayando que el sistema de verificación de firmas impide que extensiones maliciosas sean publicadas en el Visual Studio Marketplace. Sin embargo, OX Security aclaró que la vulnerabilidad seguía siendo explotable a fecha del 29 de junio de 2025, especialmente a través de la distribución fuera del marketplace.

Esto implica que los desarrolladores que instalan extensiones desde fuentes externas como GitHub o foros técnicos podrían estar en riesgo sin saberlo.

Recomendaciones para desarrolladores y equipos de seguridad

Ante esta amenaza, los investigadores recomiendan enfáticamente las siguientes medidas para mitigar el riesgo:

• Instalar extensiones exclusivamente desde los marketplaces oficiales, como el Visual Studio Marketplace o JetBrains Plugin Repository.
• Evitar descargar archivos VSIX o ZIP compartidos en línea sin verificación de firma digital.
• Aplicar políticas de seguridad en IDE corporativos, como restringir la instalación de extensiones no aprobadas.
• Auditar extensiones instaladas regularmente, especialmente en entornos que manejan datos sensibles o propiedad intelectual.

Además, es fundamental que los equipos de desarrollo mantengan buenas prácticas de higiene de seguridad, incluyendo la rotación de secretos, autenticación multifactor (MFA) y segmentación de entornos de desarrollo.

Confianza comprometida en el ecosistema de desarrollo

Este incidente demuestra que los símbolos de verificación visual en los marketplaces no garantizan la legitimidad o seguridad de una extensión. Los desarrolladores deben ir más allá de la apariencia de confianza y aplicar una mentalidad de "cero confianza" en su entorno de trabajo.

La posibilidad de inyectar código malicioso en extensiones, empaquetarlas como archivos VSIX o ZIP y mantener símbolos verificados representa una amenaza real para el ecosistema del desarrollo de software. Este tipo de vulnerabilidad expone tanto a desarrolladores individuales como a grandes empresas a ataques que pueden comprometer información crítica y abrir puertas traseras en sistemas empresariales.

La industria debe considerar urgentemente mejoras en los sistemas de verificación de extensiones, incluyendo verificaciones de firma digital más robustas, validación del contenido del código fuente y políticas de aprobación más estrictas para entornos de desarrollo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El Comisionado de Protección de Datos de Berlín ha solicitado oficialmente a Google y Apple la eliminación de la aplicación DeepSeek AI de sus respectivas tiendas de aplicaciones por presuntas violaciones al Reglamento General de Protección de Datos (GDPR) de la Unión Europea.

La comisaria Meike Kamp denunció que el propietario de DeepSeek, la empresa china Hangzhou DeepSeek Artificial Intelligence, con sede en Pekín, estaría recopilando y transfiriendo datos personales de usuarios alemanes hacia servidores ubicados en China, sin implementar las garantías legales necesarias que exige el marco legal europeo.

DeepSeek AI en la mira por incumplimiento del GDPR

Según la legislación europea, y más específicamente el Artículo 46(1) del GDPR, cualquier transferencia de datos personales fuera del Espacio Económico Europeo debe contar con mecanismos adecuados para garantizar la protección de dichos datos, como cláusulas contractuales tipo, normas corporativas vinculantes o decisiones de adecuación.

Sin embargo, China no cuenta con un régimen de protección de datos equiparable al de la Unión Europea, y además, el país asiático ha sido criticado por sus amplias políticas de acceso estatal a la información gestionada por entidades privadas. Este contexto genera una alta probabilidad de que DeepSeek AI esté infringiendo normas clave del GDPR, al no garantizar niveles de seguridad y privacidad adecuados para los datos de usuarios europeos.

Servicio dirigido al público alemán

Aunque DeepSeek no cuenta con una sucursal física en Europa, la empresa ofrece su aplicación en Google Play Store y Apple App Store con descripciones en alemán y compatibilidad con dicho idioma, lo cual constituye una oferta dirigida explícitamente a consumidores en Alemania.

Esto significa que, pese a estar basada en China, la compañía debe cumplir con las regulaciones del GDPR si ofrece sus servicios a usuarios dentro del territorio de la Unión Europea. La comisaria Kamp enfatizó que esta relación directa con el consumidor europeo convierte a DeepSeek en una entidad sujeta a la jurisdicción del GDPR, independientemente de su ubicación geográfica.

Popularidad de DeepSeek AI y preocupaciones de ciberseguridad

DeepSeek AI se convirtió en una plataforma popular a nivel mundial tras el lanzamiento de la tercera generación de su chatbot de inteligencia artificial en enero de 2025. Este sistema llamó la atención por sus avanzadas capacidades conversacionales y de procesamiento del lenguaje natural.

No obstante, la plataforma también ha sido objeto de críticas por su débil postura de ciberseguridad, exponiendo información de usuarios y utilizando prácticas cuestionables en el manejo de datos. A pesar de estos incidentes, la aplicación ha alcanzado más de 50 millones de descargas en Google Play y miles de valoraciones en la App Store de Apple, lo que subraya su amplia adopción incluso en países con fuertes normas de privacidad como Alemania.

Solicitudes formales y acción bajo la Ley de Servicios Digitales (DSA)

Ante la negativa de DeepSeek de eliminar su aplicación de manera voluntaria —como había solicitado Kamp el pasado 6 de mayo— el Comisionado de Berlín activó el artículo 16 de la Ley de Servicios Digitales (DSA). Esta normativa europea permite a los organismos reguladores notificar contenidos o servicios ilegales directamente a las plataformas tecnológicas que los alojan, en este caso, Apple y Google.

Ahora, ambas compañías tecnológicas deberán revisar el informe enviado por las autoridades berlinesas y decidir si retiran o no la aplicación DeepSeek AI de sus tiendas en Alemania.

Coordinación interregional en Alemania

Aunque la solicitud fue presentada por el Comisionado de Berlín —una autoridad estatal y no federal— la acción se enmarca en una estrategia más amplia de cooperación entre organismos alemanes de protección de datos. La iniciativa cuenta con el respaldo de otras regiones como Baden-Württemberg, Renania-Palatinado y Bremen, así como con la Agencia Federal de Redes (Bundesnetzagentur).

Esta coordinación subraya la creciente preocupación dentro de Alemania sobre el uso de aplicaciones extranjeras que no respetan las estrictas normas de privacidad de la Unión Europea, especialmente aquellas que operan desde jurisdicciones consideradas de riesgo elevado en términos de protección de datos.

Expectativas y próximos pasos

El caso DeepSeek podría convertirse en un precedente clave para la aplicación del GDPR y de la Ley de Servicios Digitales (DSA) contra empresas tecnológicas extranjeras que no cuentan con presencia física en Europa, pero que ofrecen servicios claramente dirigidos a ciudadanos europeos.

Se espera que tanto Google como Apple tomen una decisión en las próximas semanas, lo que podría implicar la retirada de DeepSeek AI de sus plataformas si se determina que la aplicación representa una amenaza a la privacidad y seguridad de los usuarios alemanes.

En fin, la controversia en torno a DeepSeek AI representa un nuevo capítulo en la lucha por el cumplimiento del GDPR en entornos digitales globalizados. Las autoridades europeas están elevando el nivel de exigencia sobre cómo se recopilan, almacenan y transfieren los datos personales, incluso cuando se trata de empresas tecnológicas internacionales.

En un entorno cada vez más vigilado por reguladores y consumidores conscientes de su privacidad, el futuro de aplicaciones como DeepSeek dependerá de su capacidad para adaptarse a los estándares legales y éticos exigidos por la Unión Europea.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El Departamento del Tesoro de Estados Unidos ha impuesto sanciones a la empresa rusa Aeza Group, especializada en servicios de bulletproof hosting (alojamiento a prueba de balas), por su presunta participación en actividades cibernéticas maliciosas a nivel global. Según la Oficina de Control de Activos Extranjeros (OFAC), Aeza ha proporcionado servicios de infraestructura digital a actores vinculados con ransomware, infostealers, mercados de drogas en la darknet y operaciones de desinformación respaldadas por el Estado ruso.

¿Qué es el alojamiento a prueba de balas (bulletproof hosting)?

Los proveedores de bulletproof hosting son empresas que deliberadamente ignoran las quejas de abuso, violaciones de derechos de autor o requerimientos legales, permitiendo a los ciberdelincuentes operar con impunidad. Estos servicios son fundamentales para alojar sitios web maliciosos, servidores de comando y control (C2), paneles de gestión de malware, campañas de phishing y operaciones en la darknet.

Aeza Group, según el gobierno estadounidense, operaba precisamente en este nicho ilegal, ofreciendo un entorno seguro para que diversos grupos criminales cibernéticos llevaran a cabo sus actividades sin riesgo de ser cerrados por las autoridades.

Vinculación con campañas de ransomware y malware

De acuerdo con la OFAC, Aeza Group fue utilizado por grupos como BianLian, una notoria banda de ransomware, y por operadores del malware de robo de información RedLine Stealer, uno de los infostealers más activos en los últimos años. Estos actores maliciosos se beneficiaron del soporte técnico y de infraestructura proporcionado por Aeza, que facilitó el despliegue y control de sus herramientas cibernéticas.

Además, Aeza también proporcionó servicios a BlackSprut, un mercado de drogas ruso en la darknet, que facilitaba la venta de sustancias ilegales a usuarios dentro y fuera de Estados Unidos. El sitio operaba activamente hasta su desmantelamiento y era conocido por su anonimato y sofisticación técnica.

Participación en campañas de desinformación

Más allá del alojamiento de herramientas de malware, Aeza también ha sido vinculado a la operación de desinformación rusa conocida como Doppelgänger, que consistía en clonar sitios web legítimos de medios de comunicación occidentales. A través de estos sitios falsos, se difundía propaganda pro-Kremlin, con el objetivo de manipular a las audiencias europeas y estadounidenses y socavar la confianza en medios tradicionales.

Esta campaña ha sido identificada como una táctica híbrida del gobierno ruso para combinar la guerra informativa con operaciones cibernéticas encubiertas, y Aeza fue una pieza clave en su implementación técnica.

Personas sancionadas por el Tesoro de EE. UU.

Junto con la empresa Aeza Group, el Tesoro estadounidense sancionó a cuatro individuos clave en la operación de este proveedor de bulletproof hosting:

• Arsenii Aleksandrovich Penzev (Penzev): CEO y propietario del 33% de Aeza Group.
• Yurii Meruzhanovich Bozoyan (Bozoyan): Director general y propietario de otro 33% del grupo.
• Vladimir Vyacheslavovich Gast (Gast): Director técnico del grupo, con funciones operativas clave.
• Igor Anatolyevich Knyazev (Knyazev): Propietario del 33% restante, quien gestiona la empresa en ausencia de Penzev y Bozoyan.

Estos individuos, junto con las entidades Aeza International Ltd., Aeza Logistic LLC y Cloud Solutions LLC, han sido añadidos a la lista de nacionales especialmente designados (SDN), lo que implica el congelamiento inmediato de sus activos en territorio estadounidense. Asimismo, se prohíbe a ciudadanos y empresas de EE. UU. realizar transacciones comerciales con ellos.

Contexto y acciones anteriores

Este nuevo conjunto de sanciones forma parte de una campaña continua por parte del Departamento del Tesoro para combatir la proliferación de infraestructura digital maliciosa. En febrero de 2025, la OFAC ya había sancionado a otros proveedores de alojamiento a prueba de balas como ZServers y Xhost, utilizados por la infame banda de ransomware LockBit y otros grupos cibercriminales.

Detenciones en Rusia

Medios rusos han informado que Penzev, Bozoyan y otros miembros del personal de Aeza fueron arrestados en abril por supuestas "actividades bancarias ilegales como parte de un grupo criminal organizado" y por brindar soporte al mercado de drogas BlackSprut. Aunque no está claro si estas acciones fueron coordinadas con agencias de seguridad internacionales, sí reflejan una creciente presión sobre empresas tecnológicas rusas implicadas en delitos transnacionales.

Implicaciones globales

La sanción a Aeza Group refuerza el compromiso de Estados Unidos por desmantelar la infraestructura que sostiene la economía cibercriminal global. Al apuntar no solo a los operadores del malware, sino también a las empresas que les proporcionan servicios, se busca debilitar las cadenas de suministro cibernéticas que permiten que amenazas como el ransomware, el robo de credenciales y la desinformación se multipliquen en el ciberespacio.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de seguridad han descubierto una extensa red de más de 1,000 dispositivos comprometidos pertenecientes a pequeñas oficinas y oficinas en el hogar (SOHO), utilizada como infraestructura de apoyo en campañas de ciberespionaje persistente vinculadas a grupos patrocinados por el Estado chino.

La red, denominada LapDogs, ha sido identificada por el equipo STRIKE de SecurityScorecard como una infraestructura ORB (Operational Relay Box). Este tipo de red facilita el anonimato y la resiliencia operativa de los atacantes, actuando como una capa intermedia entre los sistemas objetivo y los operadores.

Alta concentración de víctimas en EE.UU. y Asia

Según el informe técnico, LapDogs presenta una alta concentración de infecciones en Estados Unidos y el sudeste asiático, con una presencia significativa también en Japón, Corea del Sur, Hong Kong y Taiwán. Las organizaciones afectadas se extienden por sectores como:

• Tecnología de la información (TI)
• Redes y telecomunicaciones
• Bienes raíces
• Medios de comunicación

Los dispositivos comprometidos incluyen equipos de Ruckus Wireless, ASUS, Buffalo Technology, Cisco-Linksys, Cross DVR, D-Link, Microsoft, Panasonic y Synology, lo que indica un amplio espectro de infraestructura vulnerable, tanto en hardware como en software.

ShortLeash: la puerta trasera detrás de la red LapDogs

En el núcleo de esta operación se encuentra una backdoor personalizada llamada ShortLeash, diseñada específicamente para reclutar dispositivos infectados a la red ORB. Una vez implantada, esta puerta trasera instala un servidor web Nginx falso y genera un certificado TLS autofirmado con el nombre del emisor "LAPD", intentando aparentar ser el Departamento de Policía de Los Ángeles.

Este detalle fue el que inspiró el nombre "LapDogs" para la red. ShortLeash se distribuye mediante scripts de shell dirigidos principalmente a dispositivos SOHO basados en Linux, aunque también se han detectado artefactos compatibles con entornos Windows.

Vulnerabilidades explotadas: CVE-2015-1548 y CVE-2017-17663

Para comprometer los dispositivos, los atacantes utilizan vulnerabilidades conocidas (n-days), como CVE-2015-1548 y CVE-2017-17663, que permiten el acceso inicial y la instalación persistente del malware. Esto demuestra un enfoque oportunista, pero técnico, que explota routers sin parches y dispositivos IoT mal configurados.

Campañas escalonadas y operación silenciosa

La actividad de LapDogs se remonta al 6 de septiembre de 2023, con el primer ataque registrado en Taiwán. Un segundo incidente ocurrió el 19 de enero de 2024. Desde entonces, se han identificado 162 conjuntos de intrusión distintos, con cada oleada infectando un máximo de 60 dispositivos a la vez, una estrategia que favorece el sigilo y evita la detección masiva.

LapDogs vs. PolarEdge: dos redes ORB distintas

Si bien la red LapDogs muestra algunas similitudes con otra infraestructura ORB conocida como PolarEdge, analizada recientemente por Sekoia, los expertos las consideran entidades separadas debido a diferencias clave:

• LapDogs puede comprometer tanto dispositivos SOHO como servidores privados virtuales (VPS) y sistemas Windows.
• PolarEdge se caracteriza por reemplazar scripts CGI con webshells, mientras que ShortLeash de LapDogs se instala como un archivo .service con privilegios root, asegurando la persistencia tras reinicios.

Vinculación con UAT-5918 y ciberespionaje en Taiwán

SecurityScorecard ha asociado con confianza media la red LapDogs al grupo UAT-5918, un actor de amenazas con presuntos vínculos con el gobierno chino. Se ha observado que este grupo utilizó LapDogs al menos una vez durante operaciones de ciberespionaje dirigidas contra objetivos en Taiwán.

Aunque aún no está claro si UAT-5918 es el operador directo de la red o simplemente un usuario más, el patrón coincide con tácticas empleadas por otros actores respaldados por China, como documentaron anteriormente Google Mandiant, Sygnia y SentinelOne.

Redes ORB: herramientas versátiles para el espionaje digital

A diferencia de las botnets tradicionales, las infraestructuras ORB como LapDogs funcionan como navajas suizas del ciberespionaje. Pueden apoyar múltiples etapas del ciclo de vida de una intrusión, incluyendo:

• Reconocimiento pasivo
• Anonimato del operador
• Recolección de flujo de red
• Escaneo de puertos y vulnerabilidades
• Reconfiguración de nodos como servidores de prueba o C2
• Retransmisión de datos exfiltrados

Este enfoque modular convierte a redes como LapDogs en activos altamente valiosos para operaciones avanzadas de espionaje digital.

LapDogs expone un nuevo nivel de sofisticación en la infraestructura APT

La red LapDogs representa una evolución significativa en la forma en que los actores de amenazas persistentes avanzadas (APT) diseñan sus infraestructuras de apoyo. Su capacidad para operar silenciosamente, segmentar campañas por lotes, aprovechar vulnerabilidades conocidas y reclutar dispositivos SOHO poco protegidos la convierte en una amenaza compleja y difícil de erradicar.

Para las organizaciones que dependen de dispositivos de red en entornos domésticos o de pequeña oficina, esta investigación refuerza la necesidad urgente de aplicar actualizaciones de seguridad regulares, segmentar redes críticas y monitorear continuamente comportamientos anómalos en la red.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Facebook, la red social propiedad de Meta, ha comenzado a solicitar a los usuarios permiso para procesar imágenes directamente desde sus teléfonos móviles utilizando inteligencia artificial (IA). Esta nueva función, que actualmente se está implementando en Estados Unidos y Canadá, pretende generar automáticamente collages, resúmenes y sugerencias de historias personalizadas a partir del contenido del carrete de la cámara, incluso si esas imágenes no se han subido a Facebook.

¿Cómo funciona esta nueva función de IA en Facebook?

Según reveló TechCrunch, los usuarios reciben una ventana emergente al intentar crear una historia en Facebook, donde se les solicita permitir el "procesamiento en la nube" de sus archivos multimedia. Meta explica que la IA seleccionará fotos y videos del dispositivo móvil para analizarlos de forma continua, basándose en datos como la hora, ubicación y temas reconocidos.

Citar"Solo tú puedes ver las sugerencias. Tus archivos multimedia no se utilizarán para segmentación publicitaria. Revisamos el contenido por motivos de seguridad e integridad", señala Meta en el aviso emergente.

Aunque la compañía afirma que la función es opcional y puede desactivarse en cualquier momento, este movimiento ha generado preocupación entre expertos en privacidad y reguladores, especialmente por la naturaleza invasiva del procesamiento basado en reconocimiento facial y metadatos sensibles.

¿Qué riesgos plantea el procesamiento de fotos con IA en la nube?

Meta deja claro que al aceptar esta función, los usuarios también consienten sus términos de uso de IA, los cuales autorizan el análisis de medios, patrones y rasgos faciales. Si bien Meta asegura que no utilizará estos datos para publicidad dirigida, los riesgos de seguridad persisten:

• Falta de transparencia sobre cuánto tiempo se almacenan las fotos.
• Incertidumbre sobre quién puede acceder a estos datos.
• Posible uso de información sensible para entrenar modelos de IA.
• Creación de perfiles de usuario altamente detallados sin consentimiento explícito sobre cada uso.

Incluso si las imágenes no son utilizadas con fines publicitarios, podrían formar parte de conjuntos de datos de entrenamiento, ayudando a mejorar los algoritmos que eventualmente pueden ser aplicados en otros productos sin el conocimiento del usuario.

CitarEs como entregar tu álbum de fotos a un algoritmo que observa silenciosamente tus hábitos, preferencias y estilo de vida con el tiempo.

Meta y la tendencia global en inteligencia artificial

Esta iniciativa forma parte de una estrategia más amplia de integración de IA generativa en redes sociales, donde las empresas priorizan la personalización automática a cambio de un mayor acceso a datos personales.

El mes pasado, Meta comenzó a entrenar sus modelos de inteligencia artificial con datos públicos de adultos en sus plataformas dentro de la Unión Europea, tras recibir aprobación de la Comisión de Protección de Datos de Irlanda (DPC). Por otro lado, en Brasil, la compañía suspendió sus herramientas de IA generativa en julio de 2024 debido a las inquietudes del gobierno sobre la privacidad.

También se han incorporado herramientas de IA en WhatsApp, como la función para resumir mensajes no leídos, que según Meta, sigue un modelo llamado "Procesamiento Privado".

Preocupación internacional por el uso de IA y datos personales

A nivel global, las preocupaciones sobre el procesamiento de datos mediante IA continúan creciendo. En Alemania, el organismo de protección de datos instó a Apple y Google a eliminar las aplicaciones DeepSeek de sus tiendas debido a la transferencia ilegal de datos de usuarios a servidores en China. Estas apps recopilan información como textos, historiales de chat, ubicación y detalles del dispositivo.

Citar"El servicio transmite los datos personales recopilados a procesadores chinos y los almacena en servidores en China", señaló el Comisionado de Berlín, violando el Reglamento General de Protección de Datos (GDPR) de la UE.

Estas revelaciones coinciden con reportes de que empresas chinas de IA están colaborando con operaciones militares y de inteligencia del Estado, compartiendo datos con Beijing, según fuentes del Departamento de Estado de EE.UU.

En contraste, OpenAI anunció recientemente un acuerdo con el Departamento de Defensa de EE.UU. por 200 millones de dólares para desarrollar prototipos de IA para aplicaciones tanto militares como administrativas. El objetivo es mejorar procesos, desde la atención médica de militares hasta la defensa cibernética proactiva.

¿Privacidad o conveniencia? La encrucijada del usuario digital

El avance de la inteligencia artificial en productos cotidianos como Facebook y WhatsApp ilustra la tensión actual entre la comodidad digital y la privacidad personal. Mientras que funciones como sugerencias automáticas de historias o collages generados por IA pueden ser atractivas, el costo subyacente es un acceso mucho más profundo a los datos privados de los usuarios.

Este tipo de procesamiento va más allá del uso tradicional de redes sociales, analizando patrones de comportamiento directamente desde los dispositivos móviles, lo que exige una revisión crítica de las configuraciones de privacidad y del consentimiento informado.

¿Qué debes hacer si usas Facebook?

• Revisa las configuraciones de privacidad de tu cuenta y de tu móvil.
• No aceptes funciones que impliquen el procesamiento en la nube si no comprendes plenamente sus implicaciones.
• Si estás en EE.UU. o Canadá, puedes desactivar esta función de IA en cualquier momento desde el panel de configuración de la app.

La recopilación masiva de imágenes y datos por parte de Meta en nombre de la inteligencia artificial plantea nuevas preguntas éticas y legales. Como usuario, tu mejor defensa sigue siendo estar informado y ejercer control sobre tus propios datos digitales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Desde el 9 de junio de 2025, los proveedores de servicios de Internet (ISP) rusos han comenzado a aplicar fuertes restricciones a los sitios web y servicios protegidos por Cloudflare, una de las plataformas más utilizadas para proteger sitios web contra ciberataques y garantizar alto rendimiento en la entrega de contenido.

Este movimiento ha provocado que miles de sitios web respaldados por Cloudflare sean inaccesibles en Rusia, marcando un nuevo episodio en el creciente control estatal sobre el acceso a Internet.

Estrangulamiento digital extremo: solo 16 KB descargables

Según diversos reportes, el bloqueo implementado por los ISP rusos es tan agresivo que solo permite descargar los primeros 16 KB de cualquier recurso web. Esta limitación técnica, conocida como "estrangulamiento de tráfico", interrumpe completamente la carga de páginas, imágenes, scripts y demás elementos esenciales, volviendo inútiles los sitios protegidos por Cloudflare para los usuarios dentro del país.

Cloudflare sin control ni soluciones ante el bloqueo

Cloudflare ha emitido un comunicado afirmando que no ha recibido ninguna notificación oficial por parte del gobierno ruso. No obstante, considera que esta medida forma parte de una estrategia sistemática para expulsar a las empresas tecnológicas occidentales del ecosistema digital ruso.

Citar"Dado que los ISP locales están aplicando el estrangulamiento, la acción está fuera de nuestro control. Actualmente, no podemos restaurar el acceso confiable y de alto rendimiento a nuestros productos o a los sitios protegidos para los usuarios en Rusia", declaró la empresa.

Cloudflare también señaló que no existen soluciones técnicas viables o legales que permitan mitigar el impacto de estas restricciones.

Otros proveedores occidentales también afectados

El estrangulamiento no se limita a Cloudflare. Hetzner (Alemania), DigitalOcean (Estados Unidos) y OVH (Francia), tres de los principales proveedores de infraestructura digital, también están siendo afectados por bloqueos similares.

Estos servicios, ampliamente utilizados para alojar servidores VPN privados, han sido objetivo prioritario del Kremlin debido a su papel en la evasión de la censura estatal. Según informó MediaZona, la acción apunta a deshabilitar las herramientas que permiten a los ciudadanos acceder a contenido censurado o eludir listas de bloqueo gubernamentales cada vez más extensas.

Uno de los casos más emblemáticos es Psiphon, un servicio establecido de anticensura cuya infraestructura también depende de Cloudflare. Al degradar masivamente la conectividad hacia estos proveedores, el Estado ruso busca fragmentar el ecosistema de herramientas de elusión sin necesidad de bloquearlas individualmente.

Técnicas de bloqueo empleadas por los ISP rusos

Desde el punto de vista técnico, Cloudflare ha identificado que varios de los principales ISP rusos —incluidos Rostelecom, Megafon, Vimpelcom, MTS y MGTS— están aplicando diversas técnicas avanzadas de censura digital:

• Inyección y bloqueo de paquetes para generar tiempos de espera.
• Filtrado de tráfico a nivel de protocolo y conexión.
• Bloqueo de conexiones HTTP/1.1 y HTTP/2 sobre TCP y TLS.
• Interrupciones al protocolo HTTP/3 que utiliza QUIC.

Estas técnicas de bloqueo operan incluso cuando los servidores de destino están ubicados fuera de Rusia, lo que demuestra el alcance y sofisticación del sistema de censura.

Cloudflare recomienda presión local para levantar restricciones

Al encontrarse sin herramientas legales ni técnicas para revertir el bloqueo, Cloudflare ha instado a los administradores de sitios web dentro de Rusia a ejercer presión sobre las entidades locales responsables, con la esperanza de que se reconsideren las restricciones impuestas.

Censura a nivel nacional: más de 30 regiones afectadas

El observatorio ruso de derechos digitales Roskomsvoboda ha reportado oleadas masivas de restricciones al Internet móvil en más de 30 regiones del país. Aunque en el pasado estas acciones se justificaban por razones de seguridad —como la prevención de ataques con drones en regiones fronterizas con Ucrania—, el número de zonas afectadas ha aumentado rápidamente e incluye actualmente regiones lejos de la línea del frente.

Este patrón sugiere que las restricciones ya no responden únicamente a necesidades militares, sino a un modelo de control interno del flujo de información digital.

Un ecosistema digital cada vez más cerrado

La decisión de Rusia de bloquear Cloudflare y otros proveedores occidentales no solo afecta la libertad de información, sino también la infraestructura de seguridad web y los servicios de privacidad en línea de millones de usuarios. La censura digital en el país está alcanzando niveles sin precedentes, con consecuencias preocupantes para los derechos digitales y el acceso a la información global.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Comisión Federal de Comercio de Estados Unidos (FTC, por sus siglas en inglés) ha anunciado una nueva fase en su proceso de reembolsos relacionados con Fortnite. En esta segunda ronda, se distribuirán 126 millones de dólares a 969,173 jugadores que fueron afectados por las prácticas comerciales engañosas implementadas por Epic Games, desarrollador del popular videojuego.

Esta medida forma parte de un amplio acuerdo alcanzado en diciembre de 2022, en el cual Epic Games aceptó pagar un total de 520 millones de dólares para resolver múltiples acusaciones relacionadas con violaciones a la privacidad infantil y el uso de "patrones oscuros" para fomentar compras no deseadas dentro del juego.

¿Qué son los patrones oscuros y cómo afectaron a los jugadores?

Los llamados patrones oscuros (o dark patterns) son técnicas de diseño manipulativas utilizadas en interfaces digitales para influir en el comportamiento del usuario. En el caso de Fortnite, la FTC identificó varios ejemplos que perjudicaron a millones de jugadores, especialmente menores de edad:

• Mensajes de compra confusos que inducían a errores al confirmar transacciones.
• Promociones engañosas que llevaban a los usuarios a pensar que estaban accediendo a contenido gratuito o con descuento.
• Permitir compras a menores sin consentimiento parental, lo cual infringe regulaciones federales.
• Cargos automáticos activados al salir del modo de suspensión, durante la carga del juego o al previsualizar un objeto del juego.

Estas acciones derivaron en compras no deseadas sin confirmación adicional. Además, los jugadores que intentaban disputar los cobros enfrentaban un proceso complejo y poco transparente que muchas veces los desmotivaba a continuar. En algunos casos, incluso se restringió el acceso a las cuentas hasta que se resolviera el pago.

Segunda fase de reembolsos: ¿quiénes son elegibles?

Este nuevo desembolso de $126 millones corresponde a la segunda fase del proceso de reembolso, luego de que en diciembre de 2024 se distribuyeran $72 millones entre 629,344 jugadores elegibles. En esa primera ronda, el reembolso promedio fue de 114 dólares, mientras que en esta segunda fase la cifra media asciende a 130 dólares por jugador.

La FTC también ha reabierto el portal oficial de reclamaciones, brindando una nueva oportunidad a los consumidores afectados para presentar sus solicitudes. La fecha límite para enviar una reclamación es el 9 de julio de 2025.

Los reembolsos están disponibles para jugadores que realizaron compras en Fortnite entre enero de 2017 y septiembre de 2022 y que se consideran afectadas por los patrones oscuros definidos por la FTC.

Cómo solicitar tu reembolso

Para iniciar una reclamación, es necesario cumplir con los siguientes requisitos:

• Tener al menos 18 años de edad. En caso de que el jugador sea menor, un padre o tutor legal puede completar el formulario en su nombre.
• Haber realizado compras en Fortnite durante el período establecido.
• Demostrar que las compras se realizaron bajo condiciones engañosas.
• Los jugadores pueden acceder al portal de reclamaciones habilitado por la FTC y completar el formulario en línea. Una vez aprobado, el reembolso se podrá cobrar de dos maneras:
• Cheque bancario, con un plazo de 90 días para cobrarlo.
• PayPal, con un plazo de 30 días para redimir el pago.

La empresa Rust Consulting Inc., designada para gestionar el proceso, también ha dispuesto una línea de atención telefónica y una dirección de correo electrónico de soporte para resolver cualquier duda o problema durante la solicitud del reembolso.

Un precedente clave para la protección del consumidor

Este caso representa uno de los mayores acuerdos de protección al consumidor en el ámbito de los videojuegos y sienta un precedente en contra del uso de técnicas manipulativas dentro de aplicaciones dirigidas a jóvenes. La intervención de la FTC también ha puesto en evidencia la necesidad de un mayor control sobre las políticas de privacidad y compra en juegos en línea, especialmente aquellos con gran base de usuarios menores de edad.

La FTC ha reiterado su compromiso de continuar supervisando este tipo de prácticas en la industria del entretenimiento digital y proteger los derechos de los consumidores ante compañías que recurran a métodos oscuros o no éticos para maximizar sus ingresos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El colectivo cibercriminal Scatter Spider ha vuelto a dominar los titulares en 2025, tras una ola de ciberataques dirigidos a empresas del sector asegurador y minorista. Entre las víctimas más recientes se encuentran Aflac, Philadelphia Insurance Companies y Erie Insurance, cuyos incidentes fueron revelados a través de informes del Formulario 8-K de la SEC, confirmando robo de datos confidenciales y parálisis operativa.

Google y CISA advierten sobre múltiples intrusiones

El Threat Intelligence Group de Google confirmó que actualmente investiga "múltiples intrusiones con patrones de Scatter Spider" en empresas estadounidenses, particularmente en el sector de los seguros. Este nuevo repunte en la actividad refuerza la peligrosidad de un actor que ha perfeccionado las técnicas de acceso no autorizado basadas en ingeniería social y suplantación de identidad.

Un repaso: ¿quién es Scatter Spider?

Activo desde 2022, Scatter Spider ha sido vinculado a violaciones de alto perfil como:

• Caesars Entertainment (2023): suplantación de un empleado de TI para restablecer credenciales. Resultado: base de datos de fidelización robada y rescate pagado de $15 millones.
• MGM Resorts (2023): ataque vía LinkedIn y call center externo, con filtración de 6 TB de datos, interrupciones de 36 horas y pérdidas por más de $100 millones.
• Transport for London (2024): exposición de datos bancarios de usuarios y empleados, y parálisis de servicios en línea durante meses.

La técnica común en estos ataques es el abuso de procesos de asistencia técnica para eludir el MFA (autenticación multifactor), ganando control de cuentas mediante ingeniería social.

2025: el resurgir de Scatter Spider

En 2025, Scatter Spider ha vuelto a atacar, esta vez centrando sus esfuerzos en retailers del Reino Unido como Marks & Spencer (M&S) y Co-op, ocasionando:

• M&S: £300 millones en pérdidas, desplome bursátil de casi £1.000 millones y una demanda colectiva en curso.
• Co-op: interrupciones en servicios físicos y digitales, junto a exfiltración de datos sensibles.

Las brechas se extendieron rápidamente a marcas globales como Dior, Victoria's Secret, Cartier, Coca-Cola, Adidas, The North Face y United Natural Foods, en una campaña masiva que, a diferencia de incidentes como Snowflake (2024), no se debió a una vulnerabilidad común, sino a una estrategia enfocada en comprometer identidades a escala.

TTP de Scatter Spider: identidad como vector de ataque principal

Scatter Spider se caracteriza por explotar debilidades humanas y procesos de seguridad mal implementados. Sus tácticas, técnicas y procedimientos (TTP) más relevantes incluyen:

• Phishing de credenciales vía correo electrónico y smishing.
• SIM swapping para sortear MFA basada en SMS.
• Fatiga de MFA (push bombing).
• Vishing para obtener códigos MFA de víctimas directamente.
• Ataques contra registradores de dominio, secuestrando DNS corporativo y correos entrantes.
• Uso de kits AiTM como Evilginx, robando sesiones activas del navegador.

Estas técnicas permiten eludir controles tradicionales de endpoint y red, demostrando que la identidad digital es el nuevo punto de ataque.

La identidad es el nuevo perímetro

Scatter Spider refleja una tendencia más amplia: los ataques basados en identidad son ahora la norma. Ya no se trata solo de malware o vulnerabilidades técnicas, sino de suplantación, manipulación de procesos y abuso de confianza. Grupos como Lapsus$, ShinyHunters y hasta APT rusos han adoptado estos métodos, dejando en claro que el terreno de juego ha cambiado.

Las estafas al soporte técnico llegaron para quedarse

Los ataques de asistencia técnica no son nuevos, pero su eficiencia y bajo costo los han vuelto casi inevitables. Su éxito radica en que muchas organizaciones no diferencian procesos de recuperación de cuentas entre empleados comunes y administradores privilegiados, lo que facilita la escalada de privilegios tras el primer acceso.

Scatter Spider evita controles tradicionales de seguridad

Este grupo evita deliberadamente herramientas como EDR, firewalls o antivirus, actuando en zonas donde la visibilidad es baja:

• Servicios en la nube (SaaS), con manipulación de registros y actividad difícil de diferenciar de lo legítimo.
• Entornos VMware, donde despliegan ransomware desde el hipervisor ESXi, fuera del alcance de herramientas de protección del host.

¿Cómo defenderse? Push Security ofrece una solución centrada en la identidad

La seguridad basada en navegador es clave frente a amenazas como Scatter Spider. La plataforma Push Security detecta y responde a ataques de identidad como:

• Phishing AiTM
• Relleno de credenciales y ataques de pulverización de contraseñas
• Secuestro de sesiones y vulnerabilidades en OAuth

Además, Push ha lanzado códigos de verificación de identidad en el navegador: una solución ligera para que los servicios de asistencia puedan verificar de forma segura que el solicitante forma parte legítima de la organización, reduciendo la exposición a fraudes telefónicos.

En fin, Scatter Spider no es solo un grupo de ciberdelincuentes: es el reflejo de una evolución en la forma en que se ejecutan los ciberataques en 2025. La suplantación de identidad, la ingeniería social altamente dirigida y la evasión de MFA son tácticas replicables y efectivas que cualquier organización puede enfrentar.

Reforzar los controles de identidad, revisar procesos de recuperación de cuentas y educar al personal ya no son prácticas recomendadas, sino requisitos fundamentales para sobrevivir en el nuevo panorama de amenazas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha confirmado un problema crítico en su servicio de control parental Family Safety, el cual está impidiendo que los usuarios puedan abrir Google Chrome y otros navegadores web en sistemas operativos Windows 10 y Windows 11. Este fallo afecta directamente a las funciones de supervisión digital utilizadas por millones de padres para controlar la actividad en línea de sus hijos.

¿Qué es Microsoft Family Safety?

Microsoft Family Safety es una herramienta de control parental integrada en Windows que permite a los padres:

• Administrar el tiempo frente a la pantalla
• Filtrar contenido inapropiado en la web
• Aprobar o bloquear aplicaciones y juegos
• Hacer seguimiento de la ubicación
• Recibir informes detallados de la actividad digital

Sin embargo, un fallo reciente en la función de filtrado web está provocando bloqueos inesperados, incluso en navegadores previamente aprobados.

Detalles del problema: Chrome bloqueado por error

Desde principios de junio, múltiples usuarios han reportado que Google Chrome no se abre o se cierra aleatoriamente cuando se utiliza en dispositivos con Microsoft Family Safety activado. El error fue inicialmente documentado por The Verge y posteriormente reconocido por Microsoft.

La causa principal del fallo es una desincronización en el mecanismo de aprobación de aplicaciones. Family Safety está diseñado para pedir una solicitud de aprobación parental cuando un menor intenta abrir un navegador no autorizado. Sin embargo, el sistema está bloqueando incluso navegadores ya aprobados previamente, como Chrome, especialmente después de una actualización de versión.

Declaración oficial de Microsoft

Según Microsoft:

Citar"Cuando un navegador se actualiza a una nueva versión, esta no puede bloquearse hasta que sea agregada manualmente a la lista de bloqueo. Esto está provocando que navegadores como Google Chrome y otros se cierren inesperadamente, incluso cuando ya han sido autorizados."

El error también impide que se muestre el mensaje estándar que solicita la aprobación de los padres: "Deberá solicitar usar esta aplicación". Esto sucede específicamente cuando la función de informes de actividad está desactivada en la configuración de Family Safety.

Sistemas afectados

Este error conocido afecta a dispositivos que ejecutan:

• Windows 10 versión 22H2
• Windows 11 versión 22H2 o posterior

Microsoft está trabajando activamente para lanzar una solución permanente a este problema, pero aún no hay una fecha de despliegue confirmada.

Solución temporal recomendada

Mientras Microsoft prepara una corrección definitiva, se ha recomendado una solución provisional:

• Activar la función "Informes de actividad" en la configuración de Microsoft Family Safety.
• Esto permite que las solicitudes de aprobación funcionen correctamente, permitiendo a los niños usar navegadores como Chrome tras la aprobación de sus padres.

Pasos sugeridos:

• Ir a Configuración > Cuentas > Familia y otros usuarios
• Acceder a la cuenta del menor
• Activar la opción "Informes de actividad"
• Verificar que el navegador bloqueado aparezca en la lista de solicitudes

De este modo, los padres podrán aprobar manualmente el uso de Chrome u otros navegadores después de cada actualización, hasta que el error se resuelva por completo.

Implicaciones en el control parental

Este tipo de errores puede afectar la experiencia de navegación segura para menores, así como interrumpir la productividad familiar, especialmente en entornos donde se depende de múltiples navegadores. Chrome, por ejemplo, sigue siendo uno de los navegadores más utilizados, y su bloqueo puede llevar a confusión y frustración entre los usuarios.

Microsoft ha asegurado que está enfocando esfuerzos en resolver dos problemas clave:

• El bloqueo temporal no intencionado de versiones actualizadas de navegadores aprobados
• La ausencia de solicitudes de consentimiento parental cuando deberían mostrarse

En fin, el error en Microsoft Family Safety que bloquea Google Chrome y otros navegadores tras actualizaciones ha sido confirmado por Microsoft y está siendo abordado. Mientras tanto, se recomienda habilitar los informes de actividad como solución temporal.

Este incidente subraya la importancia de que las herramientas de control parental se mantengan actualizadas y sin errores para garantizar la experiencia segura de menores en el entorno digital.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha actualizado su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) con tres nuevas amenazas que están siendo explotadas activamente en entornos reales. Las vulnerabilidades afectan a tecnologías ampliamente implementadas como AMI MegaRAC, enrutadores D-Link DIR-859 y Fortinet FortiOS, lo que pone en riesgo la integridad de múltiples redes empresariales y gubernamentales.

Estas fallas de seguridad representan distintos vectores de ataque que van desde la omisión de autenticación hasta la exposición de claves criptográficas, con consecuencias que incluyen la ejecución remota de código, la escalada de privilegios y el descifrado de datos sensibles.

Lista de vulnerabilidades añadidas al catálogo KEV

CVE-2024-54085 (CVSS: 10,0) – AMI MegaRAC SPx

Esta es una vulnerabilidad crítica de omisión de autenticación en la interfaz de host Redfish de AMI MegaRAC SPx. Fue revelada por la firma de seguridad de firmware Eclypsium y permite a un atacante remoto tomar el control completo del dispositivo sin necesidad de credenciales válidas.

Una explotación exitosa puede habilitar acciones como:

• Manipulación del firmware del dispositivo
• Instalación de malware persistente
• Acceso total al sistema de gestión remota

Eclypsium advierte que esta vulnerabilidad tiene un alcance considerable en infraestructuras empresariales y de centros de datos. Aunque no se han divulgado detalles específicos sobre su uso en la naturaleza, su inclusión en el catálogo KEV implica evidencia confirmada de explotación activa.

CVE-2024-0769 (CVSS: 5,3) – D-Link DIR-859

Esta vulnerabilidad de cruce de rutas afecta a los enrutadores D-Link DIR-859 y permite la escalada de privilegios, exponiendo información sensible de los usuarios del dispositivo. Fue identificada en campañas maliciosas reveladas por GreyNoise, donde atacantes lograron extraer:

• Nombres de cuentas
• Contraseñas
• Grupos de usuarios
• Descripciones asociadas

Un aspecto crítico de esta falla es que el D-Link DIR-859 se encuentra fuera de soporte desde diciembre de 2020, por lo que no existe un parche disponible. Se recomienda encarecidamente retirar y reemplazar estos dispositivos lo antes posible, ya que seguir utilizándolos representa una amenaza significativa.

CVE-2019-6693 (CVSS: 4,2) – Fortinet FortiOS, FortiManager y FortiAnalyzer

Este CVE corresponde a una clave criptográfica codificada de forma rígida, utilizada para cifrar datos de contraseñas dentro de la configuración de CLI en Fortinet FortiOS, FortiManager y FortiAnalyzer.

Un atacante que obtenga acceso a la configuración o al archivo de copia de seguridad del sistema puede:

• Descifrar contraseñas y datos confidenciales
• Acceder a credenciales privilegiadas
• Ampliar su acceso dentro de una red comprometida

Diversos reportes han vinculado esta vulnerabilidad con campañas del ransomware Akira, que la han aprovechado para lograr el acceso inicial a redes corporativas.

Implicaciones para las organizaciones gubernamentales y privadas

Dada la gravedad y explotación activa de estas vulnerabilidades, CISA ha emitido una orden de mitigación obligatoria para todas las agencias del Poder Ejecutivo Civil Federal (FCEB). Las entidades afectadas deberán aplicar las medidas correctivas correspondientes antes del 16 de julio de 2025, incluyendo:

• Aplicación de parches y actualizaciones de firmware donde estén disponibles.
• Retiro de dispositivos no soportados como el D-Link DIR-859.
• Auditoría de configuraciones en Fortinet para prevenir el uso de claves cifradas preestablecidas.

Recomendaciones generales de mitigación

Para minimizar el impacto de estas vulnerabilidades, se aconseja a las organizaciones:

• Actualizar todos los dispositivos vulnerables a versiones parcheadas si están disponibles.
• Reemplazar hardware obsoleto o sin soporte, como los enrutadores D-Link afectados.
• Monitorear el tráfico de red y los registros de eventos en busca de comportamientos anómalos.
• Aplicar segmentación de red para limitar el acceso lateral en caso de una intrusión.
• Utilizar soluciones de detección y respuesta a nivel de endpoint (EDR) para detectar explotación en tiempo real.

En fin, la incorporación de estas tres vulnerabilidades al catálogo KEV de CISA refleja su alto nivel de riesgo y la confirmación de que ya están siendo utilizadas por actores maliciosos. La combinación de una vulnerabilidad crítica sin autenticación, un router obsoleto sin parches y un defecto criptográfico en una solución de seguridad de red hace que esta alerta sea de gran importancia para equipos de TI y ciberseguridad.

La acción rápida, especialmente en entornos donde se utilizan AMI MegaRAC, Fortinet FortiOS o dispositivos D-Link DIR-859, es esencial para proteger los activos digitales frente a amenazas actuales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cisco ha publicado actualizaciones urgentes para remediar dos fallas de seguridad de máxima gravedad en Identity Services Engine (ISE) y ISE Passive Identity Connector (ISE-PIC). Estas vulnerabilidades, identificadas como CVE-2025-20281 y CVE-2025-20282, permiten la ejecución remota de código arbitrario sin autenticación previa, otorgando privilegios de usuario root en el sistema afectado. Ambas fallas recibieron la puntuación máxima de 10,0 en la escala CVSS, lo que indica un nivel crítico de riesgo.

Detalles técnicos de las vulnerabilidades

CVE-2025-20281: Ejecución remota de código no autenticado

Esta vulnerabilidad afecta a las versiones 3.3 y posteriores de Cisco ISE e ISE-PIC. El fallo reside en una validación insuficiente de las entradas proporcionadas por el usuario. Un atacante remoto no autenticado podría explotar esta debilidad enviando una solicitud de API especialmente diseñada, obteniendo así privilegios elevados para ejecutar comandos arbitrarios directamente en el sistema operativo subyacente como root.

CVE-2025-20282: Carga y ejecución de archivos maliciosos

La segunda vulnerabilidad afecta a la versión 3.4 de Cisco ISE e ISE-PIC. Esta se origina por falta de controles de validación al cargar archivos, permitiendo que un actor malicioso suba archivos arbitrarios a directorios privilegiados. Al ejecutar estos archivos, el atacante podría comprometer completamente el sistema, logrando nuevamente privilegios de root sin necesidad de autenticación.

Impacto y riesgo

Cisco ha confirmado que, de ser explotadas con éxito, estas vulnerabilidades podrían permitir a un atacante remoto tomar el control total de un dispositivo vulnerable. Esto incluye la posibilidad de ejecutar código arbitrario, instalar malware, modificar configuraciones críticas o interrumpir el servicio.

Aunque no se ha detectado explotación activa en entornos reales hasta el momento, la naturaleza crítica de las vulnerabilidades hace que sea imperativo aplicar los parches de seguridad de forma inmediata.

Versiones afectadas y parches disponibles

Cisco ha lanzado actualizaciones específicas para mitigar ambas vulnerabilidades. A continuación, se detallan las versiones parcheadas disponibles:

CVE-2025-20281:

• Cisco ISE/ISE-PIC versión 3.3 con el parche 6 (ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz)
• Cisco ISE/ISE-PIC versión 3.4 con el parche 2 (ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz)
• CVE-2025-20282:
• Cisco ISE/ISE-PIC versión 3.4 con el parche 2 (mismo archivo que el anterior)

La empresa ha señalado que no existen soluciones alternativas que mitiguen estas fallas. Por tanto, la única medida efectiva es instalar los parches recomendados lo antes posible.

Investigadores responsables

Cisco ha reconocido la labor de los investigadores que reportaron estas vulnerabilidades a través de canales responsables:

• Bobby Gould de Trend Micro Zero Day Initiative, responsable del hallazgo de CVE-2025-20281.
• Kentaro Kawane de GMO Cybersecurity, quien reportó tanto CVE-2025-20281 como CVE-2025-20282, y anteriormente CVE-2025-20286 (CVSS 9,9).

El trabajo de estos investigadores ha sido fundamental para que Cisco pudiera actuar rápidamente y emitir parches preventivos antes de que las fallas fueran explotadas en la naturaleza.

Recomendaciones para administradores y equipos de seguridad

Los administradores de sistemas que utilicen Cisco ISE o ISE-PIC deben:

• Verificar la versión instalada actualmente en sus sistemas.
• Aplicar de inmediato los parches oficiales publicados por Cisco para mitigar el riesgo.
• Monitorear registros y tráfico de red en busca de signos de actividad inusual o posibles intentos de explotación.
• Actualizar las políticas de seguridad para reforzar controles de entrada y validación de archivos.

En fin, las vulnerabilidades CVE-2025-20281 y CVE-2025-20282 representan una amenaza crítica para la infraestructura de red que utiliza Cisco Identity Services Engine. Dado su potencial de ser explotadas remotamente y sin autenticación, es fundamental que las organizaciones actúen con rapidez para proteger sus entornos.

Aplicar los parches de seguridad y mantener una política de actualizaciones proactiva es clave para prevenir accesos no autorizados y mantener la integridad de los sistemas de autenticación y control de acceso.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En mayo de 2025, Cloudflare logró mitigar con éxito un ataque de denegación de servicio distribuido (DDoS) sin precedentes que alcanzó un pico de 7,3 terabits por segundo (Tbps). Este evento supera en un 12% al récord anterior y se ha convertido en el ataque DDoS más grande jamás registrado, dirigido a un proveedor global de alojamiento protegido por el servicio Magic Transit de Cloudflare.

¿Qué es un ataque DDoS y por qué este es tan significativo?

Un ataque DDoS tiene como objetivo colapsar la infraestructura de red de una víctima enviando volúmenes masivos de tráfico malicioso, generando interrupciones, caídas del servicio e impacto financiero. En este caso, el ataque entregó un volumen impresionante de 37,4 terabytes de datos en tan solo 45 segundos, equivalente a más de 7.500 horas de streaming en HD o más de 12 millones de imágenes JPEG transmitidas al mismo tiempo.

Cloudflare, una empresa líder en servicios de infraestructura web y ciberseguridad, logró detener el ataque sin intervención manual, demostrando la capacidad de su red global distribuida.

Origen y táctica del ataque DDoS masivo

El ataque se originó desde 122.145 direcciones IP distribuidas en 161 países, siendo los principales focos Brasil, Vietnam, Taiwán, China, Indonesia y Ucrania. Esta dispersión geográfica permitió que el tráfico malicioso burlara sistemas de defensa convencionales y saturara los recursos de red de la víctima.

Una de las tácticas clave fue el uso de múltiples puertos de destino, con un promedio de 21.925 puertos por segundo y un pico de 34.517 puertos por segundo, lo cual tiene como objetivo evadir firewalls e IDS (sistemas de detección de intrusos) mediante tráfico disperso y altamente fragmentado.

Mitigación automatizada con Magic Transit y red anycast global

La red anycast de Cloudflare dispersó el tráfico de ataque entre 477 centros de datos distribuidos en 293 ubicaciones globales, neutralizando la amenaza sin intervención humana. Esta capacidad se logró mediante tecnologías avanzadas como:

• Huella digital en tiempo real
• Compartición de inteligencia dentro del centro de datos
• Reglas de mitigación automatizadas
• Rutas dinámicas de red

Estas funciones permiten a Cloudflare responder de forma inmediata y eficaz a ataques masivos, reduciendo el impacto para sus clientes y la infraestructura afectada.

Principales vectores del ataque: UDP, amplificación y servicios mal configurados

Aunque el 99,996% del tráfico malicioso fue generado por inundaciones UDP, también se utilizaron múltiples vectores para aumentar la complejidad y efectividad del ataque. Entre ellos se encuentran:

Reflexión QOTD (Quote of the Day)

• Reflexión de eco (Echo Reflection)
• Amplificación NTP (Network Time Protocol)
• Inundación UDP con botnet Mirai
• Flooding por mapeo de puertos
• Amplificación mediante RIPv1

Estos vectores se aprovecharon de servicios heredados y mal configurados que aún están expuestos en muchas redes, lo cual refuerza la importancia de aplicar configuraciones seguras y cerrar servicios obsoletos.

Prevención y aprendizaje: Feed de amenazas de Cloudflare

Como parte de su compromiso con la comunidad, Cloudflare incluyó los indicadores de compromiso (IoC) de este ataque en su DDoS Botnet Threat Feed, un servicio gratuito que permite a las organizaciones:

• Bloquear IPs maliciosas antes de que alcancen sus sistemas
• Mejorar la inteligencia de amenazas
• Anticiparse a campañas DDoS similares

Actualmente, más de 600 organizaciones utilizan este feed, y Cloudflare alienta a empresas de todos los tamaños a suscribirse como medida proactiva de protección contra ataques DDoS a gran escala.

Un llamado urgente a la protección contra DDoS

El ataque de 7,3 Tbps representa una nueva era en la escala y sofisticación de los ataques DDoS. Con ciberdelincuentes aprovechando botnets masivas, servicios abiertos y configuraciones incorrectas, la mitigación automatizada, el monitoreo en tiempo real y el uso de redes distribuidas como la de Cloudflare se vuelven esenciales.

Para las organizaciones que dependen de su presencia digital, adoptar soluciones como Magic Transit, mantener configuraciones seguras y participar en programas de inteligencia de amenazas es fundamental para evitar interrupciones críticas en 2025.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad crítica de escalada de privilegios está siendo explotada activamente por ciberdelincuentes en el popular tema de WordPress Motors, desarrollado por StylemixThemes, permitiendo a los atacantes tomar el control total del sitio web al secuestrar cuentas de administrador.

¿Qué es CVE-2025-4322 y cómo afecta a los sitios con el tema Motors?
La falla, rastreada como CVE-2025-4322, fue detectada por el equipo de seguridad de Wordfence, que alertó sobre su gravedad a principios de mayo de 2025. La vulnerabilidad afecta a todas las versiones de Motors anteriores a la 5.6.67 e involucra una validación inadecuada de identidad del usuario durante el proceso de restablecimiento de contraseña.

Este error permite a actores no autenticados manipular el sistema de recuperación de contraseñas y cambiar la contraseña de cuentas de administrador, sin necesidad de credenciales previas. Wordfence recomendó aplicar de inmediato la versión corregida 5.6.68, lanzada por StylemixThemes el 14 de mayo de 2025, pero muchos usuarios no actualizaron sus sitios a tiempo.

Explotación activa y escala de los ataques

El 20 de mayo de 2025, un día después de que Wordfence hiciera pública la falla, se comenzaron a observar ataques en entornos reales. Para el 7 de junio, la actividad maliciosa había escalado drásticamente, con más de 23.100 intentos de explotación bloqueados por Wordfence en sitios protegidos.

El tema Motors es ampliamente utilizado por sitios relacionados con el sector automotriz y cuenta con más de 22,000 instalaciones activas adquiridas a través de EnvatoMarket. Su popularidad lo convierte en un objetivo especialmente atractivo para campañas de ataques automatizados y dirigidos.

Detalles técnicos del ataque y cómo se ejecuta

La vulnerabilidad reside en el widget "Registro de inicio de sesión" del tema, específicamente en su funcionalidad de recuperación de contraseña. El proceso de ataque incluye los siguientes pasos:

• Descubrimiento de URL: El atacante localiza rutas comunes donde se encuentra el widget, como /login-register, /account, /reset-password, y /signin.
• Envía una solicitud POST manipulada: Utiliza un valor hash_check con caracteres UTF-8 inválidos, lo que fuerza un error de comparación en la lógica de validación.
• Cambio de contraseña de administrador: Inserta un campo stm_new_password con una nueva contraseña para un ID de usuario que corresponde al rol de administrador.
• Acceso total y persistencia: Una vez dentro del panel de WordPress, el atacante crea nuevas cuentas de administrador y bloquea a los usuarios legítimos al cambiar sus credenciales.

Entre las contraseñas maliciosas utilizadas se han identificado ejemplos como:

• ¡Prueba123! No tienes permitido ver enlaces. Registrate o Entra a tu cuenta#
• rzkkd$SP3znjrn
• KurdNo tienes permitido ver enlaces. Registrate o Entra a tu cuentaKurd12123
• owm9cpXHAZTk
• db250WJUNEiG

Estos valores son indicativos de accesos no autorizados y pueden ayudar a identificar si un sitio ha sido comprometido.

Señales de que tu sitio puede estar comprometido

Si utilizas el tema Motors en una versión vulnerable, debes estar alerta ante los siguientes signos de explotación de CVE-2025-4322:

• Aparición de cuentas de administrador desconocidas.
• Imposibilidad de iniciar sesión con cuentas legítimas (contraseñas modificadas).
• Cambios no autorizados en la configuración del sitio.
• Creación de publicaciones o enlaces externos no solicitados.

Wordfence también ha publicado un listado de direcciones IP involucradas en los ataques, recomendando su inclusión inmediata en las listas de bloqueo de firewalls y sistemas de seguridad web.

Recomendaciones urgentes para administradores de WordPress

• Actualiza el tema Motors a la versión 5.6.68 o superior sin demora.
• Revisa todos los registros de acceso recientes y cuentas de usuario con privilegios elevados.
• Implementa un firewall de aplicaciones web (WAF) para bloquear ataques automatizados.
• Cambia las contraseñas de administrador y fuerza el restablecimiento para todos los usuarios críticos.
• Utiliza plugins de seguridad como Wordfence o iThemes Security para monitoreo continuo.

Una advertencia más sobre la importancia de las actualizaciones

El caso de CVE-2025-4322 demuestra una vez más la necesidad de aplicar actualizaciones de seguridad de forma inmediata, especialmente en temas y plugins populares de WordPress. Las fallas de escalada de privilegios pueden comprometer completamente la integridad del sitio y la seguridad de los datos de los usuarios.

Mantener una política de actualización proactiva, monitoreo constante y defensa en profundidad es esencial para proteger cualquier presencia digital en 2025 y más allá.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En abril de 2025, dos de los principales minoristas del Reino Unido, Marks & Spencer (M&S) y Co-op, fueron víctimas de un ataque cibernético coordinado clasificado oficialmente como un "evento cibernético combinado único". La evaluación fue realizada por el Centro de Monitoreo Cibernético (CMC), una organización independiente creada por la industria de seguros británica para analizar y categorizar grandes incidentes de seguridad digital.

La entidad confirmó que ambos ataques compartieron un mismo actor de amenazas, cronología cercana y tácticas, técnicas y procedimientos (TTPs) similares, lo que llevó a la conclusión de que se trató de una única campaña orquestada con un impacto sistémico de categoría 2.

Impacto financiero significativo en el sector minorista británico


El CMC estima que el ataque combinado contra Marks & Spencer y Co-op podría causar pérdidas financieras de entre 270 y 440 millones de libras esterlinas (equivalentes a 363 a 592 millones de dólares estadounidenses). Este tipo de incidentes cibernéticos no solo interrumpen las operaciones comerciales, sino que también provocan efectos dominó sobre proveedores, socios logísticos y servicios contratados por las cadenas de distribución.

Si bien un ataque similar ocurrió contra la cadena de lujo Harrods durante el mismo periodo, este no ha sido incluido en el evento combinado debido a la falta de evidencia suficiente sobre su origen y consecuencias.

Ingeniería social: la puerta de entrada del ataque

Los primeros indicios apuntan a que el vector de acceso inicial en ambos ataques fue el uso de técnicas avanzadas de ingeniería social, enfocadas principalmente en suplantar a personal de soporte técnico o departamentos de TI. Esta metodología, utilizada con éxito creciente en campañas de intrusión, permite a los atacantes obtener credenciales o accesos privilegiados engañando a empleados legítimos.

El grupo responsable, según fuentes preliminares del CMC, sería Scatter Spider (también identificado como UNC3944), una célula activa dentro del colectivo de ciberdelincuentes conocido como The Com. Este grupo ha sido relacionado con una serie de ataques altamente sofisticados dirigidos a empresas de sectores críticos.

Scatter Spider se especializa en infiltraciones mediante ataques de ingeniería social dirigidos, aprovechando la fluidez en inglés de sus miembros para simular comunicaciones legítimas del área de soporte técnico. Sus acciones pasadas han demostrado un patrón de enfoque sectorial, en el que apuntan a industrias específicas con campañas coordinadas.

Advertencia para otras industrias: el siguiente objetivo podría ser el sector seguros

El Google Threat Intelligence Group (GTIG) ha emitido una advertencia señalando que Scatter Spider ha comenzado a apuntar a compañías aseguradoras en Estados Unidos. Esta nueva campaña podría replicar el mismo modus operandi observado en el Reino Unido, con ataques dirigidos a mesas de ayuda, centros de llamadas y otros puntos de contacto con personal interno.

"El historial de este grupo sugiere que, una vez que identifican una industria como vulnerable, ejecutan múltiples ataques dentro de ese sector", declaró John Hultquist, analista principal del GTIG. "Esperamos una escalada de incidentes de alto perfil en los próximos meses, a medida que los atacantes avancen de un sector a otro".

Tata Consultancy Services niega implicación en el incidente

En medio de las investigaciones, el gigante tecnológico indio Tata Consultancy Services (TCS) —uno de los principales proveedores de servicios para Marks & Spencer— aclaró que sus sistemas y usuarios no fueron comprometidos como parte del ataque. Sin embargo, una investigación interna sigue en curso, luego de que el Financial Times informara que se estaba evaluando si los sistemas de TCS pudieron haber sido utilizados como punto de acceso para el ataque inicial.

Un entorno cada vez más hostil: conexiones con la operación Qilin

Este incidente se produce en un contexto de creciente sofisticación del ecosistema de ransomware. Recientemente, se ha revelado que el grupo Qilin RaaS (ransomware como servicio) ha implementado una nueva estrategia de presión sobre las víctimas: asistencia legal personalizada y presión mediática.

Además de proporcionar herramientas automatizadas de cifrado, Qilin ahora ofrece asesoría legal a sus afiliados y afirma tener un equipo de periodistas internos para redactar publicaciones en blogs, diseñadas para intimidar públicamente a las víctimas durante las negociaciones de rescate. Este enfoque apunta a intensificar el impacto psicológico de los ataques y forzar el pago de los rescates más rápidamente.

El auge de los eventos cibernéticos combinados y su amenaza sistémica

Los ataques combinados contra Marks & Spencer y Co-op representan una nueva forma de amenaza cibernética a gran escala, que apunta a sectores enteros y aprovecha vectores de acceso como la ingeniería social sofisticada. La aparición de grupos como Scatter Spider y el crecimiento de modelos como Qilin RaaS demuestran que los actores de amenazas están operando con estrategias más integrales, coordinadas y agresivas.

Este tipo de incidentes subraya la necesidad urgente de que las organizaciones refuercen sus estrategias de ciberseguridad, especialmente en lo que respecta a la formación del personal, la protección de servicios de soporte y la detección de anomalías en accesos internos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El ecosistema del ransomware continúa evolucionando, y el grupo cibercriminal detrás del esquema ransomware como servicio (RaaS) conocido como Qilin ha dado un paso más allá en la sofisticación de sus operaciones. Ahora, este grupo está proporcionando asesoría legal a sus afiliados, con el objetivo de incrementar la presión sobre las víctimas y maximizar los pagos por rescate. Esta funcionalidad se encuentra integrada en el panel de control de afiliados bajo el nombre "Llamar a un abogado".

Qilin: líder en ataques de ransomware en 2025

Según la firma de ciberseguridad Cybereason, esta nueva estrategia legal forma parte de un proceso de expansión del grupo Qilin, también identificado como Gold Feather y Water Galura, activo desde octubre de 2022. Con la caída de grupos como LockBit, BlackCat, Everest, RansomHub y BlackLock, Qilin ha logrado posicionarse como uno de los principales actores en el mercado del ransomware.

En abril de 2025, Qilin encabezó la lista de grupos con más ataques, registrando 72 víctimas. En mayo, se le atribuyeron al menos 55 ataques, superado solo por Safepay (72) y Luna Moth (67). Desde inicios del año, Qilin se mantiene como el tercer grupo de ransomware más activo, solo detrás de Cl0p y Akira, con un total de 304 víctimas documentadas.

Una plataforma de ciberdelincuencia "todo en uno"

De acuerdo con un análisis reciente de Qualys, Qilin ha construido un ecosistema criminal maduro que ofrece desde cargas útiles en Rust y C, hasta herramientas avanzadas para evadir detección, propagarse en redes, borrar rastros y automatizar negociaciones. Además, el grupo ofrece servicios complementarios como spam, almacenamiento de datos a gran escala y orientación legal, lo que lo convierte en mucho más que un proveedor de ransomware.

Una de las adiciones más polémicas es su función de asistencia legal, que permite a los afiliados contactar con un supuesto equipo jurídico del grupo para obtener apoyo estratégico en los procesos de extorsión. Según capturas de foros de la dark web, incluso se destaca que la "mera presencia de un abogado en el chat puede presionar a las empresas víctimas a pagar, por temor a consecuencias legales".

Asimismo, el panel de afiliados ahora permite realizar ataques DDoS, enviar spam automatizado a correos y teléfonos corporativos, e incluso acceder a un equipo de "periodistas internos" que ayudan a crear presión mediática sobre las víctimas.

Migración de afiliados y crecimiento tras la caída de RansomHub

Las recientes disoluciones y fracturas en grupos como RansomHub han provocado que varios de sus afiliados migren a Qilin, impulsando aún más su crecimiento. Esta transferencia de talento delictivo ha convertido a Qilin en una plataforma de ciberdelincuencia como servicio (CaaS) altamente profesionalizada.

Los investigadores Mark Tsipershtein y Evgeny Ananin destacan que la infraestructura de Qilin es una de las más avanzadas técnicamente, con mecanismos de ejecución en modo seguro, limpieza de logs y sofisticadas herramientas de acceso remoto.

Nuevas tácticas y amenazas paralelas en el entorno ransomware

En paralelo, la firma Intrinsec ha detectado que un afiliado del grupo Rhysida comenzó a utilizar la herramienta de código abierto Eye Pyramid C2, una backdoor basada en Python usada previamente por operadores de RansomHub. Esta utilidad permite mantener el acceso a endpoints comprometidos y lanzar nuevas cargas maliciosas.

Además, una filtración de registros de chat del grupo Black Basta ha revelado la identidad de un actor conocido como Tinker, considerado uno de los colaboradores más cercanos al líder del grupo, Tramp. Tinker se encargaba de analizar datos financieros de las víctimas, realizar ingeniería social y dirigir campañas de phishing sofisticadas, como ataques a través de Microsoft Teams que llevaban a los usuarios a instalar herramientas como AnyDesk para facilitar el acceso de los atacantes.

Entre diciembre de 2023 y junio de 2024, Tinker habría recibido al menos 105,000 dólares en criptomonedas, aunque su afiliación actual a un grupo específico no ha sido confirmada.

Acciones legales contra cibercriminales: arrestos en Ucrania y Tailandia

En una operación internacional, un miembro del grupo Ryuk, de 33 años, fue extraditado a Estados Unidos desde Kiev tras ser arrestado por su participación como agente de acceso inicial (IAB). El sospechoso escaneaba redes corporativas en busca de vulnerabilidades, cuyos accesos eran luego vendidos a otros actores para lanzar ataques coordinados.

Simultáneamente, las autoridades de Tailandia desmantelaron una célula criminal compuesta por ciudadanos chinos y del sudeste asiático que operaba desde un hotel en Pattaya. Se trataba de un centro desde el cual se gestionaban campañas de ransomware y estafas de inversión que afectaron a múltiples víctimas, especialmente en Australia.

Qilin redefine el modelo de ransomware como servicio

El caso de Qilin evidencia una evolución significativa en el panorama del ransomware como servicio. El grupo no solo lidera en número de ataques, sino que se consolida como una plataforma de ciberdelincuencia integral, con funcionalidades que incluyen asesoría legal, campañas mediáticas, y herramientas automatizadas de ataque.

Este modelo híbrido entre software malicioso, servicios legales y presión psicológica marca una nueva etapa en la profesionalización del ransomware, obligando a las organizaciones a redoblar sus esfuerzos en detección proactiva, gestión de vulnerabilidades y educación en ciberseguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La seguridad al navegar por Internet es una preocupación creciente para millones de usuarios en todo el mundo, especialmente ante el aumento de nuevas formas de fraude digital y campañas de scareware. En respuesta a esta evolución constante del cibercrimen, DuckDuckGo, el navegador centrado en la privacidad, ha reforzado su herramienta de protección automática: Scam Blocker, diseñada para bloquear estafas y amenazas online en tiempo real, sin comprometer los datos del usuario.

Frente al auge de sitios maliciosos, tiendas falsas, páginas de criptomonedas fraudulentas y campañas de phishing sofisticado, la empresa ha ampliado el alcance de su solución de seguridad integrada, haciéndola aún más efectiva para combatir estafas emergentes sin necesidad de configuración adicional.

¿Qué es Scam Blocker y cómo protege a los usuarios?

Scam Blocker es una función de seguridad integrada en el navegador de DuckDuckGo, disponible de forma gratuita para todos los usuarios. A diferencia de soluciones similares que dependen de servicios como Google Safe Browsing, esta herramienta se basa en una lista local de amenazas actualizada que protege al usuario sin enviar información de navegación a terceros.

La protección que ofrece va mucho más allá del phishing y malware tradicional. Ahora también identifica y bloquea automáticamente:

• Tiendas online falsas que simulan promociones irresistibles para robar dinero o datos personales.
• Plataformas fraudulentas de criptomonedas que imitan exchanges legítimos para captar fondos de inversores.
• Páginas scareware que muestran mensajes falsos de infección para inducir la compra de software falso o robar credenciales.
• Encuestas engañosas que prometen premios a cambio de datos personales.
• Campañas de malvertising, donde anuncios legítimos son manipulados para distribuir malware desde sitios web confiables.

Este enfoque proactivo convierte a DuckDuckGo en una alternativa sólida para quienes desean protegerse de estafas al navegar por Internet sin renunciar a la privacidad.

Privacidad primero: seguridad sin rastreo

Una de las grandes fortalezas de DuckDuckGo frente a otros navegadores es su compromiso con la privacidad. El bloqueador de estafas Scam Blocker no necesita recopilar información personal ni acceder al historial de navegación del usuario para funcionar. Toda la verificación de sitios web se realiza localmente en el dispositivo, lo que garantiza una protección sin comprometer la identidad digital.

Además, las URLs sospechosas se cotejan de forma anónima usando un sistema criptográfico, evitando así cualquier filtración de datos sensibles. Esto marca una diferencia importante con respecto a soluciones tradicionales que dependen del envío de información a servidores externos.

Actualizaciones en tiempo real y colaboración con expertos

La eficacia de Scam Blocker se basa en su capacidad de respuesta frente a nuevas amenazas. Para ello, DuckDuckGo colabora con la firma de ciberseguridad Netcraft, que proporciona una base de datos actualizada de sitios web peligrosos. Esta base se renueva cada 20 minutos, lo que permite bloquear amenazas emergentes prácticamente en tiempo real.

Las amenazas más comunes se filtran directamente desde el dispositivo, mientras que los sitios menos frecuentes —como enlaces maliciosos alojados en Google Drive o GitHub— se validan mediante una base de datos ampliada, sin perder la capa de anonimato.

En caso de que el usuario intente ingresar a un sitio peligroso, el navegador muestra una advertencia clara, explicando la amenaza detectada y ofreciendo la opción de abandonar la página antes de que ocurra un posible daño.

Protección extendida con Privacy Pro

Además de estar activado por defecto en la versión estándar del navegador, Scam Blocker puede ser potenciado mediante Privacy Pro, el servicio de suscripción premium de DuckDuckGo. Esta opción incluye una VPN integrada y extiende la protección del bloqueador de estafas a todas las aplicaciones y navegadores del dispositivo, no solo al navegador DuckDuckGo.

Esta funcionalidad es especialmente útil para usuarios que usan otras plataformas de navegación o aplicaciones que podrían estar expuestas a enlaces maliciosos fuera del navegador.

Estafas en aumento: cifras alarmantes

La relevancia de estas medidas de seguridad queda evidenciada por las últimas cifras de la Comisión Federal de Comercio (FTC) de Estados Unidos, que indican que las estafas en línea generaron más de 12.500 millones de dólares en pérdidas en 2024. Entre las más comunes figuran los fraudes vinculados a inversiones falsas, compras online y servicios digitales engañosos.

DuckDuckGo, consciente de este panorama, ha hecho de la seguridad un pilar central de su experiencia de navegación, demostrando que es posible mantenerse protegido sin sacrificar la privacidad.

Navegar de forma segura y privada es posible con DuckDuckGo

En un entorno digital plagado de amenazas en evolución constante, Scam Blocker de DuckDuckGo representa una solución eficaz, transparente y gratuita para combatir estafas en línea. Desde fraudes en criptomonedas y scareware hasta sitios falsos de comercio electrónico, el navegador ofrece una capa de protección sólida y sin rastreo.

Para los usuarios preocupados por su seguridad al navegar y su privacidad online, DuckDuckGo se posiciona como una opción confiable, accesible y comprometida con ofrecer una experiencia digital segura. Con actualizaciones constantes, una red de colaboración con expertos en ciberseguridad y un enfoque centrado en el usuario, navegar con tranquilidad es hoy más posible que nunca.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han identificado una nueva y alarmante campaña maliciosa que aprovecha GitHub, una de las plataformas de desarrollo más populares del mundo, como vehículo de distribución de malware troyanizado. El grupo responsable, denominado Banana Squad por ReversingLabs, ha publicado al menos 67 repositorios maliciosos que se hacen pasar por herramientas legítimas de hacking en Python, pero que en realidad descargan y ejecutan cargas útiles peligrosas en los sistemas comprometidos.

Esta actividad representa una continuación de una ofensiva detectada en 2023, donde actores de amenazas abusaron del repositorio Python Package Index (PyPI) para distribuir paquetes maliciosos con funciones de robo de información. Aquella campaña logró más de 75,000 descargas antes de ser detectada, y tenía como blanco principal a usuarios de sistemas operativos Windows.

Repositorios falsos que infectan billeteras de criptomonedas y sistemas de desarrollo

Un informe del Centro de Tormentas de Internet de SANS publicado en noviembre de 2024 ya advertía sobre una supuesta herramienta de "verificación de cuentas de Steam" alojada en GitHub, que contenía funciones encubiertas para descargar malware adicional en segundo plano. Este código malicioso fue diseñado para atacar específicamente a la billetera de criptomonedas Exodus, permitiendo el robo de datos confidenciales y su exfiltración a servidores controlados por los atacantes, como dieserbenni[.]ru.

El análisis posterior reveló que los ciberdelincuentes estaban utilizando nombres idénticos a proyectos legítimos, engañando así a desarrolladores y usuarios novatos. El objetivo: comprometer a quienes buscan herramientas como verificadores de cuentas de TikTok, limpiadores de Discord, trucos para Fortnite o comprobadores masivos de cuentas de PayPal. Todos los repositorios identificados ya han sido eliminados por GitHub.

GitHub: un vector creciente para la distribución de malware

La plataforma de código abierto GitHub se ha convertido en un canal cada vez más explotado por actores maliciosos. A comienzos de esta semana, Trend Micro reportó 76 repositorios maliciosos adicionales, operados por el grupo denominado Water Curse, cuya finalidad es distribuir malware de múltiples etapas, incluyendo herramientas para el robo de credenciales, cookies de navegador y tokens de sesión, así como mantener acceso remoto persistente a los dispositivos afectados.

En paralelo, Check Point Research descubrió una red llamada Stargazers Ghost Network, un servicio criminal que emplea cuentas automatizadas de GitHub para propagar malware relacionado con juegos como Minecraft. Estas cuentas falsifican legitimidad al destacar, bifurcar y suscribirse entre sí, creando una falsa percepción de popularidad.

Citar"La red consta de múltiples cuentas que distribuyen enlaces maliciosos y realizan otras acciones para que los repositorios parezcan legítimos", señaló Check Point.

Además, se ha determinado que estas cuentas "Ghost" también operan en otras plataformas, como parte de una infraestructura más amplia basada en distribución como servicio (DaaS), lo que refuerza la sofisticación de esta campaña.

Repositorios de malware disfrazados: de trampas de juegos a criptomonedas

Los repositorios troyanizados detectados están diseñados con precisión para parecer herramientas atractivas: desde generadores de claves, rastreadores de precios de criptomonedas, predictores de multiplicadores para juegos de apuestas, hasta herramientas de hacking amateur. El objetivo es atraer a usuarios inexpertos que, sin saberlo, descargan software comprometido con puertas traseras y malware sigiloso.

Un caso particularmente preocupante fue revelado por Sophos, que documentó un repositorio llamado Sakura-RAT, el cual infectaba a quienes compilaban su código, insertando ladrones de información y troyanos de acceso remoto como AsyncRAT, Remcos RAT y Lumma Stealer.

En total, Sophos detectó 133 repositorios troyanizados, de los cuales:

• 111 utilizaban puertas traseras incrustadas en eventos PreBuild de Visual Studio.
• El resto incorporaba código malicioso a través de scripts de Python, archivos .scr (protector de pantalla) y JavaScript.

Estas técnicas permiten capturar capturas de pantalla, exfiltrar datos a través de Telegram, y descargar nuevas cargas útiles sin que el usuario lo advierta.

Operación DaaS activa desde 2022

Sophos también vinculó estas campañas con una operación activa desde agosto de 2022, especializada en distribución de malware como servicio (DaaS). Miles de cuentas de GitHub han sido utilizadas para crear una red descentralizada de entrega de código malicioso que apunta no solo a usuarios de juegos y entusiastas de la piratería informática, sino también a desarrolladores legítimos.

Aunque los métodos exactos de distribución aún están siendo investigados, se sospecha que Discord y YouTube también se están utilizando como canales de promoción de estos repositorios maliciosos, ampliando el alcance de la campaña.

"No está claro si esta campaña está directamente relacionada con las anteriores, pero su efectividad la hace probable de continuar bajo nuevas formas", advirtió Sophos. "En el futuro, podría expandirse a nuevos perfiles de víctimas más allá de ciberdelincuentes inexpertos y jugadores que usan trampas".

GitHub bajo amenaza como canal de distribución de malware

La creciente explotación de GitHub como plataforma para distribuir malware subraya la importancia de aplicar rigurosas prácticas de seguridad en entornos de desarrollo. Esta campaña maliciosa pone en evidencia el potencial de daño que puede derivarse del uso imprudente de código fuente de fuentes no verificadas.

Para los desarrolladores, investigadores y usuarios interesados en herramientas de código abierto, es esencial verificar la legitimidad de cada repositorio, evaluar la reputación del autor y utilizar análisis automatizados de seguridad antes de ejecutar cualquier script o binario descargado.

La amenaza de los repositorios troyanizados y campañas DaaS no solo continúa, sino que se diversifica y refuerza con nuevas tácticas. Estar alerta es clave para protegerse en un panorama digital cada vez más complejo y hostil.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha anunciado una nueva iniciativa estratégica que transformará la forma en que gestiona los controladores de hardware dentro del ecosistema Windows. A partir de este año, la compañía comenzará a eliminar de forma periódica los controladores heredados del catálogo de Windows Update, con el objetivo de reducir riesgos de seguridad, mejorar la compatibilidad y optimizar la experiencia de los usuarios.

Esta decisión responde a la necesidad de mantener una plataforma segura y eficiente frente al crecimiento continuo del ecosistema de dispositivos compatibles con Windows. Según explicó Microsoft, esta iniciativa tiene como fin garantizar que Windows Update ofrezca solo los controladores más seguros, actualizados y relevantes para el hardware moderno.

Citar"La razón detrás de esta iniciativa es garantizar que tengamos el conjunto óptimo de controladores en Windows Update que se adapten a una variedad de dispositivos de hardware en todo el ecosistema de Windows, al tiempo que nos aseguramos de que la postura de seguridad de Microsoft Windows no se vea comprometida", indicó la empresa.

¿Qué implica la eliminación de controladores heredados?

En este contexto, la "limpieza" de controladores heredados consiste en revocar la asociación de estos controladores con audiencias específicas dentro de Windows Update. Esto significa que, una vez marcados como obsoletos, los drivers dejarán de estar disponibles para descarga o instalación automática en sistemas Windows.

La primera fase del proceso comenzará con aquellos controladores que ya cuentan con versiones más recientes disponibles en el catálogo. Estos serán eliminados del sistema mediante la anulación de sus asignaciones de audiencia desde el Centro de desarrollo de hardware (Hardware Dev Center). Este mecanismo asegura que los sistemas Windows no accedan más a versiones anticuadas que podrían generar conflictos de compatibilidad o representar vulnerabilidades de seguridad.

Microsoft ha sido enfática en que esta limpieza no afectará el funcionamiento actual de los sistemas operativos, pero sí promoverá una transición más rápida hacia controladores modernos y seguros.

Beneficios para la seguridad y compatibilidad de Windows

El catálogo de controladores de Windows Update ha sido durante mucho tiempo una herramienta esencial para mantener la estabilidad del sistema operativo y el buen funcionamiento de dispositivos periféricos. Sin embargo, con el paso del tiempo, algunos controladores han quedado obsoletos o sin mantenimiento por parte de sus fabricantes originales, lo que incrementa el riesgo de vulnerabilidades explotables.

La eliminación de controladores heredados busca reforzar la postura de seguridad de Windows, reducir la superficie de ataque y minimizar errores derivados de software desactualizado. Esta medida también facilitará una mejor compatibilidad con hardware moderno y permitirá una experiencia más coherente para los usuarios de Windows 10, Windows 11 y futuras versiones del sistema operativo.

Citar"La eliminación de los controladores heredados de Windows Update por parte de Microsoft es una medida proactiva para salvaguardar la seguridad y mejorar la calidad de los controladores para los usuarios de Windows", añadió la compañía.

¿Qué pueden hacer los fabricantes de hardware?

Los partners y fabricantes de hardware (OEM y ODM) afectados por la eliminación de drivers heredados podrán volver a publicar los controladores eliminados si justifican una razón comercial válida. Esta medida otorga cierta flexibilidad para escenarios donde el hardware aún se encuentra en uso activo o cuando se necesita mantener compatibilidad específica.

Sin embargo, Microsoft advierte que esta "recuperación" deberá cumplir con las nuevas políticas y directrices que se establecerán próximamente, como parte de una estrategia de largo plazo que busca normalizar la limpieza de drivers como una práctica rutinaria en Windows Update.

Cambios complementarios en la política de controladores

Esta iniciativa no es aislada. En mayo, Microsoft anunció cambios adicionales en el proceso de validación de drivers, incluyendo la expiración de la firma de controladores de preproducción emitida por autoridades de certificación (CA), la cual dejará de tener validez en julio. Esta modificación busca evitar el uso prolongado de drivers de prueba en entornos de producción.

Asimismo, Microsoft confirmó el retiro de los metadatos de Windows y los servicios de Internet (WMIS), junto con los metadatos de dispositivos, acciones que refuerzan su compromiso con la simplificación del ecosistema y la mejora de la seguridad de los datos en el proceso de instalación de hardware.

Nuevas políticas de seguridad para Windows 365 y Microsoft 365

En paralelo, Microsoft ha comenzado a implementar nuevos valores predeterminados de seguridad para sus servicios en la nube. Esta semana, se anunciaron configuraciones reforzadas para las PC en la nube con Windows 365, así como nuevas reglas de seguridad para todos los inquilinos de Microsoft 365, que bloquearán el acceso a SharePoint, OneDrive y archivos de Office a través de protocolos de autenticación heredados. Esta medida se aplicará a partir de julio de este año.

Estas acciones refuerzan el compromiso de Microsoft por mantener un ecosistema empresarial resiliente frente a las amenazas modernas, incluyendo ataques basados en identidades comprometidas y accesos no autorizados mediante tecnologías obsoletas.

Una evolución necesaria en el manejo de drivers

La limpieza periódica de controladores heredados en Windows Update representa una evolución necesaria en la estrategia de seguridad de Microsoft. Esta medida busca no solo mitigar riesgos derivados de software obsoleto, sino también optimizar la compatibilidad, estabilidad y rendimiento del sistema operativo en dispositivos modernos.

Para usuarios, administradores de TI y fabricantes de hardware, es clave estar atentos a los cambios en las políticas de publicación de controladores y prepararse para adoptar las nuevas directrices que Microsoft implementará de forma continua.

La transición hacia un ecosistema Windows más seguro y moderno ya está en marcha.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En un nuevo episodio de la creciente guerra cibernética entre potencias regionales, la emisora estatal de televisión de Irán fue víctima de un ciberataque masivo el miércoles por la noche. El ataque interrumpió la programación habitual para transmitir mensajes que instaban a la población iraní a salir a protestar contra el gobierno. Este hecho se suma a una serie de incidentes cibernéticos dirigidos a infraestructuras críticas en el país.

Aunque las autoridades iraníes aún no han identificado oficialmente a los responsables del ataque, varios reportes apuntan a que el régimen ha culpado a Israel. Según el medio Iran International, la televisión estatal declaró:

Citar"Si experimenta interrupciones o mensajes irrelevantes mientras ve varios canales de televisión, se debe a la interferencia del enemigo con las señales satelitales."

Este incidente representa una nueva escalada en el enfrentamiento digital entre Irán e Israel, que lleva más de una década. La misma semana, dos objetivos altamente sensibles también fueron comprometidos: Bank Sepah, una de las principales entidades bancarias del país, y Nobitex, el mayor exchange de criptomonedas iraní.

Roban más de 90 millones de dólares en criptomonedas

El ciberataque contra Nobitex resultó en el robo de más de 90 millones de dólares en activos digitales, lo que ha generado alarma en los círculos financieros y de ciberseguridad. Según TRM Labs, firma especializada en inteligencia blockchain:

Citar"Las entidades iraníes han experimentado con activos virtuales como solución financiera y como herramienta estratégica para avanzar sus ambiciones geopolíticas, incluida la proliferación de tecnología de armas avanzadas. Este último incidente pone en evidencia cómo los exchanges de criptomonedas, antes periféricos al conflicto, ahora son objetivos estratégicos clave."

La explotación de plataformas de criptomonedas por parte de actores estatales o respaldados por gobiernos no es nueva. Sin embargo, el volumen de activos robados y el momento del ataque sugieren una acción altamente coordinada y con fines políticos y militares.

Irán habría secuestrado cámaras de vigilancia en Israel

En paralelo, funcionarios de seguridad israelíes han denunciado que Irán está intentando hackear cámaras de seguridad privadas instaladas en su territorio para recopilar inteligencia en tiempo real. Esta táctica recuerda las estrategias empleadas por Rusia durante la invasión a Ucrania en 2022, donde el acceso a redes de vigilancia privadas permitió mejorar la precisión de los ataques militares.

Refael Franco, ex subdirector de la Dirección Nacional de Cibernética de Israel, afirmó:

Citar"En los últimos dos o tres días, los iraníes han tratado de conectarse a cámaras para analizar qué sucedió y dónde impactaron sus misiles, buscando mejorar su precisión."

Auge del hacktivismo y amenazas de escalamiento

La empresa de ciberseguridad Radware ha reportado que casi el 40% de toda la actividad de DDoS hacktivista en el mundo se ha dirigido contra Israel desde el inicio del conflicto. El grupo DieNet incluso ha amenazado con lanzar ataques contra Estados Unidos si interviene en el conflicto entre Irán e Israel. Estos mensajes han sido amplificados por otros colectivos como Arabian Ghosts, Sylhet Gang y Team Fearless, lo que sugiere una potencial colaboración entre actores hacktivistas pro-Irán en el ciberespacio.

Según Pascal Geenens, director de inteligencia de amenazas de Radware:

Citar"Las señales de advertencia son claras. La infraestructura crítica, las cadenas de suministro y las empresas globales podrían convertirse en víctimas colaterales si el fuego cruzado digital se intensifica."

Este contexto refuerza la creciente preocupación sobre la posibilidad de un conflicto regional que combine ataques convencionales con operaciones cibernéticas avanzadas. El conflicto entre Israel e Irán ya no se libra solo en los campos de batalla tradicionales, sino también en servidores, redes y sistemas digitales.

Análisis de CloudSEK: ventaja ofensiva pro-Irán

En un reciente informe de la firma CloudSEK, se identificaron más de 35 grupos hacktivistas pro-Irán que han lanzado ataques coordinados contra la infraestructura israelí. En contraste, se documentaron menos de seis grupos pro-Israel que han llevado a cabo actividades similares. Las ofensivas han incluido ataques DDoS, desfiguraciones de sitios web y presuntas filtraciones de datos de sitios gubernamentales, militares e infraestructuras críticas.

El investigador Pagilla Manohar Reddy señaló que muchos de estos ataques presentan un patrón de exageración mediática y desinformación, lo que forma parte de una estrategia para manipular la percepción pública más que causar un impacto técnico profundo.

Citar"Los grupos suelen atribuirse interrupciones no relacionadas, reciclan filtraciones antiguas y exageran daños para obtener cobertura mediática."

Una guerra híbrida que redefine los conflictos modernos

La combinación de hackeos a medios de comunicación estatales, plataformas financieras y dispositivos de vigilancia refleja un nuevo modelo de guerra híbrida, donde los actores estatales y no estatales libran sus batallas tanto en el ciberespacio como en el terreno.

A medida que el conflicto entre Irán e Israel escala, las empresas, gobiernos y ciudadanos deben reforzar sus defensas digitales. La ciberseguridad ya no es solo un asunto técnico, sino una cuestión de geopolítica global.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Veeam, proveedor líder de soluciones de respaldo y recuperación, ha lanzado actualizaciones de seguridad para abordar una grave vulnerabilidad de ejecución remota de código (RCE) en su software de Backup & Replication. El fallo de seguridad, identificado como CVE-2025-23121, ha sido calificado con una puntuación CVSS de 9.9, lo que lo convierte en una amenaza crítica para entornos empresariales.

Esta vulnerabilidad permite que un usuario de dominio autenticado ejecute código arbitrario de forma remota en el servidor de respaldo, lo que puede comprometer completamente la integridad del entorno afectado.

Detalles de la vulnerabilidad CVE-2025-23121 en Veeam Backup & Replication

El fallo de seguridad afecta a todas las versiones anteriores a Veeam Backup & Replication 12.3.2 (compilación 12.3.2.3617), incluida la versión 12.3.1.1139. El problema fue descubierto por investigadores de seguridad de CODE WHITE GmbH y watchTowr, quienes notificaron a la empresa para facilitar la corrección.

El aviso oficial de Veeam describe la vulnerabilidad como una RCE que puede ser explotada por un atacante con credenciales válidas en el dominio, lo cual pone en riesgo la confidencialidad, disponibilidad e integridad de los datos respaldados.

Actualización clave: parche y versiones afectadas

Veeam recomienda a todos sus usuarios empresariales actualizar de inmediato a la versión 12.3.2 (compilación 12.3.2.3617) para mitigar el riesgo asociado a CVE-2025-23121. Esta actualización no solo soluciona esta vulnerabilidad crítica, sino que también refuerza otras áreas del producto afectadas por fallos adicionales:

• CVE-2025-23120: Otra RCE con CVSS 9.9, que podría eludirse incluso después del parche inicial, según advertencias previas de CODE WHITE.
• CVE-2025-24286: Vulnerabilidad con una puntuación CVSS de 7.2 que permite a un usuario con rol de operador de backup modificar tareas de respaldo y ejecutar código arbitrario.
• CVE-2025-24287: Fallo en Veeam Agent para Microsoft Windows (CVSS 6.1) que permite a usuarios locales modificar contenido en el sistema y escalar privilegios.

Este último problema ha sido resuelto en Veeam Agent versión 6.3.2 (compilación 6.3.2.1205).

Seguridad en Veeam: una prioridad creciente ante ataques dirigidos

La empresa de ciberseguridad Rapid7 ha indicado que más del 20% de sus incidentes de respuesta durante 2024 involucraron la explotación de vulnerabilidades en Veeam, una vez que los atacantes habían comprometido el perímetro inicial. Esto evidencia que los productos de respaldo como Veeam se han convertido en objetivos prioritarios dentro de las campañas de ataque de ransomware, exfiltración de datos y movimientos laterales dentro de redes empresariales.

Recomendaciones para usuarios de Veeam

Debido a la severidad de las vulnerabilidades descubiertas, se recomienda a los usuarios de Veeam tomar las siguientes acciones inmediatas:

• Actualizar a la versión 12.3.2 de Veeam Backup & Replication.
• Aplicar los parches correspondientes para Veeam Agent para Microsoft Windows.
• Restringir el acceso al servidor de respaldo a usuarios estrictamente necesarios.
• Monitorear los logs del sistema en busca de actividades sospechosas.
• Implementar políticas de segmentación de red y autenticación multifactor.

La explotación de fallos en software de respaldo como Veeam no solo pone en riesgo los datos, sino también la capacidad de recuperación ante ataques de ransomware, haciendo que una falla de este tipo tenga implicaciones devastadoras para la continuidad del negocio.

Veeam y el reto de la ciberseguridad en infraestructuras de respaldo

La aparición de vulnerabilidades críticas como CVE-2025-23121 subraya la importancia de mantener actualizados los sistemas de respaldo y adoptar un enfoque de seguridad proactivo. Veeam ha respondido con rapidez mediante el lanzamiento de parches, pero la responsabilidad de proteger el entorno recae también en los administradores de sistemas y equipos de TI.

En un contexto donde los atacantes priorizan la infiltración en herramientas de backup para inhibir la recuperación ante incidentes, ignorar estas actualizaciones puede tener consecuencias irreparables.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La comunidad de ciberseguridad ha identificado a un nuevo y sofisticado actor de amenazas conocido como Water Curse, que emplea repositorios maliciosos de GitHub como plataforma de distribución de malware de múltiples etapas. Este grupo se destaca por su capacidad técnica, su enfoque en el robo de credenciales y su capacidad para mantener la persistencia en los sistemas comprometidos.

Según un informe publicado por Trend Micro, Water Curse ha montado una campaña activa y sostenida, en la que cargas útiles maliciosas están ocultas en herramientas de pruebas de penetración aparentemente legítimas. Estas cargas se camuflan en archivos de configuración de proyectos de Visual Studio, y entregan malware como SMTP Email Bomber y Sakura-RAT.

GitHub como vector para ataques a la cadena de suministro

Uno de los aspectos más preocupantes de esta campaña es el abuso de repositorios públicos de GitHub para alojar código malicioso, disfrazado como herramientas para desarrolladores. Este enfoque representa una amenaza directa para la cadena de suministro de software, ya que las víctimas potenciales tienden a confiar en plataformas reconocidas como GitHub para descargar utilidades.

Los investigadores han detectado hasta 76 cuentas de GitHub vinculadas directamente con esta operación, lo que sugiere una estrategia bien organizada y de gran escala. Además, se ha determinado que la campaña podría haber estado activa desde marzo de 2023, utilizando múltiples lenguajes de programación y una amplia gama de herramientas ofensivas.

Técnicas avanzadas: ofuscación, persistencia y evasión

Scripts ofuscados y reconocimiento del sistema

Water Curse emplea complejas cadenas de infección por etapas, iniciadas por scripts altamente ofuscados en Visual Basic Script (VBS) y PowerShell. Estos scripts descargan archivos cifrados, extraen aplicaciones desarrolladas en Electron, y realizan un minucioso reconocimiento del sistema para maximizar el impacto del ataque.

Persistencia y debilitamiento de defensas

Además, los atacantes utilizan técnicas de evasión como:

• Antidepuración
• Escalada de privilegios
• Modificación de configuraciones del sistema
• Desactivación de herramientas de defensa mediante PowerShell

Estas técnicas permiten a Water Curse mantener la persistencia a largo plazo y dificultar significativamente la remediación por parte de los equipos de seguridad.

Motivación financiera y segmentación multivertical

Water Curse no es un actor motivado políticamente; su objetivo principal es la monetización del acceso ilícito. Esto incluye:

• Robo de credenciales
• Secuestro de sesiones
• Reventa de accesos comprometidos

Los repositorios vinculados a esta operación también incluyen trucos para videojuegos, bots de spam, herramientas OSINT, ladrones de wallets de criptomonedas y otros recursos con alto valor en el mercado negro, lo que refuerza su enfoque multivertical.

La infraestructura del grupo muestra un alto grado de automatización y escalabilidad, con exfiltración activa de datos a través de plataformas como Telegram y servicios públicos de intercambio de archivos.

ClickFix y la expansión del malware basado en infraestructura legítima

En paralelo a la operación de Water Curse, se han observado campañas que utilizan la táctica de ClickFix, desplegando familias de malware como AsyncRAT, DeerStealer, SectopRAT y LightPerlGirl mediante el cargador Hijack Loader.

Estos ataques aprovechan túneles temporales proporcionados por Cloudflare para entregar las cargas útiles desde dominios efímeros y no registrados. Esta técnica permite a los atacantes eludir defensas perimetrales al parecer tráfico legítimo dentro de flujos de trabajo de DevOps o mantenimiento de TI.

Sorillus RAT: ataques recientes contra Europa

En Europa, una campaña maliciosa ha tenido como objetivo a organizaciones en países como España, Portugal, Italia, Francia, Bélgica y los Países Bajos, utilizando correos electrónicos de phishing con señuelos de facturación que conducen a la instalación de Sorillus RAT, también conocido como Ratty RAT.

Este troyano de acceso remoto, basado en Java y multiplataforma, es capaz de:

• Exfiltrar datos sensibles
• Registrar pulsaciones de teclas
• Tomar capturas de pantalla y grabar audio
• Descargar y subir archivos
• Ejecutar comandos arbitrarios

La infección comienza con un archivo adjunto PDF que contiene un enlace de OneDrive. Al hacer clic en "Abrir el documento", la víctima es redirigida a un sistema de distribución de tráfico (TDS) que evalúa la solicitud y, si cumple con los criterios, entrega un archivo JAR malicioso.

Según Orange Cyberdefense, este ataque también ha distribuido el malware SambaSpy, que forma parte de la familia de Sorillus RAT, y utiliza servicios legítimos como MediaFire, Ngrok y LocaltoNet para eludir detecciones.

CEl nuevo rostro del malware en la era de la confianza digital

La campaña de Water Curse y otras operaciones similares revelan una tendencia preocupante en el mundo de la ciberseguridad: la explotación de plataformas legítimas como GitHub, Cloudflare y OneDrive para llevar a cabo ataques a gran escala.

Estas amenazas no solo desafían las capacidades de las herramientas tradicionales de defensa, sino que también requieren un cambio estratégico hacia la detección proactiva, el monitoreo de comportamiento y la verificación contextual de fuentes confiables. En este nuevo panorama, la confianza no puede asumirse: debe verificarse continuamente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El phishing sigue siendo una de las amenazas más persistentes en el panorama de la ciberseguridad moderna. No se trata de una falta de evolución por parte de los defensores, sino de la rapidez con la que los ciberdelincuentes se adaptan a los entornos tecnológicos. Hoy, el phishing de hora cero representa una forma avanzada de engaño digital, donde los atacantes no solo se apoyan en correos falsos o dominios sospechosos, sino que explotan la confianza depositada en herramientas y plataformas legítimas utilizadas a diario.

¿Qué es el phishing de ChainLink?

De los correos falsos a las secuencias encadenadas

Mientras que el phishing tradicional se basaba en señales claras como URLs dudosas o remitentes desconocidos, el phishing moderno ha evolucionado hacia técnicas más sutiles y efectivas. Una de ellas es el phishing de ChainLink, donde los atacantes orquestan una cadena de pasos cuidadosamente diseñada que lleva a la víctima desde un correo aparentemente legítimo a un sitio de phishing camuflado, utilizando dominios y servicios de confianza como Google Drive, Dropbox o plataformas de recursos empresariales.

En esta cadena:

• El usuario recibe un enlace legítimo.
• Al hacer clic, es redirigido gradualmente a través de servicios reconocidos.
• Finalmente, se le presenta un formulario falso donde entrega sus credenciales sin sospechar.

¿Por qué es tan efectivo el phishing moderno?

El navegador: el nuevo campo de batalla

El navegador web se ha convertido en el núcleo de la actividad digital empresarial. Desde revisiones de código hasta tareas administrativas, la mayoría de las acciones del día a día suceden en pestañas del navegador. Esta centralización ofrece una superficie de ataque ideal para los actores maliciosos.

Incluso los empleados con mayor conciencia en ciberseguridad pueden caer en la trampa cuando interactúan con interfaces familiares y dominios legítimos. Los atacantes aprovechan esta confianza e insertan elementos como CAPTCHA reales, enlaces firmados y verificaciones de autenticidad, haciendo que los intentos de phishing pasen desapercibidos.

Ingeniería social en el navegador


Exploiting lo cotidiano

Los CAPTCHA, las páginas de inicio de sesión y las redirecciones seguras se han vuelto tan comunes que los atacantes los usan como herramientas de ingeniería social. Esto no solo ocurre en campañas de phishing, sino también en amenazas emergentes como ClickFix, una técnica basada en engañar al usuario para ejecutar acciones maliciosas desde el navegador.

Este fenómeno evidencia un hecho alarmante: lo "conocido" ya no es sinónimo de seguro. Las plataformas y dominios confiables ahora funcionan como vehículo para ejecutar ataques invisibles ante los ojos de las soluciones de seguridad convencionales.

¿Por qué las soluciones tradicionales fallan frente al phishing de hora cero?

Las herramientas de seguridad no lo ven venir

Aunque muchas organizaciones cuentan con defensas en capas como:

• Pasarelas de correo electrónico seguras (SEG)
• Filtrado DNS
• Puertas de enlace web seguras (SWG)
• Sistemas EDR y antivirus
• Protecciones del navegador

...la mayoría sigue siendo vulnerable al phishing basado en dominios confiables.

Esto se debe a que las soluciones tradicionales están diseñadas para identificar comportamientos maliciosos conocidos. En el phishing de hora cero, no hay malware que detectar. Solo hay formularios de recolección de credenciales cuidadosamente ocultos, alojados en dominios legítimos. Como resultado, las herramientas de seguridad del endpoint no marcan ninguna alerta.

Cómo defenderse del phishing de ChainLink

Llevar la seguridad al navegador

La clave para contrarrestar estas amenazas sofisticadas está en trasladar la seguridad al punto de interacción real: el navegador. Las organizaciones deben adoptar herramientas capaces de realizar análisis en tiempo real de las páginas web, supervisar el comportamiento del usuario y detectar secuencias encadenadas de phishing antes de que se produzca la filtración de datos.

Además:

• Implementa soluciones de protección del navegador que analicen el contenido renderizado.
• Supervisa interacciones en tiempo real y comportamiento contextual del usuario.
• Educa a los empleados sobre los nuevos vectores de ataque que ya no presentan "banderas rojas" evidentes.
• Considera tecnologías que identifican y bloquean formularios de recolección sospechosos, incluso en dominios conocidos.

Detener el phishing en su raíz


Los ataques de phishing de ChainLink representan un nuevo nivel de sofisticación, aprovechando la infraestructura confiable para sortear filtros y soluciones de seguridad. Para combatir estas amenazas modernas, es necesario abandonar el enfoque perimetral clásico y actuar directamente donde se manifiesta el riesgo: en el navegador y durante las interacciones del usuario.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una campaña de malware a gran escala dirigida a jugadores de Minecraft ha sido descubierta recientemente, afectando a miles de usuarios que descargan mods y trucos infectados para este popular videojuego. La operación utiliza ladrones de información (infostealers) diseñados para robar credenciales, tokens de autenticación, y billeteras de criptomonedas en sistemas Windows.

La amenaza fue identificada por investigadores de Check Point Research, quienes atribuyen la campaña al grupo conocido como Stargazers Ghost Network, una red activa desde 2023 que emplea tácticas de distribución como servicio (Distribution-as-a-Service, DaaS) para propagar su malware utilizando plataformas legítimas como GitHub y Pastebin.

Stargazers Ghost Network: malware oculto en mods de Minecraft

Ecosistema de modding como vector de ataque

La campaña aprovecha el vasto ecosistema de modding de Minecraft, un entorno ideal para infiltrar malware a través de archivos aparentemente inofensivos. Según Check Point, los actores maliciosos utilizan repositorios de GitHub disfrazados de mods populares como Skyblock Extras, Polar Client, FunnyMap, Oringo y Taunahi. En total, se han identificado aproximadamente 500 repositorios, muchos de ellos bifurcados o clonados, que forman parte de esta operación.

Check Point también ha detectado más de 700 "estrellas" en GitHub generadas por unas 70 cuentas falsas, lo que indica un esfuerzo coordinado para dar legitimidad a estos proyectos maliciosos.

Técnicas avanzadas para eludir detección

Malware basado en Java y Godot

El malware se presenta en múltiples etapas. La infección inicial comienza cuando el jugador ejecuta un archivo JAR malicioso dentro de Minecraft, lo que desencadena la descarga de una segunda etapa desde Pastebin, utilizando URLs codificadas en Base64. Esta segunda etapa incluye un ladrón de información basado en Java, que apunta a:

• Tokens de cuentas de Minecraft
• Datos de lanzadores como Lunar, Feather y Essential
• Tokens de Discord y Telegram

Los datos robados se transmiten a través de solicitudes HTTP POST al servidor del atacante.

44 CALIBER: ladrón de información .NET

Una vez ejecutado, el ladrón de Java también actúa como cargador para un segundo malware conocido como 44 CALIBER, un ladrón .NET más tradicional que roba:

• Credenciales de navegadores (Chromium, Edge, Firefox)
• Documentos personales y archivos del sistema
• Billeteras de criptomonedas (BitcoinCore, Monero, Ethereum, Zcash, entre otras)
• Cuentas de VPN (ProtonVPN, NordVPN, OpenVPN)
• Información de aplicaciones como Steam, Discord, FileZilla y Telegram

Este malware también captura información del sistema, datos del portapapeles y realiza capturas de pantalla, lo que representa una amenaza crítica para la privacidad y seguridad del usuario.

Origen y señales de compromiso (IoC)

Los investigadores destacan que los webhooks de exfiltración usan Discord y contienen comentarios en ruso, junto con marcas de tiempo UTC+3, lo que apunta a que los operadores podrían tener origen en Europa del Este, posiblemente Rusia.

Check Point ha compartido una lista completa de indicadores de compromiso (IoC) al final de su informe técnico, con el fin de ayudar a administradores y expertos en ciberseguridad a identificar y mitigar esta amenaza.

Recomendaciones para protegerse del malware en Minecraft

Para evitar ser víctima de esta y otras campañas similares, se recomienda a los jugadores de Minecraft tomar las siguientes precauciones:

• Descargar mods únicamente de plataformas de confianza y comunidades oficiales.
• Verificar que los proyectos en GitHub tengan un historial legítimo de confirmaciones, colaboradores activos y una comunidad real.
• Evitar mods compartidos por usuarios desconocidos o repositorios con poca o ninguna actividad reciente.
• Utilizar cuentas de Minecraft secundarias o "desechables" al probar mods desconocidos.
• Contar con una solución de seguridad endpoint actualizada que pueda detectar cargas maliciosas.

En fin, la campaña dirigida por Stargazers Ghost Network pone en evidencia cómo plataformas legítimas como GitHub y Pastebin pueden ser utilizadas para distribuir software malicioso a través de archivos que aparentan ser herramientas útiles para la comunidad gamer. En el caso de Minecraft, cuya base de usuarios incluye una gran cantidad de menores de edad y entusiastas del modding, los riesgos son aún más altos.

La concienciación en ciberseguridad, combinada con buenas prácticas de higiene digital, sigue siendo la primera línea de defensa contra estas campañas que buscan explotar la confianza de los usuarios en entornos populares.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El Ministerio de Digitalización de Dinamarca ha anunciado un ambicioso plan para sustituir gradualmente las soluciones de Microsoft por software libre, principalmente Linux y LibreOffice, a partir de 2025. Este paso marca un hito en la estrategia tecnológica del país y forma parte de un esfuerzo nacional por reducir la dependencia tecnológica de empresas estadounidenses, optimizar los costes y reforzar la soberanía digital.

Una transición histórica hacia el código abierto

La migración tiene como objetivo reemplazar herramientas como Office 365 y Windows por alternativas de código abierto que permitan un mayor control sobre los datos y los sistemas utilizados por la administración pública. Dinamarca se une así a una creciente tendencia europea en favor del software de código abierto, ya observada en países como Alemania, Francia y España.

La ministra de Digitalización, Caroline Stage Olsen, confirmó que más de la mitad del personal del ministerio comenzará a trabajar con entornos Linux y LibreOffice en los próximos meses. La intención es que toda la plantilla haya completado la transición antes de finalizar el año.

Este movimiento no solo implica un cambio de herramientas, sino también una transformación profunda en la cultura digital del sector público danés, con énfasis en el uso de soluciones abiertas, seguras y menos dependientes de terceros.

Motivos de la migración: soberanía digital, seguridad y ahorro

Las razones detrás de esta decisión son múltiples. En primer lugar, el gobierno danés busca reducir la dependencia tecnológica de proveedores extranjeros, especialmente de Estados Unidos, en un contexto de creciente preocupación por la seguridad de los datos públicos y la exposición a riesgos derivados del dominio de grandes corporaciones tecnológicas.

En segundo lugar, el uso de software libre supone una reducción significativa de los costes de licenciamiento, lo que permite optimizar el gasto público. Además, el código abierto ofrece una mayor transparencia y auditabilidad, facilitando el cumplimiento de normativas de protección de datos y seguridad informática.

Proceso gradual y con margen de reversibilidad

La ministra Olsen ha subrayado que se trata de un proceso planificado y progresivo, con posibilidad de ajuste en función de los resultados. La primera etapa incluye a la mitad del personal del ministerio, y si no se presentan obstáculos insalvables, la migración continuará hasta completarse.

En caso de dificultades técnicas que afecten el trabajo diario, se contempla un retorno temporal a las soluciones de Microsoft, mientras se buscan nuevas alternativas. Sin embargo, Olsen ha recalcado que el compromiso es firme: "No avanzaremos hacia nuestro objetivo si no empezamos".

Copenhague y Aarhus también abandonan Microsoft

La decisión del Ministerio de Digitalización no es aislada. Las dos principales ciudades del país, Copenhague y Aarhus, han comenzado sus propios procesos de migración lejos de las tecnologías de Microsoft. Ambas municipalidades citan razones similares: costes elevados, preocupaciones de privacidad de datos y la necesidad de recuperar el control tecnológico.

Este enfoque refuerza la visión nacional de que la digitalización debe estar al servicio de los ciudadanos y no sujeta a los intereses de empresas extranjeras.

Una tendencia europea en crecimiento

El caso danés se suma a una tendencia en expansión dentro de la Unión Europea, donde diversos gobiernos buscan reemplazar soluciones propietarias por alternativas abiertas y locales. Un ejemplo relevante es el del estado federado de Schleswig-Holstein en Alemania, que también ha decidido migrar completamente a Linux y software libre.

La Comisión Europea, por su parte, ha manifestado su interés en promover infraestructuras digitales soberanas y debatir legislaciones que limiten la dependencia de proveedores tecnológicos dominantes, especialmente en áreas críticas como la nube y la inteligencia artificial.

Retos de la migración: formación y adaptación cultural

El camino hacia el software libre no está exento de desafíos. Expertos en transformación digital señalan que el éxito dependerá en gran medida de la formación adecuada del personal y de la existencia de competencias técnicas internas capaces de gestionar, mantener y evolucionar las nuevas herramientas.

Desde el gobierno danés se insiste en que no se trata de "dar la espalda" a la innovación ni a la colaboración internacional, sino de garantizar que el país nunca más dependa de unos pocos proveedores para operar su administración pública.

Un modelo a seguir para la soberanía digital

La apuesta de Dinamarca por abandonar Microsoft y adoptar software libre como LibreOffice y Linux es un paso firme hacia la autonomía tecnológica. A través de esta decisión, el país no solo busca proteger sus datos y optimizar recursos, sino también convertirse en un referente para otros estados europeos que desean fortalecer su infraestructura digital nacional.

En un entorno global cada vez más interconectado y con riesgos crecientes en ciberseguridad y privacidad, la migración hacia tecnologías abiertas y controladas localmente se presenta como una opción estratégica para garantizar el futuro digital de los gobiernos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Expertos en ciberseguridad de SafeDep y Veracode han identificado varios paquetes npm maliciosos diseñados para ejecución remota de código (RCE) y descarga de cargas útiles adicionales. Estos paquetes fueron eliminados del repositorio npm tras cientos de descargas.

Paquetes npm infectados

• eslint-config-airbnb-compat (676 descargas)
• ts-runtime-compat-check (1 588 descargas)
• solders (983 descargas)
• @mediawave/lib (386 descargas)

Aunque los paquetes ya se eliminaron, existe riesgo para desarrolladores que los hayan instalado recientemente.

Detalles técnicos: RCE multi-etapa
SafeDep detectó que eslint-config-airbnb-compat incluye ts-runtime-compat-check como dependencia. Esta se conecta a proxy.eslint-proxy[.]site para descargar y ejecutar cadenas codificadas en Base64. El investigador Kunal Singh advierte:

Citar"Implementa un ataque de ejecución remota de código de múltiples etapas utilizando una dependencia transitiva para ocultar el código malicioso."

Por otro lado, Veracode identificó que el paquete solders incorpora un script post‑install que ejecuta código malicioso al instalarse. El análisis revela una ofuscación compleja usando caracteres Unicode japoneses, generando dinámicamente código malintencionado.

El script detecta Windows y ejecuta PowerShell para descargar una segunda etapa desde firewall[.]tel, que luego configura exclusiones en Windows Defender. Posteriormente, un batch descarga una DLL .NET oculta como imagen PNG desde i.ibb[.]co. Esta DLL extrae datos de la imagen y carga en memoria una variante de Pulsar RAT—a través de manipulación sofisticada del scheduler y UAC (FodHelper.exe). Veracode concluye que:

Citar"Desde una pared de caracteres japoneses hasta una RAT oculta dentro de los píxeles de un archivo PNG, el atacante hizo todo lo posible para ocultar su carga útil..."

Malware criptográfico en npm: credenciales, cryptojacking y clippers

El informe de Socket revela amenazas específicas para el ecosistema Web3 y blockchain, incluyendo:

• express-dompurify, pumptoolforvolumeandcomment: robadores de credenciales y claves de billetera.
• BS58JS: drena fondos de criptobilleteras via transferencias encadenadas.
• lsjglsjdv, asyncaiosignal, raydium-sdk-liquidity-init: clippers que sustituyen direcciones copiadas con las controladas por atacantes.

El investigador Kirill Boychenko resalta que:

Citar"Los actores de amenazas motivados financieramente y los grupos patrocinados por el estado están evolucionando sus tácticas para explotar las debilidades sistémicas en la cadena de suministro de software."

El riesgo del slopsquatting y la IA en el desarrollo

La adopción de codificación asistida por IA ha dado paso al slopsquatting, donde los LLM "alucinan" nombres de dependencias que pueden ser tomados por atacantes. Trend Micro detectó un ejemplo:

Paquete de prueba starlette-reverse-proxy en Python, creado para causar un error de "módulo no encontrado". Un atacante podría subir ese nombre y explotar la confianza del desarrollador. Según Sean Park:

Citar"Si un adversario sube un paquete con el mismo nombre en el repositorio, puede tener graves consecuencias de seguridad."

Aunque herramientas como Claude Code CLI e OpenAI Codex CLI reducen las sugerencias fantasmas, advierte que no eliminan totalmente el riesgo.

Ejercicio de red teaming en PyPI: 'chimera‑sandbox‑extensions'

En PyPI se publicó el paquete chimera-sandbox-extensions, con 143 descargas, apuntando a usuarios de Chimera Sandbox. Investigadores de JFrog detectaron que el paquete robaba credenciales, variables CI/CD, tokens AWS, configuración JAMF y más, mediante un DGA (dominio generado dinámicamente).

CitarSegún Guy Korolevski de JFrog:

"El enfoque dirigido empleado por este malware... lo distingue de las amenazas de malware de código abierto más genéricas..."

Tras comunicarse con Grab, la empresa confirmó que se trataba de un ejercicio interno de red teaming, sin intención maliciosa ni ejecución fuera de sistemas controlados.

Fortalece tu cadena de suministro de código

• Audita dependencias npm/PyPI con herramientas como npm-audit y pip-audit.
• Evita paquetes ofuscados o con nombres sospechosos; verifica reputación y descargas.
• Monitoriza vínculos en tiempo de instalación (post‑install).
• Limita permisos en scripts de instalación, especialmente PowerShell en Windows.
• Adopta mecanismos anti-slopsquatting: validaciones manuales y bloqueos de nombres fantasiosos.
• Ejercicios de red teaming controlado, como el caso de chimera-sandbox-extensions, son útiles, atendiendo la comunicación responsable.

La seguridad en la cadena de suministro de software es clave: revisa dependencias, emplea escáneres, controla scripts de instalación y mantente alerta ante amenazas avanzadas de la comunidad open‑source.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La esperada versión Kali Linux 2025.2 ya está disponible para su descarga. Esta es la segunda gran actualización del año de la popular distribución enfocada en ciberseguridad, hacking ético y pruebas de penetración, y viene cargada con novedades, incluyendo 13 nuevas herramientas de seguridad, mejoras en NetHunter, una interfaz de usuario optimizada y un kit ampliado para hacking de automóviles.

Kali Linux es mantenida por Offensive Security y es una de las distribuciones Linux más utilizadas por profesionales de la seguridad informática, investigadores de redes y equipos de pentesting en todo el mundo.

Principales novedades de Kali Linux 2025.2

La nueva versión introduce varios cambios importantes tanto en funcionalidades como en experiencia de usuario. A continuación, te mostramos un resumen de las principales mejoras:

1. Kit de hacking de automóviles actualizado: CARsenal

Una de las actualizaciones más destacadas en Kali Linux 2025.2 es la renovación del kit de herramientas para piratería de vehículos, que ahora se llama CARsenal. Este conjunto de utilidades especializadas permite realizar pruebas de seguridad en automóviles modernos. Anteriormente conocido como CAN Arsenal, este kit no solo ha sido renombrado, sino también mejorado en cuanto a interfaz y funcionalidades.

Herramientas nuevas incluidas en CARsenal:

• hlcand: Versión modificada de Slcand para trabajar con ELM327.
• VIN Info: Herramienta para decodificar identificadores de vehículos.
• CaringCaribou: Proporciona módulos como Listener, Dump, Fuzzer, UDS y XCP.
• ICSim: Un simulador potente para probar CARsenal sin hardware físico, usando VCAN.

2. Interfaz renovada y menú Kali reorganizado

Kali Linux 2025.2 presenta una reorganización completa del menú principal, ahora alineado con el marco MITRE ATT&CK, lo que mejora la accesibilidad de herramientas para los equipos rojo (ataque) y azul (defensa). Esta estructura reemplaza al antiguo sistema heredado de BackTrack y WHAX, que carecía de escalabilidad y lógica de organización.

Además, la interfaz gráfica ha sido refinada con una mejor experiencia visual, incluyendo nuevos temas, iconografía moderna y una mejor integración con GNOME 48, que ofrece mejoras en notificaciones, rendimiento y compatibilidad con HDR.

En cuanto a KDE Plasma, la versión incluida ahora es la 6.3, que introduce:

• Mejoras en el escalado fraccional.
• Colores más precisos con Night Light.
• Un monitor del sistema más detallado.
• Mejor rendimiento en la gestión de CPU y batería.

El visor de documentos Evince ha sido reemplazado por la aplicación Papers, y se han añadido herramientas de bienestar digital para preservar la salud de la batería.

3. Nuevas herramientas de ciberseguridad incorporadas

Kali Linux 2025.2 añade 13 herramientas nuevas orientadas al análisis forense, pruebas de penetración, fuzzing, OSINT y más:

• azurehound: Recolector de datos para BloodHound en entornos Azure.
• binwalk3: Análisis avanzado de firmware.
• bloodhound-ce-python: Ingestor para BloodHound CE.
• bopscrk: Generador de diccionarios inteligentes.
• crlfuzz: Escáner rápido de vulnerabilidad CRLF.
• donut-shellcode: Ejecuta shellcode desde la memoria.
• gitxray: OSINT sobre repositorios GitHub.
• ldeep: Enumerador LDAP.
• rubeus: Herramienta para abusar de Kerberos.
• tinja: Verificador de inyecciones de plantillas.
• Y más herramientas listas para pruebas avanzadas.

4. Kali NetHunter con mejoras clave

Kali NetHunter, la plataforma de pruebas de penetración móvil para dispositivos Android, también ha recibido mejoras notables. Entre ellas:

• Soporte para inyección inalámbrica y ataques de desautenticación.
• Captura de protocolo WPA2 en el TicWatch Pro 3, el primer reloj inteligente soportado.
• Nuevas compilaciones de kernel para dispositivos como:
• Xiaomi Redmi 4/4X (A13)
• Xiaomi Redmi Note 11 (A15)
• Realme C15 (A10)
• Samsung Galaxy S10 y S9 (A13–A15)

Además, se ha presentado un adelanto de Kali NetHunter KeX en Android Auto, permitiendo sesiones gráficas completas en unidades principales de automóvil.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las cuentas de correo electrónico de varios periodistas del prestigioso diario The Washington Post fueron comprometidas en un ciberataque dirigido, que se presume fue orquestado por un actor estatal extranjero. Este incidente refuerza las crecientes preocupaciones sobre la ciberseguridad de medios de comunicación y el uso de plataformas como Microsoft Exchange en contextos geopolíticamente sensibles.

Ataque dirigido y notificación interna

El ataque fue detectado el jueves por la noche, y el periódico lanzó de inmediato una investigación para contener y mitigar el impacto del incidente. El domingo 15 de junio, la redacción del medio recibió un memorándum interno informando sobre una posible "intrusión no autorizada" en su sistema de correo electrónico corporativo.

De acuerdo con The Wall Street Journal, el memorándum fue firmado por Matt Murray, editor ejecutivo del Washington Post, e indicaba que el ataque había comprometido cuentas de Microsoft pertenecientes a un número limitado de periodistas. Aunque los detalles técnicos aún no han sido divulgados públicamente, la empresa de medios está trabajando con expertos en ciberseguridad para investigar el alcance total del ataque.

Objetivo: periodistas especializados en temas estratégicos

Fuentes cercanas al caso informaron que los principales afectados fueron periodistas que cubren temas críticos como la seguridad nacional, la política económica y la relación bilateral con China. Esto ha llevado a analistas a sospechar de la posible implicación de actores patrocinados por el Estado, comúnmente conocidos como amenazas persistentes avanzadas (APT, por sus siglas en inglés).

El Washington Post, propiedad del fundador de Amazon, Jeff Bezos, es uno de los medios de comunicación más influyentes en los Estados Unidos y a nivel global, lo que lo convierte en un blanco atractivo para campañas de ciberespionaje.

Microsoft Exchange: el blanco recurrente de ciberataques

Los actores APT, en particular aquellos asociados con intereses estatales chinos, tienen un largo historial de explotación de vulnerabilidades en Microsoft Exchange, una plataforma ampliamente utilizada por organizaciones de todo el mundo para la gestión de correos electrónicos y calendarios.

En 2023, Microsoft advirtió sobre la explotación activa de una vulnerabilidad crítica de elevación de privilegios en Exchange utilizada como día cero para ejecutar ataques de retransmisión NTLM (NT LAN Manager). Estos ataques permiten a los ciberdelincuentes escalar privilegios dentro de una red y acceder a información sensible.

Años atrás, hackers chinos utilizaron fallos de seguridad en endpoints de Exchange para acceder a correos electrónicos de al menos dos docenas de agencias gubernamentales alrededor del mundo. Estas campañas, altamente sofisticadas, resultaron en la sustracción de datos extremadamente sensibles.

Historial de ciberespionaje vinculado a grupos APT chinos

La empresa de ciberseguridad ESET documentó en 2021 cómo varios grupos APT vinculados con intereses chinos —incluidos APT27, Bronze Butler y Calypso— explotaron múltiples vulnerabilidades de día cero en Microsoft Exchange. Estos ataques, meticulosamente organizados, tenían como objetivo principal recolectar inteligencia sobre organismos gubernamentales, entidades diplomáticas y medios de comunicación estratégicos.

En 2020, se registraron ciberataques contra agencias gubernamentales estadounidenses y, en 2021, miembros de la OTAN también fueron blanco de estas amenazas. Estas acciones muestran una estrategia sostenida de penetración a través de software corporativo ampliamente desplegado, como lo es Microsoft Exchange.

El silencio del Washington Post y la preocupación en el sector

Hasta la fecha, el Washington Post no ha divulgado detalles técnicos adicionales sobre la brecha de seguridad ni ha confirmado la identidad de los posibles atacantes. Sin embargo, expertos en ciberseguridad señalan que esta clase de ataques encaja en el modus operandi de campañas de espionaje digital con motivaciones geopolíticas.

Este incidente ocurre en un contexto de tensiones crecientes entre Estados Unidos y China, especialmente en lo relacionado con la tecnología, la ciberseguridad y el control de la información. La intersección entre periodismo, seguridad informática y relaciones internacionales se vuelve cada vez más crítica, ya que los medios de comunicación representan una fuente clave de información sobre políticas públicas y decisiones estratégicas.

La prensa en la mira del ciberespionaje

El ataque cibernético contra los periodistas del Washington Post refuerza la necesidad urgente de fortalecer la seguridad digital en los medios de comunicación. La utilización de vulnerabilidades en plataformas como Microsoft Exchange para acceder a información sensible demuestra que los actores estatales continúan empleando tácticas sofisticadas para influir y espiar a través del ciberespacio.

Ante esta realidad, es crucial que las organizaciones periodísticas inviertan en soluciones avanzadas de ciberseguridad, realicen auditorías periódicas de sus sistemas y capaciten a su personal para enfrentar amenazas como el spear phishing, la explotación de vulnerabilidades y las intrusiones APT.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La firma de ciberseguridad Kaspersky ha emitido una alerta sobre múltiples tiendas en línea falsas que aparentan vender figuras coleccionables Labubu, diseñadas por el artista hongkonés Kasing Lung y comercializadas por la empresa Pop Mart. Estas páginas fraudulentas, disponibles en varios idiomas, buscan engañar a los compradores y robar su información personal y financiera.

Aprovechando la popularidad mundial de estos peluches estilo kawaii, especialmente tras el aumento de interés en abril de 2024 impulsado por celebridades, los estafadores ofrecen "ediciones especiales" y "ofertas irresistibles" para atraer a víctimas desprevenidas.

¿Por qué son tan deseadas las figuras Labubu?

Los Labubu son figuras coleccionables que se venden en cajas sorpresa, es decir, el comprador no sabe qué modelo obtendrá hasta abrir el empaque. Esta estrategia ha creado una comunidad global de fanáticos que buscan versiones raras o limitadas, algunas de las cuales alcanzan precios de reventa de hasta 3,000 dólares. En México, estas figuras se han viralizado entre coleccionistas jóvenes y amantes del estilo kawaii, elevando su demanda y atrayendo también a los ciberdelincuentes.

Cómo operan las tiendas falsas: diseño clon y precios engañosos

Los sitios fraudulentos detectados por Kaspersky replican cuidadosamente el diseño y branding de tiendas oficiales como Pop Mart, utilizando URLs sospechosas, descuentos excesivos y narrativas falsas para aparentar legitimidad.

Por ejemplo:

• Un sitio ofrecía figuras entre 30 y 79.99 dólares, incluyendo una historia ficticia sobre el origen del personaje.
• Otro portal en portugués anunciaba figuras "importadas desde Japón" por tan solo 47.90 reales brasileños.

Estas tácticas buscan inducir a los usuarios a ingresar datos de tarjetas de crédito, direcciones personales y otras credenciales sensibles.

Técnicas comunes en las estafas con figuras Labubu

Según María Isabel Manjarrez, investigadora de seguridad de Kaspersky, los estafadores emplean una combinación de técnicas para aumentar su efectividad:

• Diseño idéntico al sitio legítimo.
• Errores ortográficos leves y modificaciones sutiles en el dominio.
• Mensajes de urgencia, como "¡Últimas unidades disponibles!".
• Formas de pago riesgosas, como transferencias bancarias o criptomonedas.
• Precios absurdamente bajos que resultan demasiado buenos para ser ciertos.

Estas señales son fundamentales para detectar posibles fraudes.

Impacto regional: el phishing sigue creciendo en América Latina

El fraude con figuras Labubu no es un caso aislado. De acuerdo con el informe Panorama de Amenazas para América Latina de Kaspersky, en el último año se registraron más de 697 millones de ataques de phishing en la región, lo que equivale a 1,326 intentos por minuto. Una gran parte de estas campañas maliciosas se centra en el comercio electrónico, aprovechando el auge de las compras en línea.

Recomendaciones de seguridad para evitar caer en estafas

Para minimizar el riesgo de ser víctima de estas tiendas falsas, Kaspersky recomienda seguir estas buenas prácticas:

✅ Comprar solo en sitios oficiales como Pop Mart o distribuidores certificados.

✅ Verificar que la URL comience con https:// y que tenga el ícono de candado.

✅ Desconfiar de promociones o descuentos poco realistas.

✅ Evitar ingresar datos bancarios en sitios no verificados.

✅ Usar tarjetas virtuales o servicios como PayPal que ofrezcan protección al consumidor.

✅ Instalar soluciones de seguridad como Kaspersky Premium, que detectan sitios falsos, protegen aplicaciones bancarias y alertan sobre filtraciones de datos personales.

Kaspersky: la emoción de una "oferta imperdible" puede costarte caro
Según Carolina Mojica, gerente de producto para el consumidor de Kaspersky en América Latina:

Citar"Los ciberdelincuentes saben que la emoción de encontrar una 'oferta imperdible' puede hacer que bajemos la guardia. Por eso juegan con la urgencia y la apariencia de autenticidad".

Esta estrategia de ingeniería social es una de las más efectivas y peligrosas en el entorno digital actual, especialmente en contextos de alta demanda como el de las figuras Labubu.

La fiebre por Labubu es real, pero también los riesgos

El éxito de Labubu ha trascendido el mundo de los coleccionables para convertirse en un fenómeno cultural global. Sin embargo, este mismo auge ha sido aprovechado por delincuentes para ejecutar campañas de phishing y fraude digital.

Protegerse implica combinar sentido común, verificación de fuentes y el uso de herramientas de ciberseguridad confiables. No te dejes engañar por precios bajos o ediciones "exclusivas" en sitios no verificados. La próxima vez que busques tu figura Labubu favorita, asegúrate de que sea en un canal legítimo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

WestJet, la segunda aerolínea más grande de Canadá, ha confirmado que fue víctima de un ataque cibernético que afectó el acceso a varios sistemas internos, incluida su aplicación móvil y su sitio web. La compañía está trabajando activamente para contener la amenaza y restaurar completamente sus operaciones digitales.

En un comunicado oficial publicado en su sitio web, WestJet informó:

Citar"WestJet está al tanto de un incidente de ciberseguridad que involucra sistemas internos y la aplicación WestJet, lo cual ha restringido el acceso para varios usuarios."

Respuesta inmediata ante el incidente y colaboración con autoridades

La aerolínea canadiense ha activado a sus equipos de seguridad interna, además de estar colaborando con las autoridades federales. Entre los organismos involucrados se encuentran el Ministerio de Transporte de Canadá y agencias del orden público especializadas en delitos informáticos.

Citar"Hemos activado equipos internos especializados en cooperación con las fuerzas del orden y el Ministerio de Transporte de Canadá para investigar el asunto y limitar los impactos", declaró la empresa.

El objetivo inmediato de WestJet es mantener la seguridad operacional y proteger la información confidencial de sus clientes y empleados. En su aviso de seguridad, también ofrecieron disculpas a los pasajeros por las interrupciones sufridas durante el incidente.

Impacto en servicios digitales y restauración parcial

Durante el ataque cibernético, los usuarios no pudieron acceder a la aplicación móvil ni iniciar sesión en el sitio web oficial de la aerolínea. Estos servicios fueron restaurados horas después, aunque algunos sistemas internos y software clave aún enfrentan limitaciones.

Una actualización emitida la mañana del sábado señala que las operaciones de vuelos y logística siguen funcionando con normalidad y sin comprometer la seguridad. Sin embargo, algunos sistemas de soporte siguen sin acceso completo mientras continúan las tareas de investigación y contención.

¿Se trata de un ataque de ransomware?

Aunque WestJet no ha confirmado el tipo exacto de ciberataque, la naturaleza del incidente sugiere la posibilidad de un ataque de ransomware. La pérdida de acceso a sistemas internos podría deberse a una cifra de archivos maliciosa ejecutada por ciberdelincuentes, o a una desconexión preventiva implementada por la empresa para evitar la propagación de la amenaza.

Hasta el momento, no se ha hecho pública ninguna demanda de rescate, ni se ha confirmado la exfiltración de datos personales o financieros de clientes. La aerolínea tampoco ha revelado si el grupo detrás del ataque ha sido identificado.

WestJet mantiene la confidencialidad mientras continúa la investigación

El medio especializado en ciberseguridad BleepingComputer intentó contactar a WestJet para obtener más detalles sobre el incidente, incluyendo la naturaleza del ataque, los sistemas comprometidos y si hubo pérdida de datos. Sin embargo, la compañía aún no ha emitido una respuesta oficial a estas consultas.

Un nuevo caso que expone la vulnerabilidad del sector aéreo

El ataque a WestJet es parte de una creciente ola de ciberataques dirigidos a la industria del transporte y la aviación, sectores considerados críticos por su dependencia de sistemas digitales y la gran cantidad de datos sensibles que manejan.

Este incidente pone de relieve la importancia de reforzar las defensas cibernéticas en infraestructuras críticas y subraya la necesidad de contar con planes de respuesta ante incidentes bien estructurados.

La aerolínea canadiense continúa trabajando para restablecer completamente sus servicios y proteger la privacidad de sus usuarios. Se recomienda a los clientes de WestJet estar atentos a futuras comunicaciones oficiales y cambiar sus credenciales si han utilizado los servicios digitales recientemente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Anubis es una operación de ransomware como servicio (RaaS) que ha ganado notoriedad en el panorama de amenazas cibernéticas desde su aparición en diciembre de 2024. A pesar de su corta trayectoria, este malware ha llamado la atención por incorporar características especialmente destructivas que lo diferencian de otros ransomware conocidos.

No debe confundirse con el troyano bancario para Android del mismo nombre. Esta versión de Anubis está dirigida a sistemas de escritorio y redes empresariales, y ha sido identificada como una amenaza emergente por diversos investigadores de ciberseguridad.

Evolución de Anubis: de nuevo jugador a operador sofisticado

Desde principios de 2025, Anubis ha intensificado su actividad. El 23 de febrero, sus operadores anunciaron un programa de afiliados en el foro clandestino RAMP, lo que marca una estrategia clara de expansión y profesionalización. Según un informe de la firma de inteligencia KELA, el modelo de reparto ofrecido era atractivo:

• 80% de las ganancias para afiliados de ransomware.
• 60% para afiliados centrados en extorsión de datos.
• 50% para los brokers de acceso inicial.

Actualmente, la página de extorsión de Anubis alojada en la dark web enumera al menos ocho víctimas, una cifra modesta que podría aumentar conforme crece la confianza entre los cibercriminales en la eficacia del malware.

La novedad técnica más peligrosa: un módulo de borrado irreversible

Una de las funcionalidades más alarmantes introducidas recientemente es un módulo de limpieza (wiper) que destruye el contenido de los archivos cifrados, incluso si se paga el rescate. Según un informe publicado por Trend Micro, este comportamiento destructivo busca aumentar la presión sobre las víctimas para que paguen rápidamente, sin espacio para prolongar las negociaciones o resistirse.

¿Cómo funciona el wiper de Anubis?

El borrado de archivos se activa mediante el parámetro de línea de comandos /WIPEMODE, que requiere autenticación por clave. Una vez habilitado:

• El contenido de los archivos se borra completamente, reduciendo su tamaño a 0 KB.
• Se conservan los nombres de los archivos y la estructura de carpetas para simular que todo está intacto.
• El daño es irreversible: no se puede recuperar la información ni con herramientas forenses.

Esta táctica destructiva coloca a Anubis en una nueva categoría de ransomware, donde la recuperación de datos no es posible, aun si se cumplen las exigencias del rescate.

Características técnicas del malware Anubis

El análisis técnico de Trend Micro revela que Anubis cuenta con una serie de comandos avanzados al momento de ejecutarse:

• Elevación de privilegios para maximizar el control del sistema.
• Exclusión de directorios críticos, como los de sistema y programas, para evitar bloquear completamente el sistema operativo.
• Selección de rutas objetivo para el cifrado.
• Eliminación de copias sombra de volumen.
• Terminación de procesos o servicios que interfieran con el cifrado.

El sistema de cifrado utilizado es ECIES (Elliptic Curve Integrated Encryption Scheme), y se han identificado similitudes en la implementación con otros ransomware como EvilByte y Prince.

Señales de ataque: vectores de infección y síntomas

Los ataques de Anubis suelen iniciarse mediante campañas de phishing, utilizando correos electrónicos con enlaces maliciosos o archivos adjuntos infectados. Una vez dentro del sistema, el malware:

• Añade la extensión .anubis a todos los archivos cifrados.
• Crea una nota de rescate en formato HTML en cada directorio afectado.
• Intenta cambiar el fondo de escritorio (aunque esta acción suele fallar).

Estos indicadores permiten a los profesionales de seguridad identificar rápidamente un compromiso con este ransomware.

Anubis y la nueva generación de ransomware destructivo

Anubis representa una evolución en el modelo de ransomware como servicio (RaaS), no solo por su estructura de afiliados y sofisticación técnica, sino también por su enfoque destructivo. Al implementar un módulo de borrado que hace imposible la recuperación de datos, incluso tras el pago del rescate, los operadores buscan maximizar la presión sobre las víctimas y consolidarse como una amenaza seria en el ciberespacio.

Las organizaciones deben estar atentas a los indicadores de compromiso (IoC), reforzar sus medidas de ciberseguridad y priorizar estrategias de respaldo offline para mitigar el impacto de este tipo de amenazas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ha corregido una grave vulnerabilidad en su sistema de recuperación de cuentas, que permitía a actores maliciosos realizar ataques de fuerza bruta para obtener el número de teléfono de recuperación asociado a una cuenta de Google. El fallo de seguridad, descubierto por el investigador conocido como brutecat, podría haber sido utilizado para comprometer la privacidad de millones de usuarios en todo el mundo.

Cómo funcionaba la vulnerabilidad en la recuperación de cuentas de Google

El exploit se basaba en una versión obsoleta y sin JavaScript del formulario de recuperación de nombre de usuario, alojado en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.]com/signin/usernamerecovery. Esta versión carecía de mecanismos antiabuso fundamentales como CAPTCHAs eficaces o límites de tasa de solicitudes, lo que facilitaba automatizar pruebas con distintas combinaciones de números de teléfono.

La funcionalidad afectada permite a los usuarios verificar si un correo electrónico o número de teléfono de recuperación están asociados a un nombre para mostrar. Sin embargo, el sistema podía ser manipulado para que un atacante, con suficientes intentos, adivinara el número de teléfono exacto en cuestión de segundos o minutos, dependiendo del país y la longitud del número.

Cadena de explotación: paso a paso

El proceso para explotar esta vulnerabilidad constaba de los siguientes pasos:

• Filtrar el nombre completo de la víctima mediante la creación de un documento en Looker Studio y su transferencia, provocando que el nombre del destinatario se mostrara en la pantalla.
• Utilizar el flujo "Olvidé mi contraseña" de Google para obtener los últimos dos dígitos del número de teléfono asociado a la cuenta objetivo.
• Realizar fuerza bruta del número completo mediante el formulario vulnerable hasta adivinar los dígitos restantes.

Según el investigador, un número con código de país de Singapur podía obtenerse en solo 5 segundos, mientras que para un número estadounidense el tiempo estimado era de aproximadamente 20 minutos.


Riesgos asociados: desde intercambio de SIM hasta toma de control de cuentas

Con acceso al número de teléfono completo de recuperación, un atacante podría lanzar un ataque de SIM swapping (intercambio de SIM), tomar el control del número y, desde allí, restablecer la contraseña de la cuenta de Google u otros servicios que dependan del mismo número para autenticación.

Este tipo de ataque representa una amenaza crítica, especialmente para:

• Periodistas
• Creadores de contenido
• Activistas
• Empresarios o empleados con acceso a información sensible

Reacción de Google: mitigación y recompensas

Google recibió el informe de vulnerabilidad el 14 de abril de 2025 y, como parte de su programa de recompensas por errores, otorgó a brutecat 5.000 dólares por la divulgación responsable. Para mitigar la vulnerabilidad, Google eliminó completamente la versión sin JavaScript del formulario de recuperación de nombre de usuario a partir del 6 de junio de 2025.

Esta solución definitiva ha cerrado el vector de ataque, fortaleciendo el sistema de recuperación de cuentas para todos los usuarios.

Otras vulnerabilidades recientes descubiertas por brutecat

El investigador brutecat ya es conocido por haber reportado otras fallas de seguridad de alto impacto en el ecosistema de Google. Entre ellas:

• Enero de 2025: Descubrió una vulnerabilidad que permitía revelar la dirección de correo electrónico de cualquier propietario de canal de YouTube, mediante el encadenamiento de errores en la API de YouTube y la API del Pixel Recorder. Fue recompensado con 10.000 dólares.
• Marzo de 2025: Reveló un problema de control de acceso en el endpoint /get_creator_channels, que exponía la dirección de correo electrónico y detalles de monetización de cualquier canal del Programa de Socios de YouTube (YPP). Recibió una recompensa de 20.000 dólares.

Google reconoció públicamente que el fallo permitía desanonimizar a creadores de contenido o incluso suplantarlos, violando así las expectativas de privacidad y anonimato dentro de la plataforma.

La importancia de la seguridad en funciones de recuperación

Este caso destaca la vulnerabilidad inherente a los sistemas de recuperación de cuentas cuando no están debidamente protegidos frente a automatización y fuerza bruta. Aunque la funcionalidad estaba destinada a mejorar la experiencia del usuario, su diseño deficiente abrió una puerta crítica a la exposición de datos sensibles.

La rápida respuesta de Google demuestra la eficacia del modelo de divulgación responsable y recompensa de vulnerabilidades, aunque también subraya la necesidad de que las grandes plataformas evalúen constantemente el impacto de funciones legadas u obsoletas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta