Temas - AXCESS

Información del Perfil

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - AXCESS

Páginas1 2 3 ... 75

Noticias Informáticas / Phishers explotan archivos PDF haciéndose pasar por PayPal, DocuSign y Microsoft

Hoy a las 12:33:34 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Todo el mundo confía en los PDF, y es precisamente por eso que los ciberdelincuentes están tan obsesionados con ellos.

El formato de documento portátil, más conocido como PDF, se distribuye millones de veces al día. Todo, desde documentos fiscales y currículums hasta facturas, folletos digitales o cualquier otra información, se envía por correo electrónico con un PDF adjunto.

Los PDF son sencillos, multiplataforma y universalmente confiables. Pueden contener imágenes, enlaces interactivos y logotipos de aspecto oficial. Esto los hace perfectos para los atacantes que buscan pasar desapercibidos, razón por la cual los hackers están obsesionados con ellos actualmente.

Las principales marcas suplantadas en correos electrónicos con archivos PDF adjuntos. Fuente: Cisco Talos

En los últimos meses, los analistas de ciberseguridad han observado un fuerte aumento en los ataques de phishing enviados a través de archivos PDF. Estos PDF están diseñados para imitar comunicaciones legítimas de gigantes tecnológicos y proveedores de servicios para engañar a las víctimas y que revelen sus credenciales o descarguen malware.

Según información de Cisco Talos, entre el 5 de mayo y el 5 de junio de 2025, la suplantación de identidad de marca mediante archivos PDF adjuntos se disparó. Las marcas más suplantadas son Microsoft y DocuSign. NortonLifeLock, PayPal y Geek Squad se encontraban entre las marcas más suplantadas en correos electrónicos TOAD (abreviatura en inglés de entrega de ataques telefónicos) con archivos PDF adjuntos.

Las campañas de phishing son globales, y muchas se originan desde direcciones IP ubicadas en EE. UU. y Europa.

Las direcciones IP de origen de los intentos de suplantación de marca mediante archivos PDF adjuntos

¿Cómo explotan los atacantes los archivos PDF?

Un ataque reciente suplantó a Microsoft con un asunto engañoso como "Incremento de sueldo", programado estratégicamente durante periodos de probables ascensos o cambios por méritos en diversas organizaciones.

El PDF parecía un documento estándar de RR. HH., lo suficientemente creíble como para que la víctima escaneara el código QR que la redirigía a un sitio web de robo de credenciales. Dropbox también se utiliza a menudo como plataforma para distribuir PDF maliciosos.

Un correo electrónico de phishing con código QR que suplanta la marca Microsoft

También existen los ataques TOAD. Estos PDF de phishing no buscan que la víctima simplemente haga clic en un enlace, sino que los estafan mediante una llamada telefónica. Los estafadores suelen enviar mensajes sobre errores de facturación, actividad sospechosa o renovaciones de suscripción, incluyendo un número de atención al cliente.

La mayoría de los números de teléfono utilizados en estas estafas por correo electrónico son números de Voz sobre Protocolo de Internet (VoIP), que son mucho más difíciles de rastrear hasta una persona real o una ubicación física que las líneas telefónicas estándar.

Los estafadores también están abusando de plataformas legítimas como el servicio de firma electrónica de Adobe. Entre abril y mayo de 2025, Talos detectó PDF enviados a través del sistema de Adobe, haciéndose pasar por marcas como PayPal.

Un correo electrónico de phishing con código QR que suplanta las marcas Microsoft y Adobe

Los PDF también son un excelente medio para el phishing con códigos QR, que actualmente está en pleno auge. Estos códigos suelen suplantar la identidad de empresas como Microsoft o Adobe.

Además, existe otra táctica peligrosa: el abuso de las anotaciones en archivos PDF. Los PDF pueden ocultar enlaces en lugares como comentarios, notas adhesivas o campos de formulario. Muchos escáneres ignoran todas estas áreas.

Los atacantes también inundan los archivos con texto irrelevante para confundir a los motores de detección. En algunos casos, incrustan dos URL: una aparentemente limpia (para generar confianza) y otra oculta que lleva a la página de phishing real.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / AMD Zen 6 con hasta 240 MB de caché L3

Hoy a las 12:30:52 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

AMD está trabajando en su tecnología de caché L3 apilada en 3D de tercera generación, y esta traerá dos cambios muy importantes que permitirán aumentar muchísimo la cantidad total de caché L3 por chiplet.

El primer cambio será un aumento de la cantidad total de caché L3 por capa. En su versión actual, la caché L3 apilada en 3D de AMD tiene una capacidad de 64 MB, pero con el salto a la tercera generación esta aumentará hasta los 96 MB, lo que supone un incremento del 50%.

En segundo lugar, AMD podrá apilar hasta dos capas de caché L3 en 3D por cada chiplet CPU (unidad CCD), lo que significa que podrá aumentar la caché hasta los 192 MB con esta nueva tecnología. Impresionante, sin duda.

Sumando la caché L3 que tendría un chiplet CPU basado en Zen 6 (48 MB según los últimos rumores), tenemos que AMD sería capaz de diseñar un procesador de 12 núcleos y 24 hilos con la impresionante cifra de 240 MB de caché L3 (48 MB + 192 MB apilados en 3D).

¿Qué ventajas tendría tanta caché L3 en un procesador Zen 6?

La caché L3 de un procesador es muy importante porque actúa como un bloque donde la CPU puede guardar instrucciones y datos a los que tendrá que acceder con cierta frecuencia.

Esta memoria es mucho más rápida que la RAM, tiene una latencia inferior, está pegada al procesador y este puede acceder a ella de forma directa, mientras que la RAM está colocada en ranuras alejadas de este, y para acceder a ellas necesita pasar por la controladora de memoria.

Todo esto implica que el procesador puede acceder más rápido y comunicarse a mayor velocidad con la caché L3 que con la RAM. Tener una mayor cantidad de caché L3 ayuda mejorar el rendimiento del procesador porque este puede guardar una mayor cantidad de datos e instrucciones, reduciendo así la cantidad de veces que tiene que recurrir a la RAM. Así de simple.

Los juegos son las aplicaciones que más se benefician de una mayor cantidad de caché L3, lo que significa que un procesador Zen 6 con 12 núcleos y 24 hilos acompañado de 240 MB de caché L3 debería ser una auténtica bestia en juegos. No obstante, no tengo claro cómo de bueno será el escalado de la caché L3 al aumentar hasta un nivel tan elevado, así que os recomiendo controlar un poco las expectativas.

Con esto quiero decir que tener 240 MB de caché L3 no significa que un procesador vaya a doblar su rendimiento en juegos frente a otro con 96 MB de caché L3. Si este rumor se cumple estoy seguro de que el aumento de rendimiento será mucho más modesto, pero suficiente para poner las cosas difíciles a Intel.

Fuente:
MuyComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Samsung Galaxy G Fold: plegable triple con 4 pantallas

Hoy a las 12:24:51 AM

Galaxy G Fold es el nombre elegido por Samsung para su nuevo smartphone plegable. Un desarrollo impresionante cuyas características se han revelado en la última versión beta del sistema operativo One UI 8.

Hablar de móviles plegables es hablar de Samsung porque la firma surcoreana acapara un 70% de este segmento de mercado. Y no parece que vaya a perder su posición de privilegio hasta que no llegue el esperado iPhone plegable. De hecho, la semana que viene Samsung celebrará un nuevo evento Unpacked donde presentará su nueva generación de móviles plegables, Fold7 y Flip7.

No es un formato de ventas masivas, pero sí son terminales muy rentables donde se muestra las últimas tecnologías disponibles en pantallas flexibles y en su aplicación en smartphones.

Galaxy G Fold, otro nivel

Si los Galaxy Z apuestan por el plegado simple, el nuevo modelo sube de nivel con un sistema de plegado adicional. Samsung no quiere restar protagonismo a sus plegables generales y el que nos ocupa se fabricará en edición limitada y llegará al mercado a finales de 2025. Su precio estimado de 4 millones de wones coreanos (alrededor de 3.000 dólares) ya nos indica que no será un producto de ventas masivas.

La pantalla flexible es la clave de todos los plegables y aquí la división Samsung Display echará el resto con la producción de un panel OLED flexible que se encajará en un sistema de doble plegado que nos deja las tres pantallas interiores que ve en las imágenes. Se calcula que cuando esté totalmente desplegado ofrecerá 10 pulgadas de diagonal, el de un tablet de medio formato y lo mayor visto nunca en un smartphone.

A pesar de su gran tamaño desplegado, debido a las limitaciones de grosor y a las temperaturas que se alcanzan en su interior, dicen las fuentes que la batería no superará los 5600 mAh del Huawei Mate XT, su competidor más directo. En cuanto a su motor de hardware, se apunta a un Snapdragon 8 Elite de Qualcomm.

La etiqueta 'G' de su nombre pretende indicar su sistema de plegado, con dos pliegues internos en lugar de uno interno y otro externo como el del Mate XT de Huawei. El dispositivo contará con un total de cuatro pantallas, las tres interiores y una pantalla de cubierta frontal ubicada entre dos bordes.

En cuanto a las cámaras, vemos tres sensores alineados verticalmente para la cámara principal. Además, dos de los cuatro paneles tienen una cámara para autofotos. Con este tipo de diseño y su gran tamaño, el Galaxy G Fold podrá usarse en varias configuraciones. Su alto precio limitará las ventas, aunque Samsung lo posicionará como prueba de concepto para tantear cómo está el mercado respecto a estos diseños y la experiencia en su desarrollo podrá trasladarse a la línea general de plegables.

A este respecto, señalar que además de la nueva generación Galaxy Z Fold7 y Flip7, la compañía está desarrollando un Flip FE más económico para 'democratizar' el uso de plegables.

Fuente:
AndroidAuthority
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía (Compendio y Traducción):
MuyComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Fallo en el spyware Catwatchful expuso inicios de sesión de víctimas

Julio 04, 2025, 11:33:38 PM

Una falla en el software espía Catwatchful para Android expuso toda su base de datos de usuarios, filtrando direcciones de correo electrónico y contraseñas en texto plano tanto de los clientes como de su administrador, según informó TechCrunch.

El investigador de seguridad Eric Daigle fue el primero en descubrir la vulnerabilidad.

Catwatchful es un software espía (spyware) que se hace pasar por una aplicación de monitoreo infantil y afirma ser "invisible e indetectable", mientras sube el contenido privado del teléfono de la víctima a un panel visible para quien la instaló. Los datos robados incluyen fotos, mensajes y datos de ubicación en tiempo real de las víctimas. La aplicación también puede acceder remotamente al audio ambiental en vivo del micrófono del teléfono y acceder a las cámaras frontal y trasera.

Las aplicaciones de software espía como Catwatchful están prohibidas en las tiendas de aplicaciones y dependen de que alguien con acceso físico al teléfono de una persona las descargue e instale. Por ello, estas aplicaciones se conocen comúnmente como "stalkerware" (o software de pareja) por su propensión a facilitar la vigilancia no consentida de cónyuges y parejas, lo cual es ilegal.

Catwatchful es el último ejemplo de una creciente lista de operaciones de stalkerware que han sido hackeadas, violadas o que han expuesto de alguna otra forma los datos que obtienen. Este incidente pone de manifiesto cómo el spyware de consumo sigue propagándose, a pesar de estar a menudo mal diseñado y plagado de fallos de seguridad que ponen tanto a los usuarios como a las víctimas en riesgo de fugas de datos.

"Según una copia de la base de datos de principios de junio, a la que TechCrunch ha tenido acceso, Catwatchful tenía las direcciones de correo electrónico y las contraseñas de más de 62.000 clientes y los datos telefónicos de los dispositivos de 26.000 víctimas", afirma el informe publicado por TechCrunch.

La mayoría de las víctimas del spyware Catwatchful se encontraban en México, Colombia, India y otros países latinoamericanos, con algunos datos que datan de 2018. La base de datos también expuso al administrador de la operación, Omar Soca Charcov, de Uruguay, quien no respondió a las solicitudes de comentarios. TechCrunch compartió los datos filtrados con Have I Been Pwned para ayudar a informar a las posibles víctimas de la filtración.

Catwatchful sube secretamente los datos de las víctimas a una base de datos de Firebase, accesible para los usuarios a través de un panel web. Tras registrarse, los usuarios reciben un APK preconfigurado que requiere acceso físico para su instalación. Una vez activo, permite el espionaje en tiempo real. El investigador de seguridad Eric Daigle encontró una falla de inyección SQL que expuso toda la base de datos de Firebase, revelando inicios de sesión en texto plano, contraseñas de 62050 cuentas y vínculos entre usuarios y dispositivos.

El segundo aspecto destacable es que todos los datos personales recopilados aquí parecen estar almacenados en Firebase, proporcionados desde las URL de Cloud Storage con el formato No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Interceptar el tráfico de mi teléfono de prueba confirma que los archivos se suben directamente a Firebase y revela que los comandos para funciones como las fotos en vivo también se gestionan a través de FCM. Según el informe publicado por Daigle, un atacante puede usar la información de la base de datos para acceder a cualquier cuenta. Daigle compartió sus hallazgos con Zack Whittaker, editor de seguridad de TechCrunch, quien contactó a Google el 23 de junio de 2025. Google lo detectó a través de Navegación Segura, mientras que el equipo de Firebase afirmó estar investigando, pero la base de datos seguía en línea en ese momento.

A continuación, se muestra la cronología de esta vulnerabilidad:

09/06/2025: Se descubre la vulnerabilidad. Se contacta a Zack (Zack Whittaker, editor de seguridad de TechCrunch).

23/06/2025: Zack contacta a Google, quien la reporta en Navegación Segura. El equipo de Firebase afirma estar investigándola (la base de datos sigue activa al momento de escribir este artículo).

25/06/2025: Zack contacta a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que aloja No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (el sitio web está inactivo al final del día, lo que interrumpe el servicio) y a la persona identificada como la que lo ejecuta (sin respuesta al momento de escribir este artículo).

26/06/2025: Se restaura el servicio y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta es reemplazado por No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que aún es vulnerable.

27/06/2025: Se activa un WAF en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, bloqueando con éxito la SQLI.

02/07/2025: Publicación

TechCrunch informó que la presencia de Catwatchful puede detectarse y desinstalarse marcando "543210" en el dispositivo infectado.

"Este código es una función de puerta trasera integrada que permite a quien instaló la aplicación recuperar el acceso a la configuración una vez que esta se oculta. Este código también puede ser utilizado por cualquier persona para comprobar si la aplicación está instalada", concluye TechCrunch.

Fuente:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Nuevo dispositivo utiliza un láser para derribar 30 mosquitos por segundo

Julio 04, 2025, 11:16:02 PM

Hay una nueva campaña de financiación colectiva muy popular que promete un dispositivo portátil todo en uno para matar mosquitos con láser por tan solo $498. Jim Wong ha creado una página en IndieGogo para la "Primera Defensa Aérea Portátil contra Mosquitos del Mundo", llamada Photonmatrix.

Las principales atracciones de Photonmatrix son su escáner LiDAR combinado con un láser dirigido por galvanómetro que puede buscar y destruir mosquitos a una velocidad de hasta 30 plagas por segundo. Además, esta defensa contra mosquitos en miniatura de Star Wars funciona en la oscuridad, tiene un radio de hasta 6 m (19,7 pies) y puede cargarse con una batería externa de smartphone hasta por 16 horas.

El producto láser neutralizador de mosquitos de Wong está disponible en dos ediciones. La principal diferencia entre las ediciones Basic y Pro es que el modelo Basic tiene un radio de acción menor, de 3 m (9,8 pies) como máximo, que se duplica con la edición Pro, alcanzando una zona libre de mosquitos de 6 m (19,7 pies) de radio.

La versión Pro también tiene un precio considerablemente superior. Si el radio adicional te resulta atractivo para tu implementación, te costará $200 adicionales. En otras palabras, el precio para patrocinadores de la Photonmatrix Pro es de $698.

En cuanto a precios, los $498 (Básico) y $698 (Pro) mencionados anteriormente son estándar durante la duración de este proyecto de IndieGogo. Sin embargo, aún hay plazas disponibles para patrocinadores de la versión Básica-Earlybird, lo que te permite ahorrar $40 sobre el precio de la versión Básica. La página del proyecto afirma que los productos Básico y Pro subirán a $698 y $898, respectivamente, una vez finalizada la campaña de financiación colectiva.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El equipo estándar que recibirán los patrocinadores del proyecto incluye la unidad Lidar/láser en configuraciones de alimentación Básica o Pro, una base localizadora, un soporte, una fuente de alimentación y un cable conector de CC de 2 m. Los extras opcionales incluyen una base giratoria, baterías externas de diversas capacidades y un adaptador para convertir las baterías externas de smartphones a los 24 V necesarios.

Wong afirma que un Photonmatrix puede funcionar hasta 16 horas con una batería externa de 39 200 mAh. Wong vende paquetes de baterías para esta solución láser de eliminación de insectos con clasificación IP68 por hasta 98 $. Cabe destacar que el adaptador para usar su propia batería externa cuesta tan solo 10 $.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / La DDR4 ahora es más cara que la DDR5

Julio 04, 2025, 11:13:55 PM

Los precios de la memoria DDR4 han aumentado constantemente en los últimos meses debido a la escasez de suministro. Los principales fabricantes de DRAM, Micron, Samsung y SK hynix anunciaron a principios de este año que cesarían la producción de memoria DDR4 para finales de 2025, y CXMT, el mayor fabricante de memoria de China, hizo lo mismo en mayo. Debido a esto, el precio de los chips DDR4 se ha triplicado en tan solo dos meses.

ComputerBase informa que el precio del chip DDR4-3200 de 8 GB supera los 5 dólares (frente a los 1,75 dólares de finales de abril). La variante de doble paquete de este módulo de memoria DDR4 ahora tiene un precio promedio de 8,80 dólares, un aumento de más del 100 % desde los 3,57 dólares. Por ello, algunas empresas más pequeñas se han dado cuenta de que la DDR4 vuelve a ser rentable y han decidido ampliar la producción.

Por ejemplo, el fabricante de memoria taiwanés Nanya, con su amplia gama de memoria DDR4, se está beneficiando de estos aumentos de precios. Esto es especialmente cierto, ya que no produce LPDDR5 y solo cuenta con una línea limitada de productos DDR5. Por otro lado, es poco probable que fabricantes más grandes como Micron se sumen a esta tendencia, especialmente porque están destinando las líneas de producción liberadas a tecnologías actuales y futuras, como DDR5 y HBM.

El precio de algunos módulos DDR4 ha bajado ligeramente debido a esta noticia. Sin embargo, los precios se mantienen generalmente altos por el momento, especialmente porque los compradores probablemente aún estén abasteciéndose de chips de memoria DDR4 anticipando el fin de la producción. Esperamos que los precios se normalicen una vez que los fabricantes más pequeños recuperen su ritmo de producción, pero probablemente les llevará tiempo volver a sus niveles originales.

JEDEC introdujo oficialmente el estándar DDR5 en 2020, lo que significa que la tecnología ya lleva unos cinco años en el mercado. Si bien las CPU más recientes de Intel son compatibles con DDR4 y DDR5, los procesadores Zen 4 y superiores de AMD ahora solo son compatibles con DDR5. Además, el auge de la IA está convirtiendo la enorme demanda de chips HBM en un mercado lucrativo, impulsando a las principales empresas a migrar sus antiguas líneas DDR4 a la producción de HBM. Estos avances están desplazando a la DDR4 del mercado de forma lenta pero segura, pero debido a la cantidad de tecnologías antiguas que aún la utilizan, es probable que pase algún tiempo antes de que veamos realmente su fin.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Hacker filtra datos de Telefónica (España) supuestamente robados en nueva brecha

Julio 04, 2025, 05:12:10 PM

Un hacker amenaza con filtrar 106 GB de datos presuntamente robados de la compañía española de telecomunicaciones Telefónica en una brecha que la compañía no reconoció.

El actor de amenazas ha filtrado un archivo de 2,6 GB que se descomprime en cinco gigabytes de datos con poco más de 20 000 archivos para demostrar que se produjo la brecha.

Filtración parcial con datos presuntamente robados a Telefónica

La filtración supuestamente ocurrió el 30 de mayo y el hacker afirma haber tenido 12 horas de exfiltración de datos ininterrumpida antes de que los defensores revocaran el acceso.

El hacker que se atribuye la responsabilidad del ataque se conoce como "Rey" y es miembro del grupo Hellcat Ransomware, responsable de otra filtración en Telefónica en enero a través de un servidor interno de desarrollo y gestión de tickets de Jira.

Rey declaró a BleepingComputer que exfiltraron 385.311 archivos que totalizaban 106,3 GB de comunicaciones internas (por ejemplo, tickets, correos electrónicos), órdenes de compra, registros internos, registros de clientes y datos de empleados.

También indicaron que la filtración del 30 de mayo fue posible debido a una configuración incorrecta de Jira después de que la empresa solucionara el problema anterior.

BleepingComputer intentó en múltiples ocasiones desde el 3 de junio contactar con Telefónica por correo electrónico. También contactamos con varios empleados de la alta dirección, pero no recibimos confirmación de la filtración del 30 de mayo.

La única respuesta que recibimos vino de un empleado de Telefónica O2, quien desestimó el supuesto incidente como un intento de extorsión utilizando información obsoleta de un incidente previamente conocido.

Telefónica O2 es la marca de la compañía española para sus negocios de telecomunicaciones en el Reino Unido y Alemania.

Rey compartió una muestra y un árbol de archivos de los datos presuntamente robados de Telefónica el 30 de mayo. Algunos de los archivos incluían facturas a clientes comerciales en varios países, como Hungría, Alemania, España, Chile y Perú.

En los archivos que recibimos había direcciones de correo electrónico de empleados en España, Alemania, Perú, Argentina y Chile, y facturas de socios comerciales o clientes en países europeos.

El archivo más reciente que pudimos encontrar entre toda la información que Rey compartió data de 2021, lo que parece confirmar lo que nos dijo el representante de la compañía.

No obstante, el hacker insiste en que los datos provienen de una nueva brecha de seguridad del 30 de mayo. Para demostrarlo, comenzaron a filtrar parte de los archivos presuntamente robados.

Dado que Telefónica ha negado una reciente filtración de 106 GB que contenía datos de su infraestructura interna, publico aquí 5 GB como prueba. Pronto publicaré el árbol de archivos completo y, en las próximas semanas, si Telefónica no cumple, se publicará todo el archivo.

—dijo Rey.

Los datos se distribuyeron inicialmente mediante los servicios de almacenamiento y transferencia de datos PixelDrain, pero fueron eliminados tras unas horas por motivos legales.

Posteriormente, el actor de amenazas distribuyó otro enlace de descarga desde Kotizada, un servicio que posteriormente recurrió a otro, Kotizada, que Google Chrome marca como sitio peligroso y recomienda encarecidamente a los usuarios que lo eviten.

Hasta que Telefónica emita un comunicado oficial, no está claro si se trata de una nueva filtración de datos antiguos. Sin embargo, según los hallazgos de BleepingComputer, algunas de las direcciones de correo electrónico de la filtración pertenecen a empleados en activo.

El grupo de hackers HellCat no es nuevo en el sector y suele centrarse en atacar servidores Jira. Son responsables de múltiples ataques a empresas de alto perfil.

Reivindicaron la vulneración de datos en el proveedor suizo de soluciones globales Ascom, Jaguar Land Rover, Affinitiv Schneider Electric y Orange Group.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Falla crítica de “sudo” en Linux permite tomar el control del sistema

Julio 04, 2025, 04:52:53 PM

Millones de sistemas Linux en todo el mundo, incluyendo aquellos que ejecutan servicios críticos, son potencialmente vulnerables a una nueva falla de sudo, fácil de explotar, que permite a usuarios no autorizados ejecutar comandos como root en servidores Ubuntu, Fedora y otros.

Sudo es una utilidad que permite a los usuarios ejecutar comandos como root o superusuario en equipos Linux. El equipo de la Unidad de Investigación Cibernética (CRU) de Stratascale descubrió dos fallas críticas que afectan a sudo.

Investigadores de seguridad advierten que cualquier usuario puede obtener acceso sin restricciones rápidamente. Los atacantes pueden explotar esto, ejecutar comandos arbitrarios como root y tomar el control total del sistema.

El error apareció por primera vez en la versión 1.9.14, publicada en junio de 2023, y se corrigió en la última versión de sudo, 1.9.17p1, publicada el 30 de junio de 2025. La vulnerabilidad se ha verificado en servidores Ubuntu y Fedora, pero podría afectar a muchos más sistemas.

"Estas vulnerabilidades pueden provocar la escalada de privilegios a root en el sistema afectado", señala el informe:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Instan a los administradores a instalar los paquetes de sudo más recientes lo antes posible, ya que no existen otras soluciones alternativas.

"La configuración predeterminada de sudo es vulnerable", explica Rich Mirch, de la Unidad de Investigación Cibernética de Stratascale.

Los investigadores publicaron el código de prueba de concepto y otros equipos pudieron replicar los hallazgos.

Vulnerabilidad relacionada con la función chroot de sudo

Las fallas críticas residen en la opción chroot de sudo, poco utilizada. Esta opción modifica el directorio raíz de trabajo para un proceso específico y limita el acceso al resto del sistema de archivos.

Si bien su objetivo es bloquear a los usuarios en su directorio personal, las fallas les permiten evadir sus privilegios y elevarlos. Para explotarlas no es necesario definir reglas de sudo para el usuario.

"Como resultado, cualquier usuario local sin privilegios podría escalar privilegios a root si se instala una versión vulnerable", afirmó el investigador.

Para explotar esta falla, los atacantes tendrían que crear un archivo /etc/nsswitch.conf en el directorio raíz especificado por el usuario y engañar a sudo para que cargue la biblioteca compartida arbitraria. Este archivo define cómo el sistema resuelve las cuentas de usuario, los grupos, los nombres de host, los servicios, etc.

Los responsables de Sudo confirmaron el problema y descontinuaron la opción chroot en la versión 1.9.17p1. "Un atacante puede aprovechar la opción -R (--chroot) de sudo para ejecutar comandos arbitrarios como root, incluso si no están listados en el archivo sudoers", afirmaron en un aviso.

El script de Mirch demuestra cómo un atacante sin privilegios puede crear un directorio temporal, agregar un archivo con una función para otorgarse acceso root completo, compilar una biblioteca compartida maliciosa que la cargue y luego engañar a sudo con la opción chroot para que la ejecute con privilegios elevados. De esta forma, el atacante puede tomar el control total del sistema.

Debido a los riesgos de reducir la seguridad del entorno, se recomienda a los administradores evitar el uso de opciones chroot.

"Busque en su entorno cualquier uso de la opción chroot. Revise todas las reglas de Sudo definidas en /etc/sudoers y los archivos en /etc/sudoers.d. Si las reglas de Sudo están almacenadas en LDAP, utilice herramientas como ldapsearch para volcarlas", escribe Mirch.

Millones de sistemas podrían verse afectados por este error. La publicación alemana No tienes permitido ver enlaces. Registrate o Entra a tu cuenta incluso descubrió máquinas virtuales Ubuntu recién instaladas en un importante proveedor alemán de alojamiento en la nube que aún son vulnerables a la falla, a pesar de la existencia de un parche.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Hacker expone IP´s de usuarios de DarkForums: “Es temporada de cazar gatos..."

Julio 04, 2025, 04:47:49 PM

Un hacker afirma haber manipulado uno de los foros de cibercrimen más oscuros de internet, y podría tener razón.

Cybernews recibió recientemente un correo electrónico de un atacante que se hacía pasar por "test55". En el correo, afirmaba haber explotado el conocido mercado de cibercrimen DarkForums[.]st.

El atacante afirmó haber explotado la plataforma mediante la falsificación de solicitudes del lado del servidor (SSRF), una falla de seguridad web que permite engañar a un servidor para que envíe solicitudes a destinos no deseados.

Esto podría implicar acceder a sistemas internos a los que no se debe acceder desde el exterior, o engañar al servidor para que se comunique con sitios externos que controla el atacante, lo que podría filtrar información confidencial o permitirle profundizar aún más en la red.

Como prueba del éxito de la explotación, el actor de amenazas reveló una captura de pantalla. "¡DarkForums no es seguro para nadie!", escribió el atacante en un correo electrónico.

Los investigadores de Cybernews han comprobado las afirmaciones y confirmado su posible legitimidad. DarkForums ha lanzado desde entonces un servicio Tor para proteger a sus usuarios de la filtración de sus direcciones IP, aunque los administradores no han comentado sobre la supuesta vulnerabilidad.

"El atacante demostró una vulnerabilidad que le permitía recopilar las direcciones IP de quienes ven sus publicaciones", declaró el equipo de investigación de Cybernews.

"No está claro si logró explorar la vulnerabilidad a fondo y causar algún daño a DarkForums", añadió el equipo. Estas vulnerabilidades ponen en riesgo a los usuarios de foros clandestinos. Cuando se filtra la IP, se pierde el anonimato, especialmente si la configuración de VPN o Tor no es hermética.

Las fuerzas del orden vigilan constantemente estos espacios clandestinos, y una sola IP expuesta puede ser suficiente para empezar a atacar. Además, hackers rivales, estafadores y trolls oportunistas pueden usar esos mismos datos para doxear y suplantar la identidad de los usuarios de los foros.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10

Noticias Informáticas / El ransomware Hunters International se retira y lanza descifradores gratuitos

Julio 04, 2025, 04:46:08 PM

La operación de ransomware como servicio (RaaS) Hunters International anunció el cierre oficial de sus operaciones y ofrecerá descifradores gratuitos para ayudar a las víctimas a recuperar sus datos sin pagar un rescate.

"Tras una cuidadosa consideración y a la luz de los recientes acontecimientos, hemos decidido cerrar el proyecto Hunters International. Esta decisión no se tomó a la ligera y reconocemos el impacto que tiene en las organizaciones con las que hemos interactuado", afirma la banda de ciberdelincuentes en un comunicado publicado hoy sobre su filtración en la dark web.

"Como gesto de buena voluntad y para ayudar a las personas afectadas por nuestras actividades anteriores, ofrecemos software de descifrado gratuito a todas las empresas afectadas por nuestro ransomware. Nuestro objetivo es garantizar que puedan recuperar sus datos cifrados sin la carga de pagar rescates".

Los actores de amenazas también eliminaron todas las entradas del portal de extorsión y añadieron que las empresas cuyos sistemas fueron cifrados en los ataques de ransomware Hunters International pueden solicitar herramientas de descifrado y guías de recuperación en el sitio web oficial de la banda.

Aunque el grupo de ransomware no explica a qué "acontecimientos recientes" se refiere, el anuncio de hoy sigue a un comunicado del 17 de noviembre que afirmaba que Hunters International cerraría pronto debido al mayor escrutinio de las fuerzas del orden y la disminución de la rentabilidad.

La firma de inteligencia de amenazas Group-IB también reveló en abril que Hunters International estaba renovando su marca con planes para centrarse en el robo de datos y los ataques exclusivamente de extorsión, y que había lanzado una nueva operación exclusivamente de extorsión conocida como "World Leaks".

"A diferencia de Hunters International, que combinaba el cifrado con la extorsión, World Leaks opera como un grupo dedicado exclusivamente a la extorsión y utiliza una herramienta de exfiltración personalizada", declaró Group-IB en aquel momento, añadiendo que la nueva herramienta parece ser una versión mejorada de la herramienta de exfiltración de Storage Software utilizada por las filiales de ransomware de Hunters International.

Hunters International surgió a finales de 2023 y fue señalada por investigadores de seguridad y expertos en ransomware como una posible renovación de la marca Hive debido a las similitudes en su código. El malware del grupo de ransomware se dirige a una amplia gama de plataformas, como Windows, Linux, FreeBSD, SunOS y ESXi (servidores VMware), y también es compatible con arquitecturas x64, x86 y ARM.

En los últimos dos años, Hunters International ha atacado a empresas de todos los tamaños, con exigencias de rescate que van desde cientos de miles hasta millones de dólares, dependiendo del tamaño de la organización atacada.

La banda de ransomware se ha atribuido la responsabilidad de casi 300 ataques en todo el mundo, lo que la convierte en una de las operaciones de ransomware más activas de los últimos años.

Entre las víctimas más destacadas que Hunters International ha reclamado se encuentran el Servicio de Alguaciles de EE. UU., el gigante japonés de la óptica Hoya, Tata Technologies, el concesionario norteamericano de automóviles AutoCanada, el contratista de la Marina estadounidense Austal USA e Integris Health, la red de atención médica sin fines de lucro más grande de Oklahoma.

En diciembre de 2024, Hunters International también hackeó el Centro Oncológico Fred Hutch, amenazando con filtrar los datos robados de más de 800 000 pacientes con cáncer si no se les pagaba.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11

Noticias Informáticas / Un hacker analiza datos "eliminados" en GitHub y obtiene $25,000 en recompensas

Julio 04, 2025, 04:44:14 PM

Las confirmaciones de GitHub nunca se eliminan por completo, y algunos desarrolladores lo están descubriendo por las malas. Un hacker de sombrero blanco Sharon Brizinov analizó las confirmaciones pendientes de GitHub "eliminadas" y encontró miles de secretos que otorgaban incluso acceso de administrador a todos los repositorios de los desarrolladores, obteniendo 25 000 $ en recompensas en el proceso.

Los desarrolladores suelen usar envíos forzados en GitHub para eliminar errores anteriores. Sin embargo, a menudo olvidan que el historial de Git lo conserva todo, incluso cuando se eliminan archivos.

eL investigador de seguridad asumió correctamente que las confirmaciones pendientes restantes, guardadas por GitHub "para siempre", podrían contener secretos muy sensibles.

"Analicé cada evento de envío forzado desde 2020 y descubrí secretos por un valor de 25 000 $ en recompensas por errores", detalla Brizinov en la entrada del blog de Truffle Security.

Aún más sorprendente es que el hacker de sombrero blanco utilizó una herramienta "codificada por vibración" (generada por IA) para escanear GitHub y descubrir miles de secretos activos.

Las filtraciones de secretos de MongoDB fueron las más frecuentes (1247), pero Brizinov también obtuvo cientos de secretos de TelegramBotTokens, Postgres, Infura, OpenWeather y AWS. Los desarrolladores expusieron inadvertidamente 162 tipos de secretos.

Más de la mitad de las credenciales filtradas se encontraron en archivos .env expuestos, dejando la otra mitad para el resto de los nombres de archivo, como index.js, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, app.js, server.js y otros.

"Los secretos filtrados más interesantes fueron los tokens PAT de GitHub y las credenciales de AWS. ¡Estos también generaron las recompensas más altas!", afirmó Brizinov.

Los secretos activos son extremadamente sensibles y podrían provocar importantes brechas de seguridad.

Uno de los hallazgos fue un token PAT de GitHub, que otorga acceso de administrador a todos los repositorios pertenecientes al desarrollador Istio. El proyecto Istio se utiliza ampliamente para la gestión y seguridad de microservicios. Cuenta con 36 000 estrellas y 8000 bifurcaciones. La posible vulneración de la cadena de suministro podría afectar a grandes corporaciones como Google, IBM, Red Hat y otras.

"Podría haber leído variables de entorno, modificado pipelines, enviado código, creado nuevas versiones o incluso eliminado todo el proyecto. La posibilidad de un ataque masivo a la cadena de suministro en este caso era alarmante", explica Brizinov.

Brizinov obtuvo previamente $64,000 adicionales gracias a archivos eliminados en GitHub. La investigación posterior se centró en el escaneo de eventos de envío forzado, que suelen ocurrir cuando los desarrolladores fuerzan un cambio en la referencia HEAD de la confirmación actual, sobrescribiendo así el historial de confirmaciones.

El investigador explica que los desarrolladores prefieren esta acción cuando confirman accidentalmente datos que contienen un error, como credenciales predefinidas. Sin embargo, no rotan las credenciales expuestas.

Herramienta codificada en Vibe ahora disponible para todos

Si se siente afortunado, ahora puede intentar escanear GitHub con el script que usó Brizinov. El investigador compartió el código en GitHub:

La herramienta utiliza la API de eventos de GitHub, que permite a los usuarios recuperar información sobre los eventos que ocurren dentro de GitHub, y GitHub Archive, un servicio que escucha el flujo de eventos de GitHub y lo archiva.

"Usé vercel v0 para codificar en Vibe una plataforma completa para clasificar estos secretos de 'Oops Commit'", dijo Brizinov.

Revisar los secretos descubiertos sigue siendo una tarea manual, pero el investigador espera automatizarla posteriormente.

"Estos datos podrían entonces pasarse a un agente basado en LLAMA que analiza e identifica secretos potencialmente valiosos".

Brizinov advierte a los desarrolladores que siempre consideren los secretos expuestos como comprometidos y los revoquen inmediatamente.

Los investigadores ya habían advertido que todo lo publicado en GitHub permanece allí indefinidamente. Solo en 2024, los desarrolladores comprometieron código con más de 23 millones de nuevos secretos codificados, según descubrió la firma de seguridad GitGuardian.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12

Noticias Informáticas / España detiene a hackers que atacaron a políticos y periodistas

Julio 03, 2025, 05:27:20 AM

La policía española ha detenido a dos personas en la provincia de Las Palmas por su presunta participación en actividades cibercriminales, incluyendo el robo de datos del gobierno español.

El dúo ha sido descrito como una "grave amenaza para la seguridad nacional" y centró sus ataques en altos funcionarios estatales, así como en periodistas. Filtraron muestras de los datos robados en línea para ganar notoriedad e inflar el precio de venta.

"La investigación se inició cuando los agentes detectaron la filtración de datos personales que afectaban a altas instituciones del Estado a través de diversos canales de comunicación y redes sociales", reza el comunicado policial.

"Estos datos sensibles estaban directamente vinculados a políticos, miembros de los gobiernos central y regional, y profesionales de los medios de comunicación".

Se cree que el primer sospechoso se especializaba en la exfiltración de datos, mientras que el segundo gestionaba la parte financiera vendiendo el acceso a bases de datos y credenciales, y custodiando la billetera de criptomonedas que recibía los fondos.

Los dos fueron detenidos ayer en sus domicilios. Durante los allanamientos, la policía confiscó una gran cantidad de dispositivos electrónicos que podrían dar lugar a más pruebas incriminatorias, compradores o co-conspiradores.

En los últimos años, la policía española ha logrado rastrear y detener a varios ciberdelincuentes de alto perfil. En febrero, arrestaron a un hacker que se cree que vulneró la seguridad de la Guardia Civil, el Ministerio de Defensa, la OTAN, el Ejército de EE. UU. y varias universidades de todo el mundo.

El pasado junio, un joven británico vinculado al conocido grupo de hackers Scattered Spider, presuntamente involucrado en ataques a 45 empresas estadounidenses, fue arrestado en Palma de Mallorca.

Anteriormente, en diciembre de 2023, la policía española arrestó a los presuntos líderes del grupo de hackers Kelvin Security, considerados responsables de 300 ciberataques contra organizaciones en 90 países durante tres años.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13

Noticias Informáticas / Falsos wallet add-ons inundan la tienda de Firefox para drenar las criptomonedas

Julio 03, 2025, 05:24:20 AM

Más de 40 extensiones falsas en la tienda oficial de complementos de Firefox se hacen pasar por monederos de criptomonedas populares de proveedores confiables para robar credenciales de monederos y datos confidenciales.

Algunas extensiones se hacen pasar por monederos de Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr y MyMonero, e incluyen código malicioso que envía la información robada a servidores controlados por atacantes.

Extensiones de monederos falsos

Extensiones de billetera falsas en la tienda de complementos de Firefox

Los investigadores de Koi Security encontraron las extensiones peligrosas junto con evidencia que indica que detrás de la campaña se encuentra un grupo de amenazas de habla rusa.

En un informe compartido, los investigadores afirman que muchos de estos complementos de navegador son clones de versiones de código abierto de monederos legítimos con lógica maliciosa añadida.

Koi Security presenta ejemplos de detectores de eventos de entrada y clic en el código, que monitorean la entrada de datos confidenciales de la víctima.

Fragmentos de código malicioso en las extensiones

El código verifica cadenas de entrada con más de 30 caracteres para filtrar claves/frases semilla de monedero realistas y exfiltra los datos a los atacantes.

Los diálogos de error se ocultan al usuario estableciendo la opacidad a cero para cualquier elemento que pueda alertarle de la actividad.

Las frases semilla (frases de recuperación/mnemónicas) son claves maestras que suelen constar de varias palabras y que permiten a los usuarios recuperar o portar monederos a nuevos dispositivos.

Obtener la frase semilla de alguien permite robar todos los activos de criptomonedas del monedero. El robo se presenta como una transacción legítima y es irreversible.

La campaña ha estado activa desde al menos abril y parece que se añaden nuevas extensiones a la tienda de Firefox constantemente. Los investigadores afirman que las entradas maliciosas más recientes datan de la semana pasada.

Para generar confianza, los actores de amenazas utilizan los logotipos reales de las marcas que suplantan, mientras que muchas de las extensiones tienen cientos de reseñas falsas de cinco estrellas. Algunos de ellos también tienen una gran cantidad de reseñas de una estrella que denuncian la estafa, probablemente de usuarios que perdieron sus criptomonedas.

Extensiones falsas de Metamask en la tienda de Firefox

Aunque la mayoría de las reseñas de usuarios son obviamente falsas (superan con creces la cifra de instalaciones), muchos usuarios que no prestan atención a los detalles podrían ser engañados e instalarlas, arriesgándose así al robo de sus frases semilla.

Mozilla ha desarrollado un sistema de detección temprana para extensiones fraudulentas de criptomonedas. Este se basa en indicadores automatizados para evaluar el nivel de riesgo. Si se alcanza un umbral, revisores humanos analizan el envío y lo bloquean si es malicioso.

Koi Security informó que informaron de los hallazgos a la tienda de Firefox mediante la herramienta oficial de informes, pero las extensiones falsas seguían disponibles al momento de escribir este artículo.

Se contactó a Mozilla para obtener comentarios sobre el asunto y un portavoz nos envió lo siguiente:

"Tenemos conocimiento de intentos de explotar el ecosistema de complementos de Firefox mediante extensiones maliciosas que roban criptomonedas. Gracias a herramientas y procesos mejorados, hemos tomado medidas para identificar y desmantelar dichos complementos rápidamente. Recientemente publicamos una entrada en nuestro blog que aborda esta amenaza y cómo la estamos abordando para seguir protegiendo a los usuarios de Firefox.

El informe de Koi Security detalla parte de esta tendencia más amplia. Muchas de las extensiones mencionadas en el informe ya habían sido eliminadas por el equipo de revisión de complementos de Mozilla antes de su publicación, así como docenas de otras que se han enviado recientemente. Estamos revisando los pocos complementos restantes que identificaron como parte de nuestro compromiso continuo con la protección de los usuarios".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14

Noticias Informáticas / Verizon y T-Mobile niegan filtraciones de datos

Julio 03, 2025, 05:21:27 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

G_mic, un usuario de un foro sobre ciberdelincuencia, afirma haber vulnerado la seguridad de Verizon y T-Mobile US y haber robado una gran cantidad de datos que vende en formato CSV y JSON. Los datos incluyen información de 61 millones de clientes de Verizon (3,1 GB) y 55 millones de T-Mobile US.

Datos de Verizon

Según No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, el usuario marcó los datos con el año "2025", lo que sugiere que son recientes. Cuando un miembro del foro solicitó un enlace de descarga, la respuesta del vendedor fue inequívoca: "En venta". Para comprobar su autenticidad, obtuvimos una muestra directamente del vendedor. Tras el análisis, se confirmó que contenía la siguiente información sobre los clientes de Verizon.

Ciudad
Estado
Condado
Sexo
Código postal
Nombre completo
Nombre del operador
Direcciones IP
Número de teléfono
Correo electrónico
Estado de propiedad
Latitud y longitud
Dirección (número de casa, nombre de la calle)

Y más...

El conjunto completo de 61 millones de datos se vende por solo $600.

Para aquellos que no lo conocen, Verizon Communications Inc. es una importante empresa de telecomunicaciones con sede en la ciudad de Nueva York y, al 31 de marzo de 2025, atiende a una amplia base de clientes de 146 millones de suscriptores inalámbricos, lo que la convierte en el operador inalámbrico más grande de los Estados Unidos.

Publicación que muestra datos de Verizon reclamados para la venta

Postura de Verizon

Al ser contactado sobre la supuesta filtración, un portavoz de Verizon declaró que la compañía revisó los datos y cree que se trata de "datos antiguos, publicados previamente en la dark web, y que no están afiliados a nuestra empresa ni a nuestros clientes".

Datos de T-Mobile en EE. UU.

En la publicación de G_mic sobre los datos de T-Mobile en EE. UU., el usuario afirma que contienen los datos personales de 55 millones de clientes. Los datos, que actualmente se venden por $400, incluyen información personal y de contacto aparentemente actualizada para 2025.

Un análisis de los datos de muestra realizado por No tienes permitido ver enlaces. Registrate o Entra a tu cuenta muestra que contienen la siguiente información:

Número de identificación fiscal
Género
Nombre completo
Fecha de nacimiento
ID del dispositivo
ID de cookie
Direcciones IP
Correo electrónico
Números de teléfono
Dirección completa (ciudad, estado, código postal, condado)

Y más...

Publicación que muestra datos de T-Mobile reclamados para la venta

Postura de T-Mobile

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta contactó a T-Mobile y un portavoz respondió rápidamente, negando cualquier filtración de datos reciente. "Esto surgió hace semanas y lo investigamos. No hubo ninguna filtración de datos de T-Mobile. Estos datos no están relacionados con T-Mobile ni con sus clientes", declaró el portavoz.

Sin embargo...

Los usuarios de Verizon y T-Mobile deben mantener la cautela, ya que ambas compañías son blanco frecuente de hackers de alto perfil respaldados por estados y actores de foros de ciberdelincuencia. Los clientes de T-Mobile, en particular, deben estar alerta, ya que la compañía tiene un historial de filtraciones de datos donde los hackers han robado millones de registros de usuarios a lo largo de los años. Desde 2009 hasta mediados de 2025, se han confirmado al menos ocho incidentes.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15

Noticias Informáticas / Blind Eagle vinculado al host ruso Proton66 en ataques en Latinoamérica

Julio 03, 2025, 05:15:42 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Trustwave SpiderLabs, un equipo líder en investigación de ciberseguridad, ha vinculado con seguridad al grupo de ciberamenazas Blind Eagle (también llamado APT-C-36) con Proton66, una empresa rusa que ofrece servicios de hosting a prueba de bombas.

Blind Eagle es un actor de amenazas activo conocido por atacar a organizaciones en toda Latinoamérica, con especial atención a instituciones financieras en Colombia. Según se informa, este vínculo se debe al monitoreo continuo que SpiderLabs realizó a la infraestructura de Proton66 durante varios meses.

La infraestructura del ataque

Según la investigación de SpiderLabs, compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, sus analistas establecieron esta conexión examinando los activos vinculados a Proton66, lo que les llevó a una red interconectada de dominios y direcciones IP. Esta infraestructura, que se volvió notablemente activa en el verano de 2024 (con registros de dominios específicos observados a partir del 12 de agosto de 2024), depende en gran medida de servicios gratuitos de DNS dinámico (DDNS).

Su método de ataque inicial utiliza exclusivamente archivos Visual Basic Script (VBS). Estos scripts actúan como cargadores de troyanos de acceso remoto (RAT) comúnmente disponibles, software malicioso que permite a los atacantes controlar remotamente un equipo comprometido.

Análisis posteriores mostraron que algunas muestras de código VBS se solapaban con muestras previamente identificadas, generadas por un servicio llamado Vbs-Crypter, utilizado para ocultar y empaquetar cargas útiles maliciosas de VBS.

A pesar del alto valor potencial de sus objetivos, los actores de amenazas detrás de Blind Eagle mostraron sorprendentemente poco esfuerzo por ocultar su infraestructura operativa. Los investigadores encontraron numerosos directorios abiertos que contenían archivos maliciosos idénticos y, en algunos casos, incluso páginas completas de phishing diseñadas para suplantar la identidad de bancos colombianos reconocidos como Bancolombia, BBVA, Banco Caja Social y Davivienda. Estos sitios web falsos fueron creados para robar datos de inicio de sesión de usuarios y otra información financiera confidencial.

Página de phishing de Davivienda

Objetivos y Protección

Los sitios de phishing replicaban portales legítimos de inicio de sesión bancario mediante componentes web estándar. Además de estas páginas falsas, la infraestructura también albergaba scripts VBS que servían como primera etapa de la distribución del malware. Estos scripts incluían código diseñado para obtener privilegios administrativos en el equipo de la víctima y luego descargar cargas útiles adicionales, generalmente RAT comunes como Remcos o AsyncRAT.

Una vez infectado el sistema, estos RAT establecen una conexión con un servidor C2, lo que permite a los atacantes administrar los hosts comprometidos, robar datos y ejecutar comandos adicionales. Trustwave incluso observó un panel de administración de botnets con una interfaz en portugués, que mostraba un panel de control de las máquinas infectadas, principalmente en Argentina.

Trustwave confirmó previamente que la infraestructura de Proton66 está siendo explotada para actividades maliciosas, incluyendo campañas de los operadores del ransomware SuperBlack y la distribución de malware para Android.

Como informó No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, la infraestructura es un foco de ciberamenazas, incluyendo la distribución de malware para Android a través de sitios web de WordPress pirateados y ataques dirigidos que implementan malware específico como XWorm y Strela Stealer. Trustwave también detectó posibles conexiones con Chang Way Technologies, lo que indica el papel de Proton66 como facilitador clave para las operaciones cibercriminales.

La compañía advierte que las organizaciones en Latinoamérica, en particular las del sector financiero, deben reforzar su protección. Esto incluye fortalecer los sistemas de filtrado de correo electrónico, capacitar al personal para reconocer los intentos de phishing localizados y monitorear proactivamente los indicadores de amenazas y la infraestructura específica de la región.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16

Noticias Informáticas / Se rumora el resurgimiento de BreachForums… nuevamente

Julio 01, 2025, 02:17:32 AM

ShinyHunters e IntelBroker han sido desmantelados, pero BreachForums podría estar resurgiendo de todos modos.

Cybernews ha recibido un correo electrónico que afirma que el conocido mercado de hackers, BreachForums, volverá a estar disponible a partir del 1 de julio.

BreachForums desapareció repentinamente a mediados de abril, lo que desató una oleada de especulaciones en foros de la dark web y canales de Telegram. Algunos sospecharon de acciones de las fuerzas del orden. Otros señalaron a hackers rivales. Un grupo hacktivista llamado Dark Storm incluso se atribuyó la responsabilidad, sin ninguna prueba.

El 28 de abril, ShinyHunters reapareció brevemente para publicar una declaración firmada con PGP en la interfaz del sitio, culpando a una vulnerabilidad de día cero de MyBB y alegando que agencias gubernamentales habían intentado acceder a la base de datos del sitio.

BreachedForums reapareció brevemente a principios de junio con un nuevo dominio, "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta", y ShinyHunters supuestamente afirmó que el foro estaba creciendo y ganando mucha popularidad.

"Quiero aclarar que ningún miembro de nuestro equipo ha sido arrestado", escribió ShinyHunters en ese momento. Al momento de la publicación, el sitio web bajo este dominio era inaccesible.

A pesar de las afirmaciones, informes de las autoridades francesas han confirmado las especulaciones sobre el arresto. Según informes, arrestaron a cinco presuntos operadores de BreachForum en una redada coordinada. Entre los arrestados se encontraban cuatro conocidos hackers que utilizan los alias en línea "ShinyHunters", "Hollow", "Noct" y "Depressed".

La fiscalía estadounidense ha acusado a Kai West, ciudadano británico, de robo de datos y delitos cibernéticos relacionados, y busca extraditarlo desde Francia, según informó el Departamento de Justicia de Estados Unidos.

Se cree que ha operado BreachForums bajo la identidad digital ShinyHunters desde el arresto en 2023 de su anterior administrador, Pompompurin. ShinyHunters ha incluido previamente datos robados de Santander, AT&T y Ticketmaster.

Durante meses, circularon rumores de que otro conocido actor de amenazas, "IntelBroker", también había sido arrestado en febrero por las autoridades francesas.

Conocido por múltiples infracciones y filtraciones de datos de alto perfil, en 2024 IntelBroker se atribuyó ataques a Tesla, Apple, AMD y, anteriormente, a HomeDepot, General Electric, PandaBuy, el Servicio de Ciudadanía e Inmigración de Estados Unidos (USCIS) y Facebook Marketplace.

"ShinyHunters e IntelBroker han sido arrestados. Con ellos, los servidores y la base de datos fueron confiscados, y ahora están en manos de las autoridades estadounidenses y francesas", se lee en el correo electrónico que recibió Cybernews.

El correo electrónico también afirmaba que el rumor sobre la vulnerabilidad de día cero de MyBB era "desinformación".

"ShinyHunters lo publicó para ganar tiempo, con la esperanza de que IntelBroker volviera y restaurara el foro", escribe un actor de amenazas que se hace pasar por Jaw.

El actor de amenazas instó a los usuarios del foro a no reutilizar nombres de usuario o identidades antiguas por razones de seguridad.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17

Noticias Informáticas / Modelos de IA maliciosos están detrás de una nueva ola de ciberdelitos

Junio 30, 2025, 12:03:06 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva investigación de Cisco Talos revela un aumento en el uso indebido por parte de ciberdelincuentes de los Modelos de Lenguaje Grandes (LLM) para potenciar sus actividades ilícitas. Estas potentes herramientas de IA, conocidas por generar texto, resolver problemas y escribir código, están siendo manipuladas para lanzar ataques más sofisticados y generalizados.

Para su información, los LLM están diseñados con funciones de seguridad integradas, como la alineación (entrenamiento para minimizar el sesgo) y las barreras de seguridad (mecanismos en tiempo real para evitar resultados dañinos). Por ejemplo, un LLM legítimo como ChatGPT se negaría a generar un correo electrónico de phishing. Sin embargo, los ciberdelincuentes buscan activamente formas de evadir estas protecciones.

La investigación de Talos, destaca tres métodos principales utilizados por los adversarios:

LLM sin censura: Estos modelos, al carecer de restricciones de seguridad, generan fácilmente contenido sensible o dañino. Algunos ejemplos son OnionGPT y WhiteRabbitNeo, que pueden generar herramientas de seguridad ofensivas o correos electrónicos de phishing. Marcos como Ollama permiten a los usuarios ejecutar modelos sin censura, como Llama 2 Uncensored, en sus propias máquinas.

LLMs Criminales a Medida: Algunos ciberdelincuentes emprendedores están desarrollando sus propios LLMs, diseñados específicamente para fines maliciosos. Nombres como GhostGPT, WormGPT, DarkGPT, DarkestGPT y FraudGPT se anuncian en la dark web, ofreciendo funciones como la creación de malware, páginas de phishing y herramientas de hacking.

Jailbreaking de LLMs Legítimos: Esto implica engañar a los LLMs existentes para que ignoren sus protocolos de seguridad mediante ingeniosas técnicas de inyección de prompts. Los métodos observados incluyen el uso de lenguaje codificado (como Base64), la adición de texto aleatorio (sufijos adversariales), escenarios de rol (por ejemplo, DAN o jailbreak de la abuela) e incluso la explotación de la autoconciencia del modelo (meta prompting).

La dark web se ha convertido en un mercado para estos LLMs maliciosos. FraudGPT, por ejemplo, anunciaba funciones que iban desde la escritura de código malicioso y la creación de malware indetectable hasta la detección de sitios web vulnerables y la generación de contenido de phishing.

Sin embargo, el mercado no está exento de riesgos para los propios delincuentes: los investigadores de Talos descubrieron que el supuesto desarrollador de FraudGPT, CanadianKingpin12, estaba estafando a compradores potenciales de criptomonedas prometiéndoles un producto inexistente.

Más allá de la generación directa de contenido ilícito, los ciberdelincuentes utilizan los LLM para tareas similares a las de los usuarios legítimos, pero con un toque malicioso. En diciembre de 2024, Anthropic, desarrolladores de Claude LLM, señaló la programación, la creación de contenido y la investigación como los principales usos de su modelo. De igual forma, los LLM delictivos se utilizan para:

Programación: Creación de ransomware, troyanos de acceso remoto, limpiadores y ofuscación de código.

Creación de contenido: Generación de correos electrónicos de phishing, páginas de destino y archivos de configuración convincentes.

Investigación: Verificación de números de tarjetas de crédito robadas, análisis de vulnerabilidades e incluso la generación de ideas para nuevos esquemas delictivos.

Los LLM también se están convirtiendo en objetivos. Los atacantes distribuyen modelos con puertas traseras en plataformas como Hugging Face, integrando código malicioso que se ejecuta al descargarse. Además, los LLM que utilizan fuentes de datos externas (Recuperación de Generación Aumentada o RAG) pueden ser vulnerables al envenenamiento de datos, donde los atacantes manipulan los datos para influir en las respuestas del LLM.

Cisco Talos anticipa que, a medida que la tecnología de IA continúa avanzando, los ciberdelincuentes adoptarán cada vez más LLM para agilizar sus operaciones, actuando efectivamente como un "multiplicador de fuerza" para los métodos de ataque existentes en lugar de crear "armas cibernéticas" completamente nuevas.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18

Noticias Informáticas / Fallas de Bluetooth podrían permitir que le espíen a través de su micrófono

Junio 29, 2025, 11:58:58 PM

Las vulnerabilidades que afectan a un chipset Bluetooth presente en más de dos docenas de dispositivos de audio de diez fabricantes pueden explotarse para espiar o robar información confidencial.

Investigadores confirmaron que 29 dispositivos de Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs y Teufel están afectados.

La lista de productos afectados incluye altavoces, auriculares, audífonos y micrófonos inalámbricos.

Los problemas de seguridad podrían aprovecharse para tomar el control de un producto vulnerable y, en algunos teléfonos, un atacante dentro del alcance de conexión podría extraer el historial de llamadas y los contactos.

Espionaje a través de una conexión Bluetooth

En la conferencia de seguridad TROOPERS celebrada en Alemania, investigadores de la empresa de ciberseguridad ERNW revelaron tres vulnerabilidades en los sistemas en chip (SoC) Airoha, ampliamente utilizados en los auriculares True Wireless Stereo (TWS).

Los problemas no son críticos y, además de la proximidad física (alcance del Bluetooth), su explotación requiere un alto nivel de conocimientos técnicos. Recibieron los siguientes identificadores:

CVE-2025-20700 (6.7, puntuación de gravedad media): falta de autenticación para servicios GATT

CVE-2025-20701 (6.7, puntuación de gravedad media): falta de autenticación para Bluetooth BR/EDR

CVE-2025-20702 (7.5, puntuación de gravedad alta): capacidades críticas de un protocolo personalizado

Los investigadores de ERNW afirman haber creado un código de explotación de prueba de concepto que les permitió leer el contenido multimedia que se estaba reproduciendo desde los auriculares objetivo.

Leyendo la canción que se está reproduciendo actualmente desde un dispositivo Airoha vulnerable

Si bien un ataque de este tipo puede no representar un gran riesgo, otros escenarios que aprovechan los tres fallos podrían permitir a un atacante secuestrar la conexión entre el teléfono móvil y un dispositivo de audio Bluetooth y utilizar el perfil de manos libres Bluetooth (HFP) para enviar comandos al teléfono.

"El rango de comandos disponibles depende del sistema operativo móvil, pero todas las plataformas principales permiten al menos iniciar y recibir llamadas" - ERNW

Los investigadores lograron iniciar una llamada a un número arbitrario extrayendo las claves de enlace Bluetooth de la memoria de un dispositivo vulnerable.

Afirman que, dependiendo de la configuración del teléfono, un atacante también podría recuperar el historial de llamadas y los contactos.

También lograron iniciar una llamada y "espiar con éxito conversaciones o sonidos dentro del alcance auditivo del teléfono".

Además, el firmware del dispositivo vulnerable podría reescribirse para permitir la ejecución remota de código, facilitando así la implementación de un exploit susceptible de ser atacado por gusanos y propagarse a través de múltiples dispositivos.

Se aplican restricciones de ataque.

Aunque los investigadores de ERNW presentan escenarios de ataque graves, la implementación práctica a gran escala está limitada por ciertas limitaciones.

"Sí, la idea de que alguien pueda piratear tus auriculares, suplantarlos ante tu teléfono y potencialmente hacer llamadas o espiarte suena bastante alarmante".

"Sí, técnicamente es grave", afirman los investigadores, añadiendo que "los ataques reales son complejos de ejecutar".

La necesidad de sofisticación técnica y proximidad física limita estos ataques a objetivos de alto valor, como aquellos en la diplomacia, el periodismo, el activismo o sectores sensibles.

Airoha ha lanzado un SDK actualizado que incorpora las mitigaciones necesarias, y los fabricantes de dispositivos han comenzado el desarrollo y la distribución de parches.

Sin embargo, la publicación alemana Heise afirma que las actualizaciones de firmware más recientes para más de la mitad de los dispositivos afectados son del 27 de mayo o anteriores, antes de que Airoha entregara el SDK actualizado a sus clientes.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19

Noticias Informáticas / Facebook quiere que Meta AI acceda a tus fotos privadas no publicadas

Junio 29, 2025, 11:56:27 PM

Facebook lleva años usando tus fotos públicas, publicaciones e interacciones para entrenar su inteligencia artificial (IA), pero ahora quiere acceder a fotos que ni siquiera has subido.

Según TechCrunch, cuando los usuarios de Facebook crean una nueva historia, reciben una ventana emergente que les pregunta si desean activar el "procesamiento en la nube" para recibir sugerencias creativas.

Al hacer clic en "Permitir", Facebook genera nuevo contenido a partir de tu galería, como "collages, resúmenes, reestilizaciones con IA o temas para fotos". La plataforma explica que tomará contenido de tu galería y lo subirá a su nube de forma continua para generar ideas para ti.

Según el mensaje, Facebook no usará tu contenido para la segmentación de anuncios. Sin embargo, al hacer clic en "Permitir", también aceptas las Condiciones de Servicio de IA de Meta, que permiten que la IA analice tus fotos y rasgos faciales. Esto incluye a las personas y objetos que aparecen en las fotos, así como la fecha en que se tomaron.

Los términos también otorgan a Meta el derecho a conservar y utilizar cualquier información personal que usted haya compartido con ellos durante el proceso. La empresa no especifica la naturaleza de dichos datos, pero los denomina "información que usted envíe como avisos, comentarios u otro contenido".

Meta insiste en que la función es totalmente voluntaria y puede desactivarse cuando el usuario lo desee.

"Estas sugerencias son solo opcionales y solo se muestran a ti, a menos que decidas compartirlas, y puedes desactivarlas en cualquier momento", continuó. "El contenido del carrete de la cámara se puede usar para mejorar estas sugerencias, pero no para mejorar los modelos de IA en esta prueba", dijo Maria Cubeta, portavoz de Meta.

El gerente de relaciones públicas de Meta, Ryan Daniels, declaró a The Verge que actualmente no se está entrenando con fotos inéditas con esta nueva función. "[El titular de The Verge] implica que actualmente estamos entrenando nuestros modelos de IA con estas fotos, lo cual no es cierto. Esta prueba no utiliza fotos de personas para mejorar ni entrenar nuestros modelos de IA".

Si bien Google indica explícitamente en sus términos que no entrena modelos de IA generativos con datos personales obtenidos de Google Fotos, los términos de IA de Meta son imprecisos y no especifican si estas fotos inéditas se pueden usar para fines de entrenamiento.

La función se está probando actualmente en EE. UU. y Canadá.

Facebook utilizó publicaciones públicas de miles de millones de sus usuarios desde 2007 para mejorar significativamente su IA.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20

Noticias Informáticas / Brecha de seguridad de la aseguradora española Asemas

Junio 27, 2025, 03:25:15 AM

Asemas, una importante mutua de seguros española, ha sido presuntamente víctima de una importante filtración de datos. Un atacante publicó en un foro de la dark web y afirma estar en posesión de una base de datos con 11 millones de registros pertenecientes a la aseguradora.

La publicación, del 26 de junio de 2025, ofrece la base de datos completa a la venta e incluye una muestra para, aparentemente, validar sus afirmaciones.

Fundada en 1983, Asemas es un proveedor clave de seguros de responsabilidad civil profesional para arquitectos y otros profesionales del sector de la construcción español. La compañía asegura tanto a particulares como a empresas, por lo que el alcance de la presunta filtración es especialmente preocupante para este sector profesional. El origen de los datos parece ser una vulneración directa de las bases de datos de clientes y empresas de la compañía.

Los datos comprometidos supuestamente contienen una gran cantidad de información personal y financiera sensible.

Si se verifican las afirmaciones, este incidente podría exponer a las víctimas a un alto riesgo de fraude, robo de identidad y ataques de phishing dirigidos.

La siguiente información supuestamente está incluida en la base de datos filtrada:

ID del cliente

Nombre completo

Fecha de nacimiento

Documento de identidad

Tipo de cliente

Dirección

Código postal y ciudad

Número de teléfono

Correo electrónico

IBAN (Número de cuenta bancaria internacional)

Método de pago

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#21

Noticias Informáticas / El Doxxing de “IntelBroker”

Junio 27, 2025, 02:44:56 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las autoridades estadounidenses han acusado a Kai Logan West, ciudadano británico y conocido en línea como "IntelBroker", de una serie de filtraciones de datos de alto perfil que, en conjunto, causaron al menos 25 millones de dólares en daños a empresas de todo el mundo. El joven de 23 años fue arrestado en Francia en febrero de 2025 y ahora se enfrenta a la extradición a Estados Unidos para ser juzgado en el Distrito Sur de Nueva York.

Según informa No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, el arresto de IntelBroker fue seguido por el de varios otros, incluyendo a cuatro personas vinculadas al grupo de hackers ShinyHunters. Tanto IntelBroker como miembros de ShinyHunters participaron en la administración y moderación del foro sobre ciberdelitos y filtraciones de datos BreachForums.

La denuncia no sellada (PDF), fechada en febrero de 2025, expone la investigación de dos años del FBI sobre las operaciones de delitos cibernéticos de West, conectándolo con docenas de violaciones de datos, ventas de datos robados y el liderazgo de un colectivo de piratas informáticos que opera en foros de la web clara y oscura.

¿Quién es IntelBroker?

Usando alias como "IntelBroker" y "Kyle Northern", West se forjó una reputación en un foro de la web clara y oscura, conocido en la acusación como "Forum-1" (BreachForums). Operando bajo el nombre de un grupo de hackers llamado CyberN (anteriormente "The Boys"), IntelBroker ofrecía bases de datos pirateadas de agencias gubernamentales, proveedores de atención médica, empresas de telecomunicaciones y proveedores de servicios de internet.

Entre 2023 y principios de 2025, West fue autor de al menos 158 hilos que ofrecían datos robados en Forum-1, 41 de ellos relacionados con empresas estadounidenses. El FBI señala que se solicitaron al menos 2 millones de dólares en criptomonedas Monero a cambio de la información robada.

En 2024, IntelBroker fue catalogado como el "propietario" de Forum-1, y su fama se disparó al revelar gratuitamente algunas filtraciones de datos para aumentar su credibilidad, conseguir seguidores y atraer compradores.

Cómo el FBI rastreó a IntelBroker

Lo que West desconocía era que agentes del FBI lo vigilaban de cerca. La agencia desplegó agentes encubiertos que se hicieron pasar por compradores en el Foro-1. En al menos dos ocasiones, los agentes compraron datos robados directamente a IntelBroker.

En enero de 2023, un agente compró una clave API y credenciales de inicio de sesión para una empresa denominada "Víctima-7". Aunque el valor de las credenciales era limitado, la transacción se convirtió en un elemento clave para rastrear su identidad cuando IntelBroker solicitó el pago en Bitcoin (en lugar de Monero) y proporcionó una dirección de billetera que podía rastrearse en la cadena de bloques.

Los analistas de blockchain del FBI rastrearon el dinero y descubrieron que:

La billetera Bitcoin utilizada para la transacción se había generado desde otra billetera vinculada a una cuenta en una plataforma financiera llamada Ramp.

Esa cuenta de Ramp se registró con un permiso de conducir provisional del Reino Unido emitido a nombre de Kai Logan West.
La misma identidad, Kai West, también poseía una cuenta de Coinbase bajo el alias Kyle Northern, pero con verificación KYC, lo que confirma que se trataba de la misma persona.

Permiso de conducir provisional de Kai West (imagen a través de una denuncia del Departamento de Justicia de EE. UU.)

Para conectar aún más los hechos, ambas cuentas estaban vinculadas a una dirección de Gmail que West usaba para asuntos personales, incluyendo:

Selfies almacenados en la nube

Recibos y documentos de identidad

Comunicaciones sobre alojamiento y matrícula en universidades del Reino Unido

Vídeos que mostraban herramientas de red como "GPRS Smash"

El correo electrónico también incluía un certificado de estudiante que demostraba que West estaba matriculado en un programa de ciberseguridad.

Huellas en línea y actividad en el foro

West no solo realizó transacciones descuidadamente, sino que también se expuso al vincular su actividad en línea con su comportamiento personal. Sus publicaciones en IntelBroker en el Foro-1 a menudo hacían referencia a vídeos de YouTube que acababa de ver desde su cuenta de correo electrónico personal, y actualizaba periódicamente su firma para incluir a los miembros de su grupo de hackers, lo que facilitaba rastrear su participación en múltiples hilos.

Cuando el Foro-1 fue confiscado y cerrado en 2024 y luego relanzado, todas las publicaciones antiguas heredaron la firma actualizada, creando un rastro consistente de la actividad y las afiliaciones de West que se remonta a principios de 2023.

Uno de los videos de YouTube publicados por IntelBroker en BreachForums (imagen a través de una denuncia del Departamento de Justicia de EE. UU.)

Lista de Víctimas: Telecomunicaciones, Salud, Proveedores de Servicios de Internet

La acusación formal describe al menos seis víctimas, mencionadas únicamente como Víctimas 1 a 6. La Víctima 1, un proveedor de telecomunicaciones, sufrió la exfiltración y eliminación de datos de un servidor en Manhattan, lo que provocó daños estimados en cientos de miles de dólares.

La Víctima 3, un proveedor municipal de servicios de salud, sufrió el robo de datos personales y de salud de más de 56.000 personas, datos que West vendió posteriormente a un agente encubierto del FBI por 1.000 dólares en Monero. La Víctima 6, un proveedor de servicios de internet, fue comprometida utilizando información de filtraciones previas para vulnerar un servidor interno.

En cada caso, West ofreció muestras de prueba públicamente, negoció ventas mediante mensajes privados y solo aceptó Monero para mantener el anonimato, aunque el rastro documental se puso al día.

Las filtraciones de datos de IntelBroker y que reivindica:

AMD
Apple
Cisco
Nokia
Departamento de Defensa de EE. UU.
Europol
T-Mobile
Robert Half
Space Eyes
Home Depot
Tecnología en Asia
General Electric
Aeropuerto Internacional de Los Ángeles
HSBC y Barclays Bank
Facebook Marketplace
Servicio de comestibles Weee!
Hipermercado Lulu de los EAU
Contratista federal estadounidense Acuity
Hewlett Packard Enterprise (HPE)
Revista MIT Technology Review
Una empresa de ciberseguridad sin nombre, pero de primera línea

Cargos Penales

West ha sido acusado de cuatro delitos federales:

Fraude electrónico

Conspiración para cometer fraude electrónico

Conspiración para cometer intrusiones informáticas

Acceso a una computadora protegida para defraudar y obtener valor

Cada de estos delitos conlleva una posible pena de varios años de prisión, especialmente si involucran datos de salud o afectan infraestructuras críticas.

El agente especial del FBI, Carson Hughes, y el fiscal federal Jay Clayton destacaron el alcance global y el peligro de las operaciones de IntelBroker. El FBI calificó el caso como una "advertencia" para los ciberdelincuentes que creen que el anonimato en línea los protege de las consecuencias.

¿Trabajó IntelBroker para la Agencia Nacional contra el Crimen del Reino Unido?

Kai West se presentó profesionalmente como investigador de ciberseguridad y operaba bajo dos identidades distintas en LinkedIn: Kyle Northern y K West. Esto fue detectado inicialmente por Nathaniel Fried, cofundador y director ejecutivo de 0xbowio, quien compartió detalles de los perfiles duales de West con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Cabe destacar que el perfil de Kyle Northern afirmaba haber trabajado como investigador de seguridad en prácticas en la Agencia Nacional contra el Crimen (NCA) del Reino Unido de septiembre a octubre de 2019. De ser cierto, este puesto podría haber implicado el acceso a sistemas clasificados, ya que la NCA se ocupa de la delincuencia organizada grave y la seguridad nacional. Si bien la afiliación a la NCA sigue sin verificarse, la supuesta experiencia de West en ciberseguridad y su trayectoria académica sugieren que esta posibilidad no debe descartarse por completo.

Kai Logan West en LinkedIn

West en Francia mientras EE. UU. solicita su extradición

West permanece bajo custodia francesa, y las autoridades estadounidenses buscan activamente su extradición. De ser declarado culpable, podría enfrentar décadas de prisión. Mientras tanto, Forum-1 ha estado fuera de servicio desde abril de 2025, supuestamente debido a una vulnerabilidad de día cero en MyBB. Muchos de sus miembros han migrado desde entonces a otras plataformas, como DarkForums y el foro de ciberdelincuencia en ruso XSS.

La exposición de IntelBroker destaca como un importante desmantelamiento de ciberdelincuencia. Lo hizo posible gracias a una combinación de trabajo encubierto del FBI, rastreo de criptomonedas e incluso evidencia de correos electrónicos tradicionales, todo lo cual ayudó a rastrear a una de las figuras más conocidas en los foros de ciberdelincuencia.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#22

Noticias Informáticas / BreachForums: Miembros de ShinyHunters arrestados

Junio 27, 2025, 02:38:15 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En un importante avance contra la ciberdelincuencia global, las autoridades francesas han detenido a varias personas clave, consideradas fundamentales en la operación de BreachForums, un conocido mercado en línea donde se compra y vende información robada.

Las detenciones, llevadas a cabo por la Brigada de Ciberdelincuencia de Francia (BL2C) a principios de esta semana, se centran en figuras profundamente arraigadas en filtraciones de datos de alto perfil y en los persistentes intentos de reactivar el foro ilícito tras cierres previos.

Un comunicado de prensa de la Fiscalía de París confirma la detención el lunes de cuatro personas, identificadas por sus nombres de usuario ShinyHunters, Hollow, Noct y Depressed, todas veinteañeros.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estas detenciones son la continuación de una operación anterior realizada en febrero de 2025, en la que se detuvo a otro sospechoso destacado, conocido como IntelBroker, de nacionalidad británica. Cabe destacar que IntelBroker fue detenido en Francia.

Estos arrestos son particularmente significativos ya que se sospecha que estos individuos llevaron a cabo importantes violaciones de datos contra importantes entidades francesas, incluido el gigante minorista Boulanger, el proveedor de telecomunicaciones SFR, la agencia de empleo France Travail y la Federación Francesa de Fútbol.

Se estima que la filtración de datos que afectó únicamente a France Travail comprometió la información personal confidencial de la asombrosa cifra de 43 millones de personas.

Los nombres ShinyHunters e IntelBroker se han vinculado a numerosos incidentes graves de ciberdelincuencia. ShinyHunters se ha asociado con filtraciones de datos a gran escala, como las que afectaron a Salesforce, PowerSchool y los ataques de Snowflake que afectaron a empresas como Santander, Ticketmaster y AT&T. Se cree que este alias representa a un grupo de actores de amenazas, no a una sola persona.

IntelBroker saltó a la fama a través de violaciones de datos muy publicitadas dirigidas a organizaciones como Facebook Marketplace, Europol, General Electric, AMD, Apple HSBC y Barclays Bank, Space Eyes, Home Depot, Lulu Hypermarket de los Emiratos Árabes Unidos y US Contractor Acuity, y la violación de datos de T-Mobile, entre otros.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#23

Noticias Informáticas / Identificado el célebre hacker “IntelBroker” y acusado por el FBI

Junio 27, 2025, 01:54:04 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un ciudadano británico conocido en línea como "IntelBroker" ha sido acusado por Estados Unidos de robar y vender datos confidenciales de víctimas de todo el mundo, lo que ha causado daños estimados en 25 millones de dólares.

La acusación formal, revelada hoy por la Fiscalía de Estados Unidos para el Distrito Sur de Nueva York, acusa a Kai West, un británico de 25 años, de usar el nombre de usuario "IntelBroker" en una campaña que duró años para robar y vender datos de agencias y redes gubernamentales, empresas e infraestructuras críticas.

Según BleepingComputer, estos datos se vendían con mayor frecuencia en el foro de hackers BreachForums.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La información robada incluía historiales médicos confidenciales, archivos internos de empresas de telecomunicaciones y ciberseguridad, y datos de usuarios de plataformas en línea.

IntelBroker se ha convertido en uno de los ciberdelincuentes más notorios de los últimos años, vinculado a filtraciones de datos en Europol, General Electric, Weee!, AMD, HPE, Nokia y DC Health Link.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La acusación formal de cuatro cargos imputa a West de conspiración para cometer intrusiones informáticas, fraude electrónico, conspiración para cometer fraude electrónico y acceso a una computadora protegida para obtener información. Tres de los cargos conllevan una pena máxima de 25 años de prisión.

Según el Departamento de Justicia, las autoridades han calculado que West causó aproximadamente 25 millones de dólares en daños a decenas de víctimas.

El anuncio del Departamento de Justicia coincide con la publicación hoy de la detención de West por parte de medios franceses en febrero de 2025. Estados Unidos afirma que busca extraditarlo para que enfrente cargos en Nueva York.

La denuncia detalla cómo el FBI confirmó la identidad de IntelBroker, también conocido como "Kyle Northern".

En enero de 2023, un agente encubierto supuestamente compró una clave API robada de IntelBroker. La dirección de Bitcoin utilizada en la venta se rastreó hasta una billetera creada previamente en la plataforma de banca en línea Ramp, propiedad de una cuenta registrada con un permiso de conducir del Reino Unido a nombre de West.

Según informes, la misma cuenta de correo electrónico utilizada en la cuenta de Ramp estaba vinculada a una cuenta de Coinbase registrada bajo el alias "Kyle Northern", una identidad conocida de West. La cuenta contenía facturas, correos electrónicos de su universidad y una foto de su licencia de conducir, lo que permitió al FBI vincular a Kai West con la identidad de IntelBroker.

"El alias IntelBroker ha causado millones en daños a víctimas de todo el mundo", declaró el fiscal federal Jay Clayton.

"Esta acción refleja el compromiso del FBI de perseguir a los ciberdelincuentes en todo el mundo. Con demasiada frecuencia, los neoyorquinos son víctimas de ciberataques intencionales y nuestra oficina se compromete a llevar a estos actores remotos ante la justicia".

En noticias relacionadas, otras cuatro personas fueron arrestadas en Francia esta semana, presuntamente los administradores de los foros de piratería BreachForums.

IntelBroker también fue administrador del foro durante un tiempo, pero renunció en enero.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#24

Noticias Informáticas / Dron en miniatura que parece un mosquito

Junio 24, 2025, 12:44:11 PM

La Universidad Nacional de Tecnología de Defensa de China (NUDT) ha estado trabajando en un microdron que se asemeja a un mosquito. El dron está diseñado principalmente para operaciones militares.

Lo que hace especial al dron es su tamaño extremadamente pequeño, lo que facilita su ocultación.

El dispositivo incluye dos alas transparentes que se asemejan a las de un insecto y cuatro patas delgadas que podrían usarse para aterrizar.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Uno de los principales usos de estos drones es la observación militar o las misiones especiales. Esto es posible gracias a que el dron incorpora sistemas de energía avanzados, electrónica de control y sensores en un cuerpo diminuto, informa Interesting Engineering.

Estos dispositivos son valiosos debido a su pequeño tamaño, ya que son difíciles de detectar en operaciones encubiertas o de espionaje.

Además de su uso militar, los minidrones también podrían ser valiosos en industrias como la médica, donde podrían emplearse en cirugía o diagnóstico, así como en la monitorización ambiental para detectar niveles de contaminación o responder a desastres.

A pesar de sus ventajas, estos drones son difíciles de construir debido a su minúsculo diseño, ya que el dispositivo incluye componentes como baterías y sensores.

Los microdrones y microrrobots se están volviendo populares gracias a su pequeño tamaño y sus amplias capacidades.

Recientemente, ingenieros crearon un robot volador que se asemeja a un abejorro. Los mismos ingenieros de la Universidad de California en Berkeley también desarrollaron un robot "cucaracha" que puede sobrevivir después de ser pisado.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#25

Noticias Informáticas / Bug de WinRAR abre la puerta a ejecución remota de código

Junio 24, 2025, 12:42:27 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad recientemente descubierta en WinRAR de RARLAB, la herramienta de compresión de larga trayectoria para Windows, ha expuesto a millones de usuarios a una grave falla Path Traversal que podría provocar la ejecución remota de código (RCE).

Identificada como CVE-2025-6218 y con una calificación CVSS de 7.8, esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario en el equipo de la víctima simplemente al obligarla a abrir un archivo comprimido especialmente diseñado.

"Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de WinRAR de RARLAB", advierte el aviso de ZeroDayInitiative.

La raíz del problema reside en cómo WinRAR procesa las rutas dentro de los archivos comprimidos. La falla reside en una validación insuficiente al extraer las entradas del archivo, concretamente en la imposibilidad de depurar correctamente los valores de las rutas creadas.

Al incluir secuencias de recorrido de directorio (como ../) en la ruta de un archivo, un atacante puede provocar que WinRAR extraiga archivos a ubicaciones inesperadas en el sistema de la víctima.

"La falla específica se encuentra en el manejo de las rutas de archivo dentro de los archivos comprimidos. Una ruta de archivo manipulada puede provocar que el proceso acceda a directorios no deseados", explica el aviso.

Una vez que el atacante escribe con éxito un archivo en un directorio sensible, como una carpeta de inicio o una ruta ejecutable del sistema, puede desencadenar la ejecución de código arbitrario cuando la víctima abre o reinicia el sistema.

Esta vulnerabilidad requiere una pequeña pero peligrosa interacción del usuario. Para explotarla, los atacantes deben convencer a la víctima de que abra un archivo comprimido malicioso, un escenario que se logra fácilmente mediante phishing, malvertising o descargas no autorizadas.

La carga maliciosa suele camuflarse como un archivo comprimido legítimo, ocultando el exploit dentro de contenido aparentemente inofensivo.

RARLAB respondió rápidamente al descubrimiento y la falla se ha solucionado en WinRAR 7.12 Beta 1. Se recomienda encarecidamente a los usuarios que actualicen su sistema inmediatamente para garantizar la protección contra esta y otras vulnerabilidades potencialmente no reveladas.

Fuente:
ZeroDayInitiative
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía:
SecurityOnline
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#26

Noticias Informáticas / Malware en Google Play y la App Store de Apple roba fotos y criptomonedas

Junio 24, 2025, 12:39:54 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo malware móvil que roba criptomonedas, llamado SparkKitty, se encontró en aplicaciones de Google Play y la App Store de Apple, y está dirigido a dispositivos Android e iOS.

Este malware es una posible evolución de SparkCat, descubierto por Kaspersky en enero. SparkCat utilizaba reconocimiento óptico de caracteres (OCR) para robar frases de recuperación de monederos de criptomonedas de imágenes guardadas en dispositivos infectados.

Al instalar monederos de criptomonedas, el proceso indica a los usuarios que anoten la frase de recuperación y la guarden en un lugar seguro y sin conexión.

El acceso a esta frase semilla puede utilizarse para restaurar un monedero de criptomonedas y sus activos almacenados en otro dispositivo, lo que los convierte en un objetivo valioso para los cibercriminales.

Aunque tomar una captura de pantalla de la frase semilla nunca es buena idea, algunas personas lo hacen por comodidad.

Un informe de Kaspersky afirma que el nuevo malware SparkKitty roba indiscriminadamente todas las imágenes de la galería de fotos de un dispositivo infectado.

Si bien Kaspersky cree que el malware apunta a las frases semilla de billeteras criptográficas, los datos robados también podrían usarse para otros fines maliciosos, como la extorsión, si las imágenes contienen contenido confidencial.

El malware SparkKitty

La campaña SparkKitty lleva activa al menos desde febrero de 2024, propagándose tanto en las tiendas de aplicaciones oficiales de Google y Apple como en plataformas no oficiales.

SparkKitty en Apple App Store

Las aplicaciones maliciosas identificadas por Kaspersky son 币coin, disponible en la App Store de Apple, y SOEX, disponible en Google Play. Ambas habían sido eliminadas al momento de escribir este artículo.

SOEX es una aplicación de mensajería con funciones de intercambio de criptomonedas, con más de 10 000 descargas a través de la tienda oficial de aplicaciones de Android.

The malware app en Google Play

Kaspersky también descubrió clones modificados de TikTok que incorporan tiendas de criptomonedas en línea falsas, aplicaciones de juegos de azar, juegos con temática para adultos y aplicaciones de casino que contienen SparkKitty, distribuidas a través de canales no oficiales.

Aplicación clon de TikTok instalada a través de un perfil de iOS

En iOS, SparkKitty se integra como frameworks falsos (AFNetworking.framework, libswiftDarwin.dylib) y, en ocasiones, se distribuye a través de perfiles de aprovisionamiento empresarial.

En Android, el malware se integra en aplicaciones Java/Kotlin, algunas de las cuales utilizan módulos maliciosos Xposed/LSPosed.

El framework malicioso utiliza el método Objective-C '+load' para ejecutar automáticamente su código al iniciar la aplicación en iOS. Se realiza una comprobación de configuración leyendo las claves del archivo Info.plist de la aplicación; la ejecución solo se realiza si los valores coinciden con las cadenas esperadas.

En Android, el malware se activa al iniciar la aplicación o al realizar acciones específicas del usuario, como abrir un tipo de pantalla específico. Tras la activación, recupera y descifra un archivo de configuración remoto mediante AES-256 (modo ECB) para obtener las URL C2.

En iOS, el malware solicita acceso a la galería de fotos, mientras que, en Android, la aplicación maliciosa solicita al usuario permisos de almacenamiento para acceder a las imágenes.

Si se concede permiso en iOS, el malware monitorea la galería para detectar cambios y extrae cualquier imagen nueva o no cargada previamente.

Código de exfiltración de imágenes en la variante iOS

En Android, el malware sube imágenes de la galería, junto con identificadores de dispositivo y metadatos. Kaspersky encontró algunas versiones de SparkKitty que utilizan el OCR de Google ML Kit para detectar y subir únicamente imágenes con texto.

Exfiltración de imágenes en Android

SparkKitty es otro ejemplo de malware que se infiltra en las tiendas de aplicaciones oficiales, lo que pone de manifiesto una vez más que los usuarios no deben confiar ciegamente en el software que se distribuye en canales de distribución verificados.

Todas las aplicaciones deben ser examinadas minuciosamente para detectar indicios de fraude, como reseñas falsas, editores con antecedentes o historiales dudosos, bajas descargas combinadas con un alto número de reseñas positivas, etc.

Durante la instalación, las solicitudes de almacenamiento de acceso a la galería deben considerarse sospechosas y denegarse si no están relacionadas con la funcionalidad principal de la aplicación.

En iOS, evite instalar perfiles de configuración o certificados a menos que provengan de una fuente confiable. En Android, active Google Play Protect en la configuración y realice análisis completos del dispositivo con regularidad.

En definitiva, quienes poseen criptomonedas no deben guardar imágenes de las frases semilla de su monedero en sus dispositivos móviles, ya que ahora son blanco activo del malware. En su lugar, guárdelas sin conexión en un lugar seguro.

BleepingComputer se ha puesto en contacto con Apple y Google para solicitar comentarios sobre cómo estas aplicaciones se introdujeron en sus tiendas de aplicaciones.

"La aplicación denunciada ha sido eliminada de Google Play y su desarrollador ha sido baneado", informó Google a BleepingComputer.

"Los usuarios de Android están protegidos automáticamente contra esta aplicación, independientemente de la fuente de descarga, gracias a Google Play Protect, que está activado por defecto en los dispositivos Android con los Servicios de Google Play".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#27

Noticias Informáticas / Putin autoriza app de mensajería estatal para combatir a WhatsApp y Telegram

Junio 24, 2025, 12:35:58 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

MOSCÚ, 24 de junio (Reuters) - El presidente ruso, Vladimir Putin, firmó el martes una ley que autoriza el desarrollo de una aplicación de mensajería estatal integrada con los servicios gubernamentales, en un esfuerzo por reducir la dependencia de plataformas como WhatsApp y Telegram. Rusia lleva mucho tiempo buscando establecer lo que denomina soberanía digital mediante la promoción de servicios locales. Su afán por reemplazar las plataformas tecnológicas extranjeras se agudizó tras la retirada de algunas empresas occidentales del mercado ruso tras la invasión de Ucrania por parte de Moscú en febrero de 2022.

Los legisladores rusos afirman que la aplicación estatal tendrá funciones que plataformas como Telegram y WhatsApp no tienen. Los críticos afirman que el hecho de que Rusia ejerza control estatal sobre ella supone riesgos para la privacidad y las libertades personales.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Mikhail Klimarev, director de la Sociedad de Protección de Internet, un grupo ruso de derechos digitales, declaró a principios de este mes que esperaba que Rusia redujera la velocidad de WhatsApp y Telegram para animar a los usuarios a cambiarse a la nueva aplicación.

Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#28

Noticias Informáticas / WhatsApp está prohibido en los dispositivos de la Cámara de Representantes de US

Junio 24, 2025, 12:35:06 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

WASHINGTON, 23 de junio (Reuters) - El servicio de mensajería WhatsApp de Meta Platforms ha sido prohibido en todos los dispositivos de la Cámara de Representantes de EE. UU., según un memorando enviado a todo el personal de la Cámara el lunes.

El aviso indica que la Oficina de Ciberseguridad ha considerado que WhatsApp representa un alto riesgo para los usuarios debido a la falta de transparencia en la protección de sus datos, la ausencia de cifrado de datos almacenados y los posibles riesgos de seguridad que conlleva su uso.

El memorando, emitido por el director administrativo, recomendaba el uso de otras aplicaciones de mensajería, como la plataforma Teams de Microsoft Corp, Wickr de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Signal, y iMessage y FaceTime de Apple.

Meta expresó su total desacuerdo con la medida, según declaró un portavoz de la compañía, señalando que la plataforma ofrece un mayor nivel de seguridad que las demás aplicaciones aprobadas.

En enero, un funcionario de WhatsApp afirmó que la empresa israelí de software espía Paragon Solutions había atacado a decenas de sus usuarios, incluidos periodistas y miembros de la sociedad civil.

La Cámara de Representantes ha prohibido otras aplicaciones en los dispositivos del personal en el pasado, incluyendo la aplicación de vídeos cortos TikTok en 2022, debido a problemas de seguridad.

Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#29

Noticias Informáticas / Descubren fallas críticas de Linux que permiten exploits de acceso root

Junio 19, 2025, 12:43:35 AM

Se han descubierto dos nuevas vulnerabilidades en componentes de Linux ampliamente implementados que podrían permitir a usuarios sin privilegios obtener acceso root en distribuciones populares.

La primera es una falla de escalada de privilegios locales (LPE), identificada como CVE-2025-6018, que afecta la configuración PAM en openSUSE Leap 15 y SUSE Linux Enterprise 15.

Esta configuración incorrecta permite que cualquier sesión local, incluidas las realizadas a través de SSH, se considere como si el usuario estuviera físicamente presente. Este estado, conocido como "allow_active", otorga acceso a ciertas operaciones privilegiadas normalmente reservadas para los usuarios del equipo.

La segunda vulnerabilidad, CVE-2025-6019, reside en libblockdev y puede activarse mediante el demonio udisks, instalado por defecto en casi todas las distribuciones de Linux. Una vez que un usuario obtiene el estado "allow_active", esta falla permite el acceso root completo.

Combinadas, estas dos vulnerabilidades crean una ruta directa y sencilla desde el acceso sin privilegios hasta el acceso root.

Cadena de exploits afecta a múltiples distribuciones

El demonio udisks y su backend libblockdev se utilizan para administrar discos y dispositivos de almacenamiento. Por diseño, otorgan más privilegios a los usuarios marcados como "activos". La vulnerabilidad PAM subvierte este modelo de confianza, convirtiendo las sesiones rutinarias en riesgos de seguridad.

Esta cadena de exploits es especialmente peligrosa porque no requiere software adicional ni acceso físico, solo un inicio de sesión SSH funcional en un sistema vulnerable.

La Unidad de Investigación de Amenazas de Qualys (TRU) ha demostrado con éxito esta cadena de exploits en Ubuntu, Debian, Fedora y openSUSE Leap 15. Su importancia radica en la facilidad con la que los atacantes pueden pasar de una sesión SSH estándar a privilegios root completos utilizando únicamente los componentes instalados por defecto.

"No se requiere nada exótico", afirmaron los investigadores de la TRU.

"Cada enlace está preinstalado en las distribuciones de Linux más populares y sus compilaciones de servidor".

Los principales riesgos incluyen:

Control total de los sistemas afectados

Evasión de herramientas de detección de endpoints

Instalación de puertas traseras persistentes

Comprometimiento de toda la flota mediante movimiento lateral

Mitigación y recomendaciones

Se insta a los equipos de seguridad a parchear ambas vulnerabilidades de inmediato.

Además, se recomienda:

Modificar la regla predeterminada de polkit para org.freedesktop.udisks2.modify-device

Cambiar la configuración de allow_active de sí a auth_admin

Seguir las recomendaciones de los proveedores para SUSE, Ubuntu y otros.

No actuar con rapidez puede dejar flotas enteras expuestas a ataques. El acceso root otorgado mediante este exploit permite persistencia indetectable y ataques entre sistemas, lo que aumenta el riesgo para la infraestructura empresarial.

Fuente:
InfoSecurity
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#30

Noticias Informáticas / Malware GodFather para Android ejecuta app en sandbox para robar datos

Junio 19, 2025, 12:38:58 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad de Zimperium zLabs, dirigidos por Fernando Ortega y Vishnu Pratapagiri, han descubierto una nueva y peligrosa versión del malware GodFather para Android que utiliza una técnica avanzada llamada virtualización en el dispositivo para controlar aplicaciones móviles legítimas. Se dirige especialmente a aplicaciones bancarias y de criptomonedas, convirtiendo tu dispositivo en un espía.

El truco de la virtualización

En lugar de simplemente mostrar una imagen falsa, el malware instala una aplicación host oculta, que descarga y ejecuta una copia real de tu aplicación bancaria o de criptomonedas dentro de su propio espacio controlado, un sandbox. Cuando intentas abrir la aplicación real, el malware te redirige a esta versión virtual.

El malware monitoriza y controla cada acción, toque y palabra que escribes en tiempo real, lo que hace casi imposible que notes algo incorrecto, ya que estás interactuando con la aplicación real, pero en un entorno manipulado. Esta sofisticada técnica permite a los atacantes obtener nombres de usuario, contraseñas y PIN del dispositivo, obteniendo así el control total de tus cuentas.

Este método ofrece a los atacantes una gran ventaja. Pueden robar datos confidenciales al ingresarlos e incluso alterar el funcionamiento de la aplicación, eludiendo los controles de seguridad, incluyendo los que detectan el rooteo de un teléfono. Cabe destacar que el malware bancario GodFather se crea readaptando varias herramientas legítimas de código abierto, como VirtualApp y XposedBridge, para ejecutar sus ataques engañosos y evadir la detección.

Objetivos Globales y Maniobras Evasivas

Si bien GodFather emplea su virtualización avanzada, también continúa utilizando ataques tradicionales de superposición, colocando pantallas engañosas directamente sobre aplicaciones legítimas. Este doble enfoque demuestra la notable capacidad de los actores de amenazas para adaptar sus métodos.

Según la publicación del blog de la compañía, la campaña de malware GodFather para Android está muy extendida y se dirige a 484 aplicaciones a nivel mundial, aunque el ataque de virtualización altamente avanzado se centra actualmente en 12 instituciones financieras turcas específicas. Este amplio alcance incluye no solo plataformas bancarias y de criptomonedas, sino también importantes servicios globales de pagos, comercio electrónico, redes sociales y comunicación.

El malware también utiliza trucos ingeniosos para evitar ser detectado por las herramientas de seguridad. Modifica la forma en que se crean los archivos APK (paquetes de aplicaciones de Android), alterando su estructura para que parezcan cifrados o añadiendo información engañosa como $JADXBLOCK. Además, traslada gran parte de su código dañino a la parte Java de la aplicación y dificulta la lectura de su archivo de manifiesto de Android con información irrelevante.

Investigaciones posteriores revelaron que GodFather aún utiliza los servicios de accesibilidad de Android (diseñados para ayudar a usuarios con discapacidades) para engañarlos y que instalen partes ocultas de su aplicación. Utiliza mensajes engañosos como "Necesita permiso para usar todas las funciones de la aplicación" y, una vez que obtiene los permisos de accesibilidad, puede otorgarse más permisos en secreto sin que el usuario lo sepa.

Además, el malware oculta información importante, como su conexión a su servidor de control (C2), de forma cifrada, lo que dificulta su rastreo. Una vez activo, envía detalles de la pantalla a los atacantes, brindándoles una vista en tiempo real del dispositivo. Este descubrimiento, por lo tanto, pone de relieve el desafío constante que enfrenta la seguridad móvil a medida que las amenazas se vuelven más complejas y difíciles de detectar.

"Esta es sin duda una técnica novedosa y veo su potencial", afirmó Casey Ellis, fundador de Bugcrowd. "Será interesante ver su eficacia real en la práctica, independientemente de si los actores de amenazas deciden implementarla fuera de Turquía y si otros actores intentan replicar un enfoque similar".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#31

Noticias Informáticas / La filtración de datos récord de 16 mil millones de la que nadie ha oído hablar

Junio 19, 2025, 12:34:58 AM

Varias recopilaciones de credenciales de inicio de sesión revelan una de las mayores filtraciones de datos de la historia, con un total de 16 mil millones de credenciales expuestas. Es muy probable que los datos provengan de diversos ladrones de información (stealer).

Recopilar información confidencial innecesariamente puede ser tan perjudicial como intentar robarla activamente. Por ejemplo, el equipo de investigación de Cybernews descubrió una gran cantidad de conjuntos de datos gigantescos que albergan miles de millones de credenciales de inicio de sesión. Desde redes sociales y plataformas corporativas hasta VPN y portales para desarrolladores, no se escatimó en esfuerzos.

Nuestro equipo ha estado monitoreando de cerca la web desde principios de año. Hasta la fecha, han descubierto 30 conjuntos de datos expuestos que contienen desde decenas de millones hasta más de 3500 millones de registros cada uno. En total, los investigadores descubrieron la inimaginable cifra de 16 mil millones de registros.

Ninguno de los conjuntos de datos expuestos se había reportado previamente, salvo uno: a finales de mayo, la revista Wired informó que un investigador de seguridad descubrió una "misteriosa base de datos" con 184 millones de registros. Apenas roza los 20 primeros descubrimientos del equipo. Lo más preocupante es que los investigadores afirman que aparecen nuevos conjuntos de datos masivos cada pocas semanas, lo que indica la prevalencia real del malware ladrón de información.

"Esto no es solo una filtración, sino un modelo para la explotación masiva. Con más de 16 mil millones de registros de inicio de sesión expuestos, los ciberdelincuentes ahora tienen un acceso sin precedentes a credenciales personales que pueden usarse para el robo de cuentas, el robo de identidad y el phishing altamente selectivo."

Los investigadores afirmaron:

"Esto no es solo una filtración, sino un modelo para la explotación masiva. Con más de 16 mil millones de registros de inicio de sesión expuestos, los ciberdelincuentes ahora tienen un acceso sin precedentes a credenciales personales que pueden usarse para el robo de cuentas, el robo de identidad y el phishing altamente selectivo. Lo especialmente preocupante es la estructura y la actualidad de estos conjuntos de datos; no se trata solo de filtraciones antiguas que se reciclan. Se trata de inteligencia nueva y susceptible de ser utilizada como arma a gran escala", afirmaron los investigadores.

El único aspecto positivo es que todos los conjuntos de datos estuvieron expuestos solo brevemente: el tiempo suficiente para que los investigadores los descubrieran, pero no el suficiente para descubrir quién controlaba grandes cantidades de datos. La mayoría de los conjuntos de datos fueron accesibles temporalmente a través de Elasticsearch o instancias de almacenamiento de objetos no seguras.

¿Qué contienen los miles de millones de registros expuestos?

Los investigadores afirman que la mayoría de los datos de los conjuntos de datos filtrados son una mezcla de información del malware stealer, conjuntos de robo de credenciales y filtraciones reempaquetadas.

No fue posible comparar eficazmente los datos entre diferentes conjuntos de datos, pero es seguro afirmar que existen registros superpuestos. En otras palabras, es imposible determinar cuántas personas o cuentas fueron realmente expuestas.

Sin embargo, la información que el equipo logró recopilar reveló que la mayor parte de la información seguía una estructura clara: URL, seguida de los datos de inicio de sesión y una contraseña. La mayoría de los ladrones de información modernos (software malicioso que roba información confidencial) recopilan datos exactamente de esta manera.

La información de los conjuntos de datos filtrados abre las puertas a prácticamente cualquier servicio en línea imaginable, desde Apple, Facebook y Google hasta GitHub, Telegram y diversos servicios gubernamentales. Es difícil pasar algo por alto cuando hay 16 mil millones de registros en juego.

Según los investigadores, las filtraciones de credenciales a esta escala alimentan campañas de phishing, robo de cuentas, intrusiones de ransomware y ataques de compromiso de correo electrónico empresarial (BEC).

«La inclusión de registros de robo de información, tanto antiguos como recientes, a menudo con tokens, cookies y metadatos, hace que estos datos sean particularmente peligrosos para las organizaciones que carecen de autenticación multifactor o prácticas de higiene de credenciales», declaró el equipo.

¿Qué conjunto de datos expuso miles de millones de credenciales?

Los conjuntos de datos que descubrió el equipo difieren considerablemente. Por ejemplo, el más pequeño, cuyo nombre hace referencia a un software malicioso, contenía más de 16 millones de registros. Mientras tanto, el más grande, probablemente relacionado con la población de habla portuguesa, contenía más de 3500 millones de registros. En promedio, un conjunto de datos con credenciales expuestas contenía 550 millones de registros.

Algunos conjuntos de datos tenían nombres genéricos, como "inicios de sesión", "credenciales" y términos similares, lo que impidió al equipo comprender mejor su contenido. Otros, sin embargo, insinuaban los servicios con los que estaban relacionados.

Por ejemplo, un conjunto de datos con más de 455 millones de registros recibió un nombre que indicaba su origen en la Federación Rusa. Otro conjunto de datos, con más de 60 millones de registros, recibió el nombre de Telegram, una plataforma de mensajería instantánea en la nube.

"La inclusión de registros antiguos y recientes de robo de información, a menudo con tokens, cookies y metadatos, hace que estos datos sean particularmente peligrosos para las organizaciones que carecen de autenticación multifactor o prácticas de higiene de credenciales", afirmó el equipo.

Si bien nombrarlos no es la mejor manera de deducir la procedencia de los datos, parece que parte de la información se relaciona con servicios en la nube, datos empresariales e incluso archivos bloqueados. Algunos nombres de conjuntos de datos probablemente apuntan a un tipo de malware utilizado para recopilarlos.

No está claro quién es el propietario de los datos filtrados. Si bien podrían ser investigadores de seguridad los que recopilan datos para verificar y monitorear las filtraciones, es prácticamente seguro que algunos de los conjuntos de datos filtrados pertenecían a ciberdelincuentes. A los ciberdelincuentes les encantan los conjuntos de datos masivos, ya que las recopilaciones agregadas les permiten escalar diversos tipos de ataques, como el robo de identidad, los esquemas de phishing y el acceso no autorizado.

Una tasa de éxito inferior al uno por ciento puede abrir las puertas a millones de personas, que pueden ser engañadas para que revelen detalles más sensibles, como cuentas financieras. Es preocupante que, dado que no se sabe con certeza quién posee los conjuntos de datos expuestos, los usuarios puedan hacer poco para protegerse.

Sin embargo, una ciberseguridad básica es esencial. Unas contraseñas seguras y cambiadas con frecuencia pueden marcar la diferencia entre una cuenta segura y el robo de datos. Los usuarios también deben revisar sus sistemas en busca de ladrones de información para evitar perder sus datos a manos de atacantes.

Miles de millones de registros expuestos en línea

Las grandes filtraciones de datos, con miles de millones de registros expuestos, se han vuelto casi omnipresentes. La semana pasada, Cybernews publicó sobre la que probablemente sea la mayor filtración de datos jamás registrada en China: miles de millones de documentos con datos financieros, detalles de WeChat y Alipay, así como otros datos personales sensibles.

El verano pasado, la mayor recopilación de contraseñas, con casi diez mil millones de contraseñas únicas, RockYou2024, se filtró en un popular foro de hacking. En 2021, se filtró en línea una recopilación similar con más de 8 mil millones de registros.

A principios de 2024, el equipo de investigación de Cybernews descubrió la que probablemente siga siendo la mayor filtración de datos de la historia: la Madre de Todas las Brechas (MOAB), con la asombrosa cifra de 26 mil millones de registros.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#32

Noticias Informáticas / Iraníes se niegan a las restricciones gubernamentales a Internet

Junio 19, 2025, 12:31:15 AM

Mientras el gobierno iraní endurece las restricciones a internet en un momento crítico, muchos iraníes siguen conectados, al menos aquellos que han logrado acceder y usar una VPN.

Irán ha restringido el acceso a internet tras los ataques aéreos israelíes. Según Iran Wire, el fiscal general iraní incluso amenazó a los usuarios de redes sociales con acciones legales, ya que algunos contenidos supuestamente "perjudican la seguridad psicológica de la sociedad".

Según datos de telemetría, el acceso a internet sigue restringido.

Desde entonces, el interés en las VPN para Irán se ha disparado. Según Google Trends, ahora es el quinto tema de búsqueda más popular, con un aumento de más del 250 % en las búsquedas relacionadas con VPN en los últimos 30 días.

Como suele ocurrir durante conflictos armados, disturbios sociales o protestas, los regímenes y los países menos democráticos tienden a bloquear sitios de medios occidentales como Facebook, X, YouTube, Telegram y otros, en un intento por limitar la capacidad de los ciudadanos para comunicarse, compartir información y organizarse.

Por esta razón, los iraníes buscan VPN para eludir las restricciones y seguir usando las aplicaciones de redes sociales occidentales. También se recomienda a periodistas y activistas que utilicen una VPN para comunicaciones seguras y privadas.

Top10VPN, un sitio web de análisis de VPN que rastrea las restricciones de internet en todo el mundo, afirmó que la demanda de VPN en Irán ha aumentado drásticamente desde el viernes pasado. "Drásticamente" significa que la demanda está aproximadamente un 700 % por encima de la línea base.

"Muchos iraníes, a pesar de que las VPN están oficialmente prohibidas, recurren a estas herramientas para mantenerse conectados a noticias globales, plataformas de comunicación y contenido digital sin censura mientras navegan por la agitación actual que afecta al país", declaró el sitio web.

La escalada del conflicto está repercutiendo en todo el mundo. Los expertos en ciberseguridad ahora observan de cerca el ámbito cibernético, ya que esperan más ciberataques y otros intentos de hacktivismo dirigidos contra las partes en conflicto y sus aliados por igual.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#33

Noticias Informáticas / Internet colapsa en Irán, según empresas de monitoreo web

Junio 19, 2025, 12:29:26 AM

La conectividad a internet en Irán desapareció casi por completo el miércoles, según empresas de monitoreo web, mientras la guerra con Israel entra en su sexto día.

NetBlocks, una empresa que monitorea el acceso a internet en todo el mundo, escribió en X que Irán se encuentra "ahora en medio de un apagón nacional casi total de internet".

La evaluación de la empresa fue confirmada por otras organizaciones de monitoreo de internet.

Los datos recopilados por IODA, un sistema que "monitorea la conectividad de la infraestructura de internet casi en tiempo real, con el objetivo de identificar cortes de internet macroscópicos", mostraron el miércoles el repentino colapso de la conectividad a internet en Irán.

David Belson, director de análisis de datos de la empresa de infraestructura de internet Cloudflare, declaró a TechCrunch que los niveles de tráfico de internet en Irán "están ahora un 97 % por debajo de los de hace una semana", y citó los datos de la propia empresa sobre la conectividad a internet de Irán.

La noticia de los cortes de internet se produce en un momento en que Irán e Israel se encuentran enfrascados en un conflicto militar. Irán también ha sufrido varios ciberataques desde el inicio de este último conflicto, incluyendo el hackeo de un importante banco y una plataforma de intercambio de criptomonedas iraníes. Tras los ataques, el medio de comunicación iraní IRIB afirmó que Israel había lanzado una "ciberguerra masiva" contra Irán, y, según informes, las autoridades iraníes comenzaron a restringir el acceso a internet del país.

Sin embargo, no está claro cuál es la causa del colapso de internet en Irán, afirmó Belson.

"En casos similares de cortes de internet casi totales, solemos observar una caída simultánea del espacio de direcciones IP anunciadas, lo que significa que las redes del país dejan de ser visibles en internet. Sin embargo, no hemos observado tal actividad en este caso", declaró Belson a TechCrunch.

"Solo podemos ver que el tráfico disminuyó; los datos no nos indican el motivo", añadió Belson.

Otros expertos en monitoreo de internet, como Doug Madory, de Kentik, también observaron el mismo colapso.

"Numerosos proveedores de servicios iraníes se encuentran fuera de línea en el segundo apagón nacional de internet en pocos días", escribió Madory en X. "Este corte es más grave que el de ayer".

Fuente:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#34

Noticias Informáticas / Plataforma de intercambio de criptomonedas iraní atacada

Junio 19, 2025, 12:26:56 AM

18 de junio (Reuters) - Un grupo de hackers antiiraní con posibles vínculos con Israel anunció el miércoles un ataque contra una de las mayores plataformas de intercambio de criptomonedas de Irán, destruyendo casi 90 millones de dólares y amenazando con exponer el código fuente de la plataforma.

Un grupo conocido como Gonjeshke Darande, o "Gorrión Depredador", se atribuyó el ataque, convirtiéndose en la segunda operación del grupo en dos días. El martes, el grupo afirmó haber destruido datos del banco estatal iraní Sepah, en medio del aumento de las hostilidades y los ataques con misiles entre Israel e Irán.

El ataque del miércoles tuvo como objetivo Nobitex, una de las mayores plataformas de intercambio de criptomonedas de Irán. La plataforma supuestamente ayuda al gobierno iraní a evitar sanciones y a financiar operaciones ilícitas en todo el mundo, según afirmaron los hackers en un mensaje publicado en sus redes sociales la madrugada del miércoles.

El sitio web de Nobitex no estuvo disponible el miércoles. Los mensajes enviados al canal de soporte de la compañía en Telegram no fueron devueltos. Gonjeshke Darande no respondió a las solicitudes de comentarios.

Nobitex anunció en una publicación en X que había retirado su sitio web y aplicación de la red tras revisar un "acceso no autorizado" a sus sistemas.

Gonjeshke Darande es un grupo de hackers consolidado con un historial de sofisticados ciberataques contra Irán. Una operación de 2021, reivindicada por el grupo, causó cortes generalizados en gasolineras, mientras que un ataque de 2022 contra una acería iraní provocó un gran incendio y daños tangibles en la red.

Israel nunca ha reconocido formalmente estar detrás del grupo, aunque los medios israelíes han reportado ampliamente que Gonjeshke Darande está "vinculado a Israel".

El ataque del miércoles comenzó en la madrugada cuando se transfirieron fondos a billeteras controladas por hackers que denunciaban al Cuerpo de la Guardia Revolucionaria Islámica (CGRI), según la firma de análisis blockchain TRM Labs, que calculó el robo total en aproximadamente 90 millones de dólares en múltiples tipos de criptomonedas.

La forma en que se crearon las billeteras controladas por hackers sugiere que estos no podrían acceder al dinero robado, lo que significa que "quemaron los fondos para enviar a Nobitex un mensaje político", según declaró la firma de análisis blockchain Elliptic en una publicación de blog.

La publicación de Elliptic compartía evidencia de que Nobitex había enviado y recibido fondos a billeteras de criptomonedas controladas por grupos hostiles a Israel, como la Yihad Islámica Palestina, Hamás y los hutíes de Yemen.

Los senadores Elizabeth Warren y Angus King expresaron su preocupación por el papel de Nobitex en la evasión de las sanciones iraníes en una carta de mayo de 2024 dirigida a altos funcionarios de la administración Biden, citando información de Reuters de 2022.

Andrew Fierman, jefe de inteligencia de seguridad nacional de Chainalysis, confirmó en un correo electrónico a Reuters que el valor del ataque fue de aproximadamente 90 millones de dólares y que probablemente tuvo motivaciones geopolíticas, dado que se quemó el dinero.

Chainalysis ha observado previamente que actores de ransomware afiliados al CGRI utilizan Nobitex para obtener ganancias, y que otros grupos aliados del CGRI utilizan la plataforma, afirmó Fierman.

Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#35

Noticias Informáticas / Bug en ASUS Armoury Crate permite obtener privilegios de administrador de Window

Junio 17, 2025, 03:46:24 AM

Una vulnerabilidad de alta gravedad en el software ASUS Armoury Crate podría permitir a los atacantes escalar sus privilegios al nivel SYSTEM en equipos Windows.

El problema de seguridad se ha identificado como CVE-2025-3464 y recibió una puntuación de gravedad de 8,8 sobre 10.

Podría explotarse para eludir la autorización y afecta al archivo AsIO3.sys del software de gestión del sistema Armoury Crate.

Armoury Crate es el software oficial de control del sistema para Windows de ASUS. Proporciona una interfaz centralizada para controlar la iluminación RGB (Aura Sync), ajustar las curvas de los ventiladores, gestionar los perfiles de rendimiento y los periféricos ASUS, así como descargar controladores y actualizaciones de firmware.

Para realizar todas estas funciones y proporcionar una monitorización del sistema de bajo nivel, el paquete de software utiliza el controlador del kernel para acceder y controlar las funciones del hardware.

El investigador de Cisco Talos, Marcin "Icewall" Noga, informó sobre CVE-2025-3464 a la empresa tecnológica.

Según un aviso de Talos, el problema radica en que el controlador verifica a los llamantes basándose en un hash SHA-256 codificado de AsusCertService.exe y una lista de permitidos PID, en lugar de usar controles de acceso adecuados a nivel de sistema operativo.

Para explotar la vulnerabilidad, se crea un enlace físico desde una aplicación de prueba benigna a un ejecutable falso. El atacante inicia la aplicación, la pausa y modifica el enlace físico para que apunte a AsusCertService.exe.

Cuando el controlador comprueba el hash SHA-256 del archivo, lee el binario de confianza, ahora enlazado, lo que permite a la aplicación de prueba eludir la autorización y acceder al controlador.

Esto otorga al atacante privilegios de sistema de bajo nivel, lo que le otorga acceso directo a la memoria física, los puertos de E/S y los registros específicos del modelo (MSR), lo que facilita la vulneración total del sistema operativo.

Es importante tener en cuenta que el atacante debe estar ya en el sistema (infección de malware, phishing, cuenta sin privilegios comprometida) para explotar CVE-2025-3464.

Sin embargo, la amplia implementación del software en ordenadores de todo el mundo puede representar una superficie de ataque lo suficientemente grande como para que su explotación resulte atractiva.

Cisco Talos validó que CVE-2025-3464 afecta a la versión 5.9.13.0 de Armoury Crate, pero el boletín de ASUS indica que la falla afecta a todas las versiones entre la 5.9.9.0 y la 6.1.18.0.

Para mitigar el problema de seguridad, se recomienda instalar la última actualización abriendo la aplicación Armoury Crate y accediendo a "Configuración" > "Centro de actualizaciones" > "Buscar actualizaciones" > "Actualizar".

Cisco informó de la falla a ASUS en febrero, pero hasta la fecha no se ha observado ninguna explotación in situ. Sin embargo, ASUS recomienda encarecidamente a los usuarios que actualicen Armoury Crate a la última versión.

Los errores del controlador del kernel de Windows que conducen a la escalada de privilegios locales son populares entre los piratas informáticos, incluidos los actores de ransomware, las operaciones de malware y las amenazas a las agencias gubernamentales.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#36

Noticias Informáticas / Los smartwatches podrían usarse para robar datos o lanzar ataques

Junio 17, 2025, 03:39:21 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo artículo de investigación propone un método inusual de exfiltración de datos de sistemas aislados mediante relojes inteligentes.

El concepto, creado por investigadores de la Universidad Ben-Gurion, parece sacado de una película de espías, pero los detalles revelan la complejidad técnica y la escasa viabilidad de un ataque de este tipo.

El método, denominado "SmartAttack", se basa en explotar el micrófono de un reloj inteligente comprometido para recibir señales ultrasónicas de un ordenador infectado aislado.

En el extremo receptor, un reloj inteligente, también infectado con malware, debe estar dentro del alcance y la orientación correctos para captar las transmisiones ultrasónicas.

El autor del artículo, Mordechai Guri, PhD, describió los relojes inteligentes como "un vector de ataque poco explorado pero efectivo", señalando que los dispositivos también están sujetos a movimientos impredecibles al llevarse en la muñeca, lo que reduce la fiabilidad de la recepción.

El reloj inteligente utilizaría entonces sus funciones de conectividad, como wifi, Bluetooth o incluso el correo electrónico, para retransmitir los datos al atacante.

Esta secuencia podría ser posible en experimentos estrictamente controlados, pero la implementación en el mundo real sería mucho más difícil.

Aunque el artículo es hipotético, plantea preguntas reales sobre si las herramientas de ciberseguridad actuales, como el mejor antivirus o software de protección de endpoints, están equipadas para detectar o defenderse contra estas amenazas indirectas y poco convencionales.

Para las organizaciones que utilizan redes aisladas para proteger información confidencial, las protecciones tradicionales podrían no ser suficientes.

Asimismo, si bien las mejores herramientas de protección contra el robo de identidad son eficaces contra vectores de amenaza conocidos, este tipo de canal encubierto explota el hardware y los entornos de maneras que las soluciones existentes podrían no anticipar.

El documento recomienda una defensa más avanzada, que incluye interferencias ultrasónicas, monitorización de señales en tiempo real e incluso cortafuegos ultrasónicos.

Sin embargo, la viabilidad de estas medidas, especialmente en entornos con recursos limitados, sigue siendo incierta.

Dicho esto, como ocurre con muchas demostraciones académicas, la amenaza real se basa más en el potencial que en la probabilidad.

Fuente:
TechRadar
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#37

Noticias Informáticas / Malware para Android llamado SuperCard permite usar tu tarjeta de crédito

Junio 17, 2025, 03:20:44 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los estafadores siempre están inventando nuevos trucos. Justo cuando empiezas a sentirte seguro de detectar correos electrónicos de phishing, enlaces sospechosos y apps bancarias falsas, ellos encuentran una nueva estrategia. Últimamente, se han vuelto más creativos, aprovechando las funciones integradas de nuestros teléfonos para llevar a cabo sus estrategias. Uno de los objetivos más recientes es NFC, la tecnología detrás del pago táctil.

Puede parecer inofensivo, pero una nueva estafa lo está utilizando de maneras que la mayoría de la gente jamás imaginaría. Un malware para Android llamado SuperCard va más allá de simplemente robar los datos de tu tarjeta. Permite a los atacantes usar tu tarjeta remotamente para transacciones reales. Y lo peor es que todo comienza con algo tan simple como un mensaje de texto.

SuperCard X se distingue de otros programas maliciosos para Android por su funcionamiento. Según investigadores de Cleafy, en lugar de robar nombres de usuario, contraseñas o códigos de verificación, utiliza un método llamado retransmisión NFC. Esto permite a los atacantes copiar los datos de la tarjeta del dispositivo de la víctima en tiempo real y usarlos para realizar pagos o retirar efectivo. El proceso no requiere acceso físico a la tarjeta ni conocer el PIN.

El malware se ofrece mediante un modelo de Malware como Servicio, lo que significa que diferentes ciberdelincuentes pueden usarlo en sus propias regiones. Esto hace que la amenaza sea más escalable y difícil de contener. A diferencia de la mayoría de los troyanos bancarios, SuperCard X no se centra en una institución específica. Se dirige a cualquier titular de tarjeta, independientemente del banco emisor.

Otra diferencia clave es el sigilo del malware. Utiliza permisos mínimos y no incluye funciones adicionales que faciliten su detección. Este enfoque simplificado le ayuda a evitar la detección del software antivirus y le permite operar silenciosamente en los dispositivos infectados.

El fraude comienza con un mensaje enviado por SMS o WhatsApp. Se hace pasar por un banco y advierte al destinatario sobre una transacción sospechosa. El mensaje incluye un número de teléfono e insta a la persona a llamar para resolver el problema. Este es el primer paso para ganarse la confianza de la víctima.

Una vez al teléfono, el atacante se hace pasar por un representante bancario y guía a la víctima a través de un proceso de seguridad falso. Esto puede incluir solicitarle que confirme sus datos personales o que ajuste la configuración de su aplicación de banca móvil, como eliminar los límites de gasto de su tarjeta.

A continuación, el atacante solicita a la víctima que instale una aplicación móvil que se describe como una herramienta para verificar la cuenta o mejorar la seguridad. En realidad, esta aplicación contiene el malware SuperCard X. Tras la instalación, el atacante le indica a la víctima que toque el teléfono con su tarjeta. El malware captura los datos NFC de la tarjeta y los envía a un segundo teléfono controlado por el atacante.

Con los datos copiados, el atacante puede realizar pagos sin contacto o retirar fondos de cajeros automáticos casi al instante. Este método le permite robar fondos rápidamente y deja pocas oportunidades para que los bancos o las víctimas intervengan a tiempo.

Fuente:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#38

Noticias Informáticas / Secreta agenda de IA del equipo de Trump queda expuesta en filtración de GitHub

Junio 17, 2025, 03:19:21 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un repositorio de GitHub reveló discretamente lo que parecía ser el plan de la administración Trump para un despliegue masivo de IA a nivel federal.

El proyecto No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, diseñado para centralizar la implementación de IA en todas las agencias, fue expuesto accidentalmente y eliminado abruptamente cuando comenzaron las consultas de los medios. A pesar de la eliminación, las versiones archivadas circularon rápidamente, lo que generó un intenso escrutinio público.

Este incidente puso de relieve la preocupación por el secretismo en los proyectos tecnológicos federales, especialmente aquellos con amplias implicaciones para el uso de datos, la automatización y la vigilancia.

Fuente:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#39

Noticias Informáticas / Actores de amenazas atacan con HijackLoader y DeerStealer

Junio 16, 2025, 04:32:03 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han observado una nueva ola de ciberataques que involucran a HijackLoader y DeerStealer, utilizando tácticas de phishing para inducir a las víctimas a ejecutar comandos maliciosos.

Según la Unidad de Respuesta a Amenazas (TRU) de eSentire, que descubrió la campaña, esta utiliza ClickFix como vector de acceso inicial.

Las víctimas son redirigidas a una página de phishing que les solicita ejecutar un comando de PowerShell a través del símbolo del sistema de Windows. Este comando descarga un instalador llamado now.msi, que inicia una cadena de acciones que culmina en la ejecución de HijackLoader y la liberación de la carga útil de DeerStealer.

eSentire afirmó que HijackLoader ha estado activo desde 2023 y es conocido por su uso de esteganografía, específicamente ocultando datos de configuración en imágenes PNG.

Una vez ejecutado, el cargador explota binarios legítimos para ejecutar código malicioso sin firmar, inyectando finalmente DeerStealer en la memoria. Las amplias capacidades de robo de DeerStealer

DeerStealer, también comercializado como XFiles Spyware en foros de la dark web por el usuario LuciferXfiles, es un ladrón de información por suscripción con funciones que van mucho más allá del robo de credenciales.

El malware:

Extrae datos de más de 50 navegadores web

Secuestra más de 14 tipos de monederos de criptomonedas mediante la monitorización del portapapeles

Obtiene credenciales de programas de mensajería, FTP, VPN, correo electrónico y clientes de juegos

Incluye VNC oculto para acceso remoto sigiloso

Utiliza canales HTTPS cifrados para la comunicación de comando y control (C2)

El malware también incluye ofuscación modular y máquinas virtuales para descifrar cadenas, lo que dificulta las técnicas de análisis tradicionales.

Trucos de línea de comandos

El ataque comienza cuando el usuario ejecuta, sin darse cuenta, un comando codificado que obtiene el instalador.

Aunque el instalador utiliza un binario firmado de COMODO, carga una DLL manipulada para secuestrar la ejecución. Esta DLL alterada finalmente descifra la siguiente etapa, lo que inyecta DeerStealer en otro proceso legítimo.

A pesar de las herramientas públicas disponibles para descifrar la configuración de HijackLoader, los atacantes continúan utilizando los mismos métodos, lo que indica desconocimiento o indiferencia ante los riesgos de detección.

Amenaza en expansión, herramientas en evolución

eSentire advirtió que DeerStealer está en constante evolución, con nuevas funciones que incluyen compatibilidad con macOS, mejoras basadas en IA y nuevos objetivos de cliente.

Los actores de amenazas que se suscriben a planes de pago más altos (hasta $3000 al mes) reciben beneficios adicionales como reencriptación, firma de carga útil y personalización avanzada.

A medida que estas herramientas se vuelven más sofisticadas, los defensores deben mantenerse alerta.

El TRU de eSentire recomienda monitorear continuamente las amenazas y actualizar los mecanismos de protección de puntos finales para detectar cargadores y ladrones emergentes antes de que se produzca cualquier daño.

Fuente:
InfoSecurity
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#40

Noticias Informáticas / Mercado de la Dark Web de Archetyp confiscado y admin arrestado en España

Junio 16, 2025, 04:23:22 PM

Las fuerzas de seguridad europeas han desmantelado Archetyp Market, una plataforma de la dark web de larga trayectoria utilizada principalmente para la venta de drogas, tras una operación internacional coordinada denominada Operación Deep Sentinel que abarcó seis países. El desmantelamiento pone fin a un importante mercado de drogas en línea que había operado prácticamente sin interrupciones durante más de cinco años.

Archetyp había creado una base global de usuarios superior a los 600.000 y facilitaba transacciones por valor de al menos 250 millones de euros. Los investigadores afirman que era uno de los pocos mercados de la dark web que permitía la venta de fentanilo y otros opioides sintéticos potentes, lo que contribuía a la amenaza generalizada de sobredosis y la circulación de drogas ilícitas en Europa y otros lugares.

La operación se llevó a cabo entre el 11 y el 13 de junio, con la participación de las fuerzas policiales de Alemania, Países Bajos, Rumanía, España y Suecia, quienes llevaron a cabo una serie de operaciones específicas. Cerca de 300 agentes participaron en el operativo, que detuvo al administrador alemán de 30 años (conocido con los alias de YosemiteGhostWrite y BigBossChefOfArchetyp/ASNT) en Barcelona y desmanteló la infraestructura del mercado en los Países Bajos.

Las autoridades también actuaron contra un moderador y seis de los principales vendedores de la plataforma en Alemania y Suecia. Los investigadores incautaron activos valorados en 7,8 millones de euros, que incluyen criptomonedas y bienes físicos.

Dominios Incautados y Aviso Oficial

Las autoridades han incautado todos los dominios de la clear web y en la dark web asociados y operados por Archetyp Market, incluyendo los siguientes:

Archetyp[.[cc

[Zjfsopfrwpvqrhiy73vxb6zq7ksyffkzfyow2gmhgvjsseogy65uguyd.onion]

[Uyeygtqorgwxmp4bskauanuiofeh7frv35nvmghni5aihf32z27ogqqd.onion]

[S4wq4oz66bbyvsv2rg3ixwuwzvoxv226bg3563ptchx7xknelhfu3rqd.onion]

Quienes visiten estos dominios verán un banner de incautación acompañado de un aviso que indica:

"Este dominio ha sido incautado por la Oficina Federal de Policía Criminal (BKA) en nombre de la Fiscalía General de Fráncfort del Meno". Principal como parte de una operación policial coordinada. Las fuerzas del orden han incautado bases de datos y otra información relacionada con este dominio. No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Según el comunicado de prensa de Europol, la operación fue dirigida por la Fiscalía General de Alemania en Fráncfort y contó con el apoyo de Europol y Eurojust. Los investigadores afirman haber identificado a las personas detrás de la plataforma mediante el rastreo de pruebas forenses digitales y la observación de cómo se movía el dinero a través de criptomonedas y sistemas financieros tradicionales.

Jean-Philippe Lecouffe, subdirector ejecutivo de Operaciones de Europol, afirmó que la retirada de Archetyp Market envía un mensaje claro a los narcotraficantes en línea.

"No hay refugio para quienes se benefician del daño", declaró, señalando que el desmantelamiento interrumpe un importante punto de distribución de opioides sintéticos, cocaína, MDMA y otras sustancias ilegales.

El desmantelamiento de Archetyp se suma a la creciente lista de mercados de la dark web clausurados por grupos de trabajo internacionales en los últimos años. Al igual que Dream Market y Silk Road, Archetyp se había ganado una reputación en el mundo criminal por su fiabilidad y alcance. Las autoridades afirman que su desmantelamiento tendrá un gran impacto en las redes de narcotráfico en línea, al menos temporalmente.

Entre las agencias participantes se encuentran la Policía Criminal Federal Alemana, la Policía Nacional Holandesa, la Policía Nacional Rumana, la Policía Nacional Española, la Autoridad Policial Sueca y la Oficina de Investigaciones de Seguridad Nacional de Estados Unidos. La División de Investigación Criminal del IRS y el Departamento de Justicia de Estados Unidos también contribuyeron a la investigación.

Según Europol, este tipo de cooperación transfronteriza ha demostrado ser una de las herramientas más eficaces para combatir la infraestructura criminal en línea. A medida que más vendedores y compradores de la dark web recurren a herramientas de anonimización y criptomonedas, los investigadores están ajustando sus métodos, utilizando análisis avanzados y operaciones conjuntas para mantenerse al día.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Páginas1 2 3 ... 75