Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

#1

Noticias Informáticas / Se filtran los registros de 62 millones de usuarios de iPhone

Mayo 21, 2025, 11:47:47 PM

La base de datos filtrada de iOS para móviles de Apple incluye decenas de millones de registros, como nombres, identificaciones, operadores de telefonía móvil y otros identificadores personales, según afirman los atacantes en un foro sobre filtraciones de datos.

La publicación apareció en un popular foro sobre filtraciones de datos (DarkForums), donde los atacantes alegaron que la información filtrada abarca a usuarios chinos de iOS de Apple, con datos tan recientes como febrero de 2025. Supuestamente, los datos provienen de una aplicación de iOS sin identificar.

El equipo de investigación de Cybernews investigó la limitada muestra de datos proporcionada en la publicación y concluyó que no está del todo claro de qué aplicación se extrajeron los datos ni si las afirmaciones de los atacantes son válidas.




Conjunto de datos que expuso de los usuarios:

Nombres

Documentos de identidad

Géneros

Fechas de nacimiento

Números de teléfono

Provincias

Ciudad

De confirmarse, la filtración podría poner en peligro la privacidad de las personas afectadas (de China...).


Por ejemplo, los atacantes podrían utilizar los datos robados para robo de identidad, fraude financiero o ataques de phishing dirigidos.

Al parecer, los datos no provienen de ninguna filtración anterior. Es posible comprobarlo utilizando el verificador de fugas de datos personales de Cybernews, que contiene más de 15.500 millones de entradas de filtraciones de datos anteriores.

Según los investigadores, el atacante tiene fama de publicar varias filtraciones en el pasado, lo que refuerza la credibilidad de sus afirmaciones. Sin embargo, al menos por ahora, no hay una forma segura de comprobar si el conjunto de datos supuestamente filtrado incluye 62 millones de registros.

Sin embargo, a principios de este año, la investigación de Cybernews reveló que el 71 % de las aplicaciones iOS analizadas filtran al menos un secreto, y el código promedio de una aplicación expone 5,2 secretos. Mientras tanto, la investigación abarcó 156 000 aplicaciones iOS, aproximadamente el 8 % de toda la App Store.

Por ejemplo, se ha descubierto que varias aplicaciones BDSM, LGBTQ+ y de citas para personas con intereses sexuales (sugar dating) exponen imágenes privadas de sus usuarios, y algunas incluso filtran fotos compartidas en mensajes privados.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#2

Noticias Informáticas / Un ataque DDoS casi récord golpea a KrebsOnSecurity – el blog lo resiste

Mayo 21, 2025, 11:45:49 PM

KrebsOnSecurity, un blog sobre ciberseguridad, ha sufrido un ataque de denegación de servicio distribuido (DDoS) casi récord, alcanzando una velocidad de datos de 6,3 terabits por segundo.

El autor del blog, Brian Krebs, es un periodista estadounidense especializado en seguridad informática. Sospecha que el breve ataque es una prueba de una nueva botnet masiva del Internet de las Cosas (IdC).

La velocidad de datos convierte a este ataque DDoS en uno de los más grandes jamás registrados. Cloudflare acuñó previamente el término "hipervolumétrico" para describir ataques DDoS de más de 1 Tbps, capaces de saturar todo el ancho de banda.

Curiosamente, el blog estaba protegido por Project Shield, un servicio gratuito de Google que protege sitios web de noticias, derechos humanos y monitoreo electoral de ataques DDoS.

"El ingeniero de seguridad de Google, Damian Menscher, declaró a KrebsOnSecurity que el ataque del 12 de mayo fue el más grande que Google ha gestionado jamás", declaró Krebs en una entrada de blog. El ataque de 6,3 Tbps de la semana pasada no causó ninguna interrupción visible en este sitio, en parte debido a su brevedad: duró aproximadamente 45 segundos.

El ataque se atribuyó a la botnet Aisuru, una red masiva de routers, DVR y otros dispositivos del Internet de las Cosas (IoT) comprometidos. Esta botnet surgió y ha estado creciendo desde 2024. Se sabe que ofrece servicios de DDoS contratados en Telegram por unos pocos cientos de dólares a la semana.

El mayor ataque DDoS de la historia fue registrado por Cloudflare en abril de 2025, con un pico de 6,5 Tbps.

Los picos masivos de velocidad de datos en ataques hipervolumétricos suelen durar entre 35 y 45 segundos, y en el primer trimestre de 2025, Cloudflare bloqueó más de 700 de estos ataques, algo nunca visto hace un año.

La botnet bombardeó KrebsOnSecurity con grandes paquetes de datos UDP en puertos aleatorios a una velocidad de aproximadamente 585 millones de paquetes por segundo.

Krebs incluso llegó a localizar y contactar al operador de la botnet, conocido en línea como Forky, quien tiene una larga trayectoria en la gestión de un servicio de DDoS contratado; sin embargo, el operador negó su implicación y se quedó con las manos vacías cuando se le presionó para que revelara el cliente responsable del ataque.

Los expertos en seguridad advierten que la botnet Aisuru explota vulnerabilidades desconocidas y se apodera de dispositivos IoT sin competencia de otras botnets, lo que hace que Aisuru sea aún más peligroso debido al nivel concentrado de potencia de fuego.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#3

Noticias Informáticas / Hacker descubre información del gobierno estadounidense

Mayo 21, 2025, 11:44:03 PM

Un hacker que vulneró el servicio de comunicaciones utilizado por el exasesor de seguridad nacional de Trump, Mike Waltz, a principios de este mes interceptó mensajes de un grupo más amplio de funcionarios estadounidenses de lo que se había informado previamente, según una revisión de Reuters, lo que podría aumentar la gravedad de una filtración que ya ha generado dudas sobre la seguridad de datos en la administración Trump.

Reuters identificó a más de 60 usuarios gubernamentales únicos de la plataforma de mensajería TeleMessage en un conjunto de datos filtrados proporcionados por Distributed Denial of Secrets, una organización estadounidense sin fines de lucro cuya misión declarada es archivar documentos pirateados y filtrados en interés público. El material incluía material de personal de respuesta a desastres, funcionarios de aduanas, varios miembros del personal diplomático estadounidense, al menos un miembro del personal de la Casa Blanca y miembros del Servicio Secreto. Los mensajes revisados por Reuters abarcaban un período de aproximadamente un día, hasta el 4 de mayo, y muchos de ellos eran fragmentarios.

TeleMessage, antes poco conocido fuera de los círculos gubernamentales y financieros, atrajo la atención de los medios después de que una fotografía de Reuters del 30 de abril mostrara a Waltz revisando la versión de TeleMessage de la aplicación Signal, centrada en la privacidad, durante una reunión de gabinete.

Reuters no pudo determinar cómo cada agencia había utilizado TeleMessage. El servicio, que utiliza versiones de aplicaciones populares y permite archivar sus mensajes de acuerdo con las normas gubernamentales, ha estado suspendido desde el 5 de mayo, cuando se desconectó "por precaución". La empresa de comunicaciones digitales Smarsh, propietaria de TeleMessage, con sede en Portland, Oregón, no respondió a las solicitudes de comentarios sobre los datos filtrados.

La Casa Blanca declaró en un comunicado que estaba "al tanto del incidente de ciberseguridad en Smarsh", pero no ofreció comentarios sobre el uso de la plataforma. El Departamento de Estado no respondió a los correos electrónicos. El Departamento de Seguridad Nacional, la agencia matriz de FEMA, CISA, el Servicio Secreto y la Oficina de Aduanas y Protección Fronteriza, tampoco respondió a los mensajes. FEMA afirmó en un correo electrónico que no tenía "ninguna evidencia" de que su información hubiera sido comprometida. No respondió cuando se le enviaron copias de los mensajes internos de FEMA. Un portavoz de CBP repitió una declaración anterior señalando que había desactivado TeleMessage y estaba investigando la violación.

Si bien Reuters no pudo verificar todo el contenido de TeleMessage, en más de media docena de casos la agencia de noticias logró establecer que los números de teléfono de los datos filtrados se atribuían correctamente a sus propietarios. Uno de los destinatarios de los mensajes interceptados —un solicitante de ayuda de la Agencia Federal para el Manejo de Emergencias (FEMA)— confirmó a Reuters la autenticidad del mensaje filtrado; una empresa de servicios financieros cuyos mensajes fueron interceptados de forma similar también confirmó su autenticidad.

Con base en su limitada revisión, Reuters no descubrió nada que pareciera ser claramente sensible ni chats de Waltz ni de otros funcionarios del gabinete. Algunos chats sí parecían estar relacionados con los planes de viaje de altos funcionarios del gobierno. Un grupo de Signal, "POTUS | ROME-VATICAN | PRESS GC", parecía estar relacionado con la logística de un evento en el Vaticano. Otro parecía referirse al viaje de funcionarios estadounidenses a Jordania.

Reuters contactó a todas las personas que pudo identificar para solicitar comentarios; algunas confirmaron su identidad, pero la mayoría no respondió o remitió las preguntas a sus respectivas agencias.

RIESGO DE METADATOS

Los datos de contratación federal muestran que el Departamento de Estado y el Departamento de Seguridad Nacional (DHS) han tenido contratos con TeleMessage en los últimos años, al igual que los Centros para el Control y la Prevención de Enfermedades (CDC). Un portavoz de los CDC declaró a Reuters en un correo electrónico el lunes que la agencia realizó una prueba piloto del software en 2024 para evaluar su potencial para los requisitos de gestión de registros, "pero descubrió que no se ajustaba a nuestras necesidades". El estado de los demás contratos no estaba claro. Una semana después del ataque, la agencia estadounidense de ciberdefensa CISA recomendó a los usuarios "interrumpir el uso del producto", a menos que Smarsh les diera instrucciones para mitigar el uso de la aplicación.

Jake Williams, ex especialista en ciberseguridad de la Agencia de Seguridad Nacional, afirmó que, incluso si los mensajes de texto interceptados fueran inofensivos, la gran cantidad de metadatos (el quién y el cuándo de las conversaciones y grupos de chat filtrados) representaba un riesgo de contrainteligencia.

"Incluso si no se tiene el contenido, se trata de un acceso de inteligencia de primer nivel", declaró Williams, actual vicepresidente de investigación y desarrollo de la firma de ciberseguridad Hunter Strategy.

El uso previo de Signal por parte de Waltz generó controversia pública cuando, accidentalmente, añadió a un destacado periodista a un chat de Signal donde él y otros funcionarios del gabinete de Trump discutían en tiempo real sobre los ataques aéreos en Yemen. Poco después, Waltz fue destituido de su cargo, aunque no de la administración: Trump anunció que lo nominaría como el próximo embajador de Estados Unidos ante las Naciones Unidas.

Las circunstancias que rodearon el uso de TeleMessage por parte de Waltz no se han revelado públicamente, y ni él ni la Casa Blanca han respondido a las preguntas sobre el asunto.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#5

Noticias Informáticas / Fuga masiva de datos de Facebook

Mayo 20, 2025, 11:54:23 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Han surgido informes en DarkForums sobre una supuesta nueva base de datos que contiene 1.200 millones de registros de usuarios de Facebook. Quien publicó la información afirma haber obtenido estos datos mediante el uso indebido de una API de Facebook.



Para fundamentar esta afirmación, se ha puesto a disposición una muestra de 100.000 registros para su revisión. Quien la publicó afirma su novedad e insta a compararla con filtraciones de datos anteriores.

Según se informa, la base de datos completa está a la venta, con instrucciones para los posibles compradores. La estructura de los datos de muestra revelados sugiere qué información personal como el ID de usuario, el nombre, el correo electrónico, el nombre de usuario, el teléfono móvil, la ubicación, la fecha de nacimiento y el género podría estar comprometida.

Si bien estas afirmaciones no están verificadas, ponen de manifiesto la persistencia de los riesgos digitales.

Fuente:
DailyDarkWeb.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#8

Análisis y desarrollo de malwares / 'Defendnot' tool engaña a Windows para que desactive Microsoft Defender

Mayo 18, 2025, 12:25:12 AM

Una nueva herramienta llamada "Defendnot" puede desactivar Microsoft Defender en dispositivos Windows registrando un antivirus falso, incluso sin un antivirus real instalado.

El truco utiliza una API no documentada del Centro de Seguridad de Windows (WSC) que el software antivirus utiliza para indicar a Windows que está instalado y que ahora administra la protección en tiempo real del dispositivo.

Cuando se registra un programa antivirus, Windows desactiva automáticamente Microsoft Defender para evitar conflictos al ejecutar varias aplicaciones de seguridad en el mismo dispositivo.

La herramienta Defendnot, creada por el investigador es3n1n, abusa de esta API registrando un antivirus falso que cumple con todas las comprobaciones de validación de Windows.

Descarga: Defendnot:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Contacto del Desarrollador:

es3n1n
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La herramienta se basa en un proyecto anterior llamado "no-defender", que utilizaba código de un antivirus de terceros para suplantar el registro en WSC. Esta herramienta anterior fue retirada de GitHub después de que el proveedor presentara una solicitud de retirada de DMCA.

"Luego, unas semanas después del lanzamiento, el proyecto se disparó y obtuvo aproximadamente 1500 estrellas. Después, los desarrolladores del antivirus que usaba presentaron una solicitud de eliminación por DMCA y, como no quería hacer nada al respecto, simplemente borré todo y lo dejé todo", explica el desarrollador en una entrada de blog.

Defendnot evita problemas de derechos de autor desarrollando la funcionalidad desde cero mediante una DLL de antivirus ficticia.

Normalmente, la API de WSC se protege mediante Protected Process Light (PPL), firmas digitales válidas y otras funciones.

Para eludir estos requisitos, Defendnot inyecta su DLL en un proceso del sistema, Taskmgr.exe, firmado y de confianza por Microsoft. Desde ese proceso, puede registrar el antivirus ficticio con un nombre falso.

Una vez registrado, Microsoft Defender se desactiva automáticamente, dejando sin protección activa el dispositivo.

La herramienta también incluye un cargador que envía datos de configuración mediante un archivo ctx.bin y permite configurar el nombre del antivirus, desactivar el registro y habilitar el registro detallado.

Para mayor persistencia, Defendnot crea una ejecución automática a través del Programador de tareas de Windows para que se inicie al iniciar sesión en Windows.

Si bien Defendnot se considera un proyecto de investigación, la herramienta demuestra cómo se pueden manipular las funciones de confianza del sistema para desactivar las funciones de seguridad.

Microsoft Defender detecta y pone en cuarentena Defendnot como una detección 'Win32/Sabsik.FL.!ml;'.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#9

Noticias Informáticas / Exadmin de Breachforums pagará $ 700k por brecha publicada en su Foro

Mayo 17, 2025, 01:55:15 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En lo que los expertos califican de un novedoso resultado legal, el exadministrador de 22 años de la comunidad de ciberdelincuencia Breachforums perderá casi 700.000 dólares para resolver una demanda civil interpuesta por una compañía de seguros médicos cuyos datos de clientes se publicaron a la venta en el foro en 2023. Conor Brian Fitzpatrick, alias "Pompompurin", será sentenciado nuevamente el próximo mes tras declararse culpable de fraude de acceso a dispositivos y posesión de material de abuso sexual infantil (MASI).

Una captura de pantalla redactada del hilo de ventas de Breachforums


El 18 de enero de 2023, usuarios de Breachforums pusieron a la venta decenas de miles de registros —incluyendo números de Seguro Social, fechas de nacimiento, direcciones y números de teléfono— robados de Nonstop Health, una aseguradora con sede en Concord, California.

Los abogados de la demanda colectiva demandaron a Nonstop Health, que en noviembre de 2023 incluyó a Fitzpatrick como tercero acusado en el litigio civil, varios meses después de que el FBI lo arrestara y lo acusara penalmente de fraude de dispositivos de acceso y posesión de material de abuso sexual infantil (MASI). En enero de 2025, Nonstop acordó pagar 1,5 millones de dólares para resolver la demanda colectiva.

Jill Fertel es una exfiscal que dirige el departamento de litigios cibernéticos de Cipriani & Werner, el bufete que representó a Nonstop Health. Fertel declaró a KrebsOnSecurity que este es el primer y único caso en el que un ciberdelincuente o cualquier persona relacionada con el incidente de seguridad fue nombrado en un litigio civil.

"Es improbable que los demandantes civiles vean que el dinero incautado a los actores de amenazas involucrados en el incidente se ponga a disposición de las personas afectadas por la filtración", declaró Fertel. "Lo máximo que podíamos hacer era poner este dinero a disposición del grupo, pero aún les corresponde a los miembros del grupo afectados presentar esa reclamación".

Mark Rasch, exfiscal federal, ahora representa a Unit 221B, una firma de ciberseguridad con sede en la ciudad de Nueva York. Rasch afirmó no dudar de que el acuerdo civil relacionado con la actividad delictiva de Fitzpatrick sea un avance legal novedoso.

"Es raro en estos casos civiles que se conozca al actor de amenazas involucrado en la filtración, y también es raro que se le detecte con los recursos suficientes para poder pagar una reclamación", afirmó Rasch.

A pesar de admitir la posesión de más de 600 imágenes de material de abuso sexual infantil (MASI) y la gestión personal de Breachforums, Fitzpatrick fue condenado en enero de 2024 a tiempo cumplido y 20 años de libertad supervisada. Los fiscales federales se opusieron, argumentando que su castigo no reflejaba adecuadamente la gravedad de sus crímenes ni servía como elemento disuasorio.

De hecho, el mismo mes en que fue sentenciado, Fitzpatrick fue arrestado nuevamente por violar las condiciones de su liberación, que le prohibían usar una computadora sin el software de monitoreo requerido por el tribunal.

Los fiscales federales afirmaron que Fitzpatrick recurrió a Discord tras declararse culpable y se declaró inocente de los mismos delitos por los que se había declarado culpable, afirmando que su acuerdo de culpabilidad era una "pura tontería" y que había "querido impugnarlo". Los federales afirmaron que Fitzpatrick también bromeó con sus amigos sobre vender datos a gobiernos extranjeros, exhortando a un usuario a "convertirse en un activo extranjero para China o Rusia" y a "vender secretos gubernamentales".

En enero de 2025, un tribunal federal de apelaciones coincidió con la evaluación del gobierno, anulando la sentencia de Fitzpatrick y ordenando su nueva sentencia el 3 de junio de 2025.

Fitzpatrick lanzó BreachForums en marzo de 2022 para reemplazar a RaidForums, un foro sobre delincuencia igualmente popular que fue infiltrado y clausurado por el FBI el mes anterior. Como administrador, su álter ego, Pompompurin, actuó como intermediario, revisando personalmente todas las bases de datos a la venta en el foro y ofreciendo un servicio de intermediario a quienes estuvieran interesados en comprar datos robados.

El nuevo sitio atrajo rápidamente a más de 300.000 usuarios y facilitó la venta de bases de datos robadas a cientos de víctimas de hackers, incluyendo algunas de las mayores filtraciones de datos de consumidores de la historia reciente. En mayo de 2024, el FBI y sus socios internacionales incautaron una versión renovada de Breachforums. Posteriormente, se produjeron más relanzamientos del foro, con la interrupción más reciente el mes pasado.

Como informó KrebsOnSecurity el año pasado en The Dark Nexus Between Harm Groups and The Com, es cada vez más común que los investigadores federales encuentren material de abuso sexual infantil (MASI) al registrar dispositivos incautados a sospechosos de ciberdelincuencia. Si bien la mera posesión de MASI constituye un delito federal grave, no todos los que son descubiertos con MASI son necesariamente sus creadores o distribuidores. Fertel afirmó que algunas comunidades de ciberdelincuentes exigen a los nuevos participantes que compartan material de MASI como prueba de que no son investigadores federales.

"Si vas a los rincones más oscuros de internet, así es como demuestras que no eres un agente del orden", dijo Fertel. "Las fuerzas del orden jamás compartirían ese material. Sería un delito para mí, como fiscal, obtener y poseer ese tipo de imágenes".

Fuente:
KrebsOnSecurity
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

cargo install --git https://gitlab.torproject.org/tpo/core/oniux [email protected]

#12

Noticias Informáticas / Ataque de Remcos RAT evade el antivirus mediante scripts de PowerShell

Mayo 17, 2025, 01:14:41 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva ola de ataques utiliza archivos PowerShell y LNK para instalar en secreto Remcos RAT, lo que permite el control remoto completo y la vigilancia de los sistemas infectados.

Expertos en ciberseguridad de la Unidad de Investigación de Amenazas de Qualys (TRU) han descubierto recientemente un sofisticado ciberataque que utiliza el lenguaje de scripting PowerShell para instalar en secreto Remcos RAT (troyano de acceso remoto).

Este método permite a los atacantes operar sin ser detectados por muchos programas antivirus tradicionales, ya que el código malicioso se ejecuta directamente en la memoria del equipo, dejando muy pocos rastros en el disco duro.

Para su información, Remcos RAT es una potente herramienta que los ciberdelincuentes utilizan para obtener el control total de los equipos infectados. Una vez instalado, les permite espiar a las víctimas, robar datos y realizar otras acciones dañinas.

Según el análisis de Qualys TRU, el ataque comienza cuando un usuario abre un archivo dañino dentro de un archivo ZIP, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que contiene un acceso directo "new-tax311.lnk". Al hacer clic en este archivo .LNK, no se abre un programa normal. En su lugar, utiliza una herramienta de Windows llamada "mshta.exe" para ejecutar un script de PowerShell confuso (ofuscado).

Este script prepara el equipo para la infección con Remcos RAT. Primero, intenta debilitar Windows Defender diciéndole que ignore la carpeta "C:/Users/Public/". También modifica la configuración de PowerShell para permitir la ejecución de scripts inseguros sin previo aviso e intenta ejecutarse de forma oculta. Para garantizar que Remcos RAT se inicie cada vez que se enciende el equipo, el script agrega información al Registro de Windows.

Flujo y dinámica del Ataque


El script también descarga varios archivos a la carpeta "C:/Users/Public/". Uno de ellos podría ser un archivo falso e inofensivo como pp1.pdf. También descarga dos archivos clave: 311.hta (configurado para ejecutarse al inicio y similar a 'xlab22.hta') y '24.ps1'. El archivo '24.ps1' es el script principal y oculto de PowerShell que contiene Remcos RAT. Este script utiliza funciones especiales de Windows (API de Win32) para cargar y ejecutar Remcos RAT directamente en la memoria del equipo, evitando la detección de la seguridad basada en archivos.

El Remcos RAT que analizaron los investigadores de TRU es un programa de 32 bits V6.0.0 diseñado para ser sigiloso y otorgar a los atacantes control sobre los equipos infectados. Tiene un diseño modular, lo que significa que consta de diferentes partes que pueden realizar distintas tareas. El programa también almacena datos cifrados, que descifra cuando es necesario.

Estos datos cifrados contienen la dirección del servidor remoto al que se conecta (readysteaurants.com en el puerto 2025 mediante una conexión segura llamada TLS), el nombre del malware (Remcos) y un código especial (Rmc-7SY4AX) que utiliza para identificar si el equipo ya está infectado.

Remcos puede realizar diversas acciones dañinas, como registrar las pulsaciones de teclas, copiar el contenido del portapapeles, realizar capturas de pantalla, grabar desde micrófonos y cámaras web, y robar información del usuario. También intenta impedir que los programas de seguridad los analicen.

En su investigación, el equipo de Qualys TRU recalcó que los usuarios deben activar el registro de PowerShell y la monitorización de AMSI (una función de Windows que ayuda a detectar scripts maliciosos), así como utilizar una solución EDR (Detección y Respuesta de Endpoints) robusta para una mejor protección.

En un comentario a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Xiaopeng Zhang, analista de IPS e investigador de seguridad de FortiGuard Labs de Fortinet, declaró: «Los atacantes responsables de Remcos están evolucionando sus tácticas. En lugar de explotar la vulnerabilidad CVE-2017-0199 mediante archivos adjuntos maliciosos de Excel, ahora utilizan archivos LNK engañosos camuflados con iconos PDF para inducir a las víctimas a ejecutar un archivo HTA malicioso».

Xiaopeng advirtió: «PowerShell sigue desempeñando un papel en la campaña. Sin embargo, la última variante adopta un enfoque sin archivos, utilizando PowerShell para analizar y ejecutar Remcos directamente en memoria a través de la API CallWindowProc(). Esto supone un cambio con respecto a los métodos anteriores, donde Remcos se descargaba como archivo antes de su ejecución».

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17

Noticias Informáticas / Elon Musk, Ronaldo y Binance son el cebo de la última estafa de Facebook

Mayo 09, 2025, 10:41:14 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una campaña de malware está arrasando la red publicitaria de Facebook, usurpando los nombres de marcas legítimas de criptomonedas y la imagen de Elon Musk para engañar a los usuarios y que descarguen software espía.

Si eres mayor de 18 años, te apasionan las criptomonedas y vives en Europa del Este, es muy probable que el algoritmo de Facebook esté intentando venderte una versión falsa de Binance.

Según una nueva investigación de Bitdefender Labs, los ciberdelincuentes están inundando la red publicitaria de Meta con campañas dirigidas que se hacen pasar por plataformas de intercambio de criptomonedas de renombre, como Binance, TradingView y MetaMask.

Los estafadores utilizan las propias herramientas publicitarias de Meta para optimizar su segmentación, filtrando a las víctimas según el sistema operativo, la dirección IP, el navegador elegido y el estado de inicio de sesión de Facebook para difundir contenido malicioso que incite a las víctimas a instalar malware.



Se informa que una página falsa de criptomonedas publicó más de 100 anuncios de Facebook en un solo día. La mayoría fueron retirados rápidamente, pero no sin antes obtener miles de visitas.

Bitdefender afirma que cientos de estas páginas falsas siguen activas, muchas de las cuales utilizan promociones falsas con celebridades como Elon Musk, Zendaya o Cristiano Ronaldo, cuya verdadera colaboración con Binance le da mayor credibilidad a la mentira.

Una vez que las víctimas hacen clic en el anuncio, son redirigidas a un sitio web falso diseñado para parecerse exactamente a Binance o TradingView, y se les solicita que descarguen una aplicación cliente.



Sin embargo, entre bastidores, un script en el sitio verifica si la víctima es la persona adecuada: si ha iniciado sesión en Facebook, usa el navegador Edge y se encuentra en la ubicación deseada. A continuación, el malware, que roba datos, comienza a infectar el dispositivo de la víctima.

Este sofisticado método de rastreo de usuarios ayuda a eludir las defensas convencionales y a mantener un gran número de víctimas. Bitdefender afirma que los atacantes utilizan una segmentación publicitaria específica, seleccionando a hombres mayores de 18 años en Eslovaquia y Bulgaria interesados en criptomonedas.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19

Noticias Informáticas / Casi el 100% de las memecoins de Solana son una estafa, según un estudio

Mayo 09, 2025, 10:37:29 PM

Aunque algunos defensores de las memecoins afirman que estas criptomonedas altamente especulativas son un tipo de "moneda cultural", esta cultura está plagada de fraudes, ya que una nueva investigación ha confirmado un secreto público, lo que proporciona una visión más detallada del asunto.

Solidus Labs, desarrollador de herramientas de monitoreo de criptoactivos, afirmó haber descubierto que aproximadamente el 99% de los tokens en la plataforma de lanzamiento de memecoin "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta" en la blockchain de Solana (SOL), y el 93% de los fondos de liquidez en la plataforma de intercambio Raydium han exhibido características de esquemas de "pump and dump" o "rug pulls". Mientras que el primero se refiere a la manipulación del precio del token, el segundo se caracteriza por el robo del dinero de los usuarios por parte de los desarrolladores de proyectos de criptomonedas.

"Si no se controlan, estas actividades fraudulentas representan graves riesgos, no solo pérdidas financieras para los operadores, sino también importantes amenazas regulatorias y de reputación para las instituciones de criptomonedas que facilitan el comercio de memecoins", declaró Solidus Labs.

Los investigadores analizaron memecoins creadas en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta entre enero de 2024 y marzo de 2025, y descubrieron que se implementaron más de 7 millones de tokens con al menos cinco operaciones, pero solo 97.000 tokens mantuvieron una liquidez por encima de los 1.000 dólares.



Además, este mercado también es conocido por su infame modelo de precios de curva de bonos. Esto significa que los precios de memecoin suben exponencialmente con cada compra adicional del token, lo que beneficia a los primeros compradores y perjudica a los que entran después.

"Los creadores se benefician directamente de cada compra incremental, mientras que los traders que se unen más tarde invariablemente se enfrentan a precios inflados de tokens y a un mayor riesgo de pérdidas graves cuando los creadores liquidan sus tenencias", explicaron los autores del informe, añadiendo que este es solo uno de los métodos que utilizan los creadores de tokens para obtener ganancias injustas.

Mientras tanto, tras examinar 388.000 fondos de liquidez en la plataforma Raydium, Solidus Labs descubrió que alrededor del 93% de ellos mostraban características de una "retirada suave", cuando la liquidez se retira abruptamente, lo que afecta a los precios y a los inversores de memecoin.

Si bien la mayor retirada alcanzó los 1,9 millones de dólares, la mediana de pérdidas ascendió a 2.832 dólares, según el estudio.

"Estas transacciones demuestran la explotación generalizada de los participantes del mercado, y cientos de comerciantes son víctimas habituales de cada caso de robo de información", concluyó el informe.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#23

Noticias Informáticas / Google lanza herramientas de IA para practicar idiomas

Mayo 08, 2025, 04:17:54 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google lanzó el martes tres nuevos experimentos de IA diseñados para ayudar a las personas a aprender un nuevo idioma de forma más personalizada. Si bien los experimentos aún se encuentran en sus etapas iniciales, es posible que la compañía esté buscando competir con Duolingo con la ayuda de Gemini, el modelo lingüístico multimodal de Google.

El primer experimento te ayuda a aprender rápidamente frases específicas que necesitas en el momento, mientras que el segundo te ayuda a sonar menos formal y más como un nativo.

El tercer experimento te permite usar tu cámara para aprender nuevas palabras según tu entorno.



Google señala que una de las partes más frustrantes de aprender un nuevo idioma es cuando te encuentras en una situación en la que necesitas una frase específica que aún no has aprendido.

Con el nuevo experimento "Tiny Lesson", puedes describir una situación, como "encontrar un pasaporte perdido", para recibir consejos de vocabulario y gramática adaptados al contexto. También puedes obtener sugerencias de respuestas como "No sé dónde lo perdí" o "Quiero denunciarlo a la policía".

El próximo experimento, "Slang Hang", busca ayudar a las personas a sonar menos como un libro de texto al hablar un nuevo idioma. Google afirma que, al aprender un nuevo idioma, a menudo aprendes a hablar de forma formal, por lo que está experimentando con una forma de enseñar a las personas a hablar de forma más coloquial y con jerga local.

Con esta función, puedes generar una conversación realista entre hablantes nativos y ver cómo se desarrolla el diálogo mensaje por mensaje. Por ejemplo, puedes aprender de una conversación entre un vendedor ambulante y un cliente, o de una situación en la que dos amigos que no se ven hace mucho tiempo se reencuentran en el metro. Puedes pasar el cursor sobre términos que no conoces para aprender qué significan y cómo se usan.

Google dice que el experimento ocasionalmente usa incorrectamente cierta jerga y a veces inventa palabras, por lo que los usuarios necesitan compararlas con fuentes confiables.

El tercer experimento, "Word Cam", te permite tomar una foto de tu entorno. Tras esto, Gemini detectará objetos y los etiquetará en el idioma que estás aprendiendo. Esta función también te ofrece palabras adicionales para describirlos.

Google afirma que a veces simplemente necesitas palabras para describir lo que tienes delante, ya que puede mostrarte cuánto aún desconoces. Por ejemplo, puede que sepas la palabra "ventana", pero quizá no sepas la palabra "persiana".

La compañía señala que la idea detrás de estos experimentos es ver cómo se puede utilizar la IA para que el aprendizaje independiente sea más dinámico y personalizado.

Los nuevos experimentos son compatibles con los siguientes idiomas: árabe, chino (China, Hong Kong, Taiwán), inglés (Australia, Reino Unido, EE. UU.), francés (Canadá, Francia), alemán, griego, hebreo, hindi, italiano, japonés, coreano, portugués (Brasil, Portugal), ruso, español (Latinoamérica, España) y turco.

Puedes acceder a las herramientas a través de Google Labs:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#25

Noticias Informáticas / Hackers del Kremlin implementan malware mediante CAPTCHA falsos

Mayo 08, 2025, 04:01:00 PM

Un falso CAPTCHA ruso puede rastrear archivos privados y se ha visto circulando, atacando a altos funcionarios.

"No soy un robot". Probablemente lo hayas visto miles de veces. En algunos casos, en lugar de verificar que eres humano, puedes empezar a desentrañar una cadena de infección que lleva directamente a manos de la inteligencia rusa.

El Grupo de Inteligencia de Amenazas de Google (GTIG) ha identificado una nueva cepa de malware denominada LOSTKEYS. Este nuevo malware es una herramienta de robo digital creada por COLDRIVER, un grupo de hackers respaldado por el Kremlin, también conocido como UNC4057, Star Blizzard y Callisto. Estos son los mismos operadores que han dedicado los últimos años a atacar a funcionarios de la OTAN, diplomáticos occidentales y organizaciones no gubernamentales (ONG).

GTIG identificó que la operación comienza con un falso CAPTCHA. El objetivo es redirigido a un sitio web fraudulento, probablemente tras recibir un enlace por correo electrónico. Cuando verifican su identidad, el sitio web envía un comando de PowerShell al portapapeles y les indica que lo peguen en el indicador de ejecución de Windows, activando así el malware. Esta técnica de ingeniería social, llamada ClickFix, ha ido en aumento, y muchos actores de amenazas la utilizan para atacar a sus víctimas.

Una vez dentro, el malware LOSTKEYS rastrea el sistema, buscando en directorios específicos archivos con extensiones específicas para robar rápidamente credenciales, exfiltrar correos electrónicos y recopilar listas de contactos de las cuentas comprometidas. El malware envía todo lo que puede rastrear directamente a los atacantes.

Si bien el robo de credenciales sigue siendo la táctica principal, en ciertos casos, COLDRIVER escala hasta implementar malware directamente en el dispositivo objetivo, una estrategia reservada para situaciones donde el acceso a archivos locales es crucial.

GTIG afirma haber sido detectado en campañas que se llevaron a cabo en abril de 2025, pero con muestras anteriores que se remontan a diciembre de 2023, camufladas como archivos legítimos vinculados a Maltego, una conocida herramienta OSINT. Aún se desconoce si se trataba de experimentos iniciales o del trabajo de otro actor.

¿Quiénes son los objetivos?

Las operaciones de COLDRIVER son altamente selectivas y se centran en personas con acceso a información confidencial. Según GTIG, el grupo suele perseguir a personas de alto perfil a través de sus cuentas de correo electrónico personales o aquellas asociadas con ONG.

La actividad reciente del grupo se ha centrado en asesores actuales y anteriores de gobiernos y ejércitos occidentales, así como en periodistas, centros de estudios y personal de ONG.

Las personas vinculadas a Ucrania han seguido siendo un objetivo constante, lo que refleja la alineación de COLDRIVER con los objetivos de inteligencia estratégica de Rusia.

En un número pequeño pero considerable de casos, COLDRIVER también se ha vinculado a operaciones de piratería informática y filtración de datos, incluyendo campañas dirigidas a funcionarios del Reino Unido y al menos a una ONG, lo que genera preocupación sobre cómo los datos robados podrían utilizarse como arma para influir en el discurso público o las políticas públicas.

Tras el descubrimiento, la respuesta de Google ha sido rápida. Se han eliminado dominios maliciosos, se han detectado archivos comprometidos mediante Navegación Segura y se ha advertido a usuarios de Gmail y Workspace afectados.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#26

Noticias Informáticas / Filtración del juego de gatos de iOS expone a 450.000 usuarios

Mayo 08, 2025, 03:58:12 PM

El juego para iOS dejó a casi medio millón de usuarios expuestos a hackers que podrían rastrearlos, piratear sus cuentas de Facebook o incluso usar el backend de la aplicación como arma.

Investigadores de Cybernews han descubierto que el juego para iOS "Cats Tower: The Cat Game!" ha estado exponiendo las IP de los jugadores y, en algunos casos, tokens de acceso de Facebook.

En la App Store de Apple, el desarrollador de la aplicación aparece como Rhino Games; sin embargo, su política de privacidad enlaza con una página web perteneciente al desarrollador armenio de juegos móviles Next Epic LLC.

Los datos filtrados podrían permitir a los hackers rastrear el rastro en línea de los usuarios, piratear Facebook y determinar su ubicación. Si bien las direcciones IP no son coordenadas GPS, pueden dar una idea inquietantemente precisa de dónde vive alguien, especialmente al cruzarlas con otros datos públicos o filtrados.

Parte de la información filtrada incluía ID de usuario de Facebook y tokens de acceso. Si bien la cantidad de datos de Facebook fue menor en comparación con la filtración de IP y nombres de usuario, exponerlos es extremadamente peligroso.

Estos tokens de acceso podrían permitir a los atacantes acceder a tu cuenta de Facebook y empezar a publicar estafas con criptomonedas o enviar enlaces de phishing a tus amigos.

Cybernews se ha puesto en contacto con la empresa en repetidas ocasiones, pero no ha recibido respuesta.

¿Qué expuso la aplicación de juego para iOS?

Nombres de usuario
Direcciones IP
ID de Facebook y tokens de acceso
Secretos codificados

La aplicación ha estado filtrando datos confidenciales de los usuarios debido a una configuración incorrecta de Firebase.

En el momento de la investigación, la instancia de Firebase expuesta filtraba las direcciones IP y los nombres de usuario de más de 450.000 usuarios, junto con 229 pares de ID de usuario de Facebook y tokens de acceso.

Firebase se utiliza habitualmente como una base de datos temporal. Se vacía periódicamente a medida que se sincroniza con un backend más permanente, lo que significa que lo que era visible en ese momento podría ser solo la punta del iceberg.

Un atacante astuto podría haber configurado un scraper para monitorear discretamente la base de datos en tiempo real, extrayendo datos nuevos a medida que aparecían, convirtiendo una sola filtración en una operación de vigilancia continua.

Un juego para iPhone filtra información sensible

Para empeorar las cosas, el código base de la aplicación estaba plagado de información sensible, comúnmente conocida como secretos. Estos nunca deberían ser visibles para nadie ajeno al equipo de desarrollo, especialmente si se dejan accesibles a cualquier persona en internet.

Lista de secretos filtrados por el juego para iPhone:

ID de cliente
ID de cliente invertido
ID de cliente de Android
Clave API
ID de proyecto
Depósito de almacenamiento
ID de la aplicación de Google
URL de la base de datos
Identificador de aplicación GAD

Los secretos expuestos se encuentran entre los 10 secretos más filtrados entre las aplicaciones de iOS.

Los expertos en ciberseguridad advierten que dejar claves API, credenciales y otra información sensible en el código de la aplicación publicada (o, en otras palabras, codificarlas) es una práctica peligrosa que podría abrir la puerta a los atacantes.

Con los secretos en su poder, un actor de amenazas podría mapear toda la infraestructura de backend de la aplicación, abusar de sus propios servicios para recopilar más datos de los usuarios, generar solicitudes falsas o incluso enviar spam directamente a través de la infraestructura de la aplicación, utilizándola como arma desde dentro. Las aplicaciones iOS no pueden guardar secretos.

La filtración actual se descubrió en el marco de una investigación de Cybernews, donde los investigadores analizaron 156.000 aplicaciones iOS, aproximadamente el 8% de toda la App Store.

Los investigadores descubrieron algo realmente alarmante: los desarrolladores de aplicaciones codifican de forma rutinaria credenciales confidenciales directamente en el código de sus aplicaciones, dejándolas expuestas. Es preocupante que el 71% de las aplicaciones analizadas filtren al menos un secreto, y el código de una aplicación promedio exponga 5,2 secretos.

Algunos casos son extremadamente problemáticos. Cybernews descubrió que varias apps de citas populares para iOS filtraban credenciales codificadas, lo que daba acceso a almacenamiento en la nube que contenía casi 1,5 millones de fotos de usuarios. Los datos filtrados incluían imágenes eliminadas, contenido que infringía las normas e imágenes privadas enviadas a través de mensajes privados.

En otro caso, una app para iPhone diseñada para ayudar a las familias a rastrear su ubicación filtraba coordenadas GPS en tiempo real. A su vez, un bloqueador de spam para iPhone, diseñado para proteger a los usuarios de llamadas automáticas y mensajes de texto maliciosos, filtraba números bloqueados, palabras clave y tickets de soporte al cliente con nombres y correos electrónicos reales.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#28

Noticias Informáticas / A combatir los bots con "bombas zip"

Mayo 05, 2025, 09:28:16 PM

Los profesionales de la ciberseguridad recurren cada vez más a la guerra de guerrillas cibernética para proteger sus servidores. Un bloguero recibió mucha atención por la táctica de la "bomba zip" para combatir los scrapers y otros bots maliciosos.

La web está repleta de una gran cantidad de rastreadores poco sofisticados, muchos de ellos maliciosos o indeseados. Para combatir esta avalancha, el desarrollador de software Ibrahim Diallo compartió un método aparentemente eficaz.

La "bomba zip" es como una trampa para bots no deseados. Cuando un servidor recibe solicitudes de bots, responde con un pequeño archivo (1-10 MB) comprimido en gzip. Sin embargo, el archivo se descomprime en uno mucho más grande que bloquea inmediatamente a los bots que no pueden gestionar archivos de varios gigabytes.

Ese es el objetivo: saturar el sistema del bot para que deje de responder.

"Devuelvo una respuesta 200 OK y les sirvo una respuesta gzip. El tamaño del archivo varía entre 1 MB y 10 MB, y lo procesan con gusto. Generalmente, cuando lo hacen, no vuelvo a saber de ellos", compartió Diallo en una entrada de blog.

Funciona muy bien porque el contenido comprimido en gzip es una práctica común para ahorrar ancho de banda y acelerar los tiempos de carga. Como muchos navegadores, la mayoría de los bots aceptan respuestas gzip y las descomprimen automáticamente para leer el contenido de la página.

Sin embargo, sus recursos son limitados.

"El archivo se expande una y otra vez hasta que se quedan sin memoria y su servidor colapsa. El archivo de 1 MB se descomprime a 1 GB. Esto es más que suficiente para dañar a la mayoría de los bots. Sin embargo, para esos scripts molestos que no se detienen, les sirvo el archivo de 10 MB. Este se descomprime a 10 GB y lo cierra al instante", dijo el desarrollador.

Diallo compartió abiertamente las instrucciones para crear la bomba zip e incluso un código simple que funciona como middleware y comprueba si la solicitud es maliciosa o si la dirección IP está en la lista negra. Todo se puede hacer con solo unas pocas líneas de código. Sin embargo, el desarrollador advierte que existe el riesgo de bloquear el dispositivo.

Los bots legítimos, como el de Google, están bien diseñados, se identifican claramente y siguen protocolos estrictos.

Aún existe el riesgo de que algún usuario legítimo reciba una bomba zip. Sin embargo, muchos navegadores pueden gestionar o finalizar procesos que requieren un aumento de RAM de más de 1 GB.

El envío intencional de datos diseñados para bloquear otro sistema plantea algunas consideraciones éticas y no es una solución infalible. Las bombas zip se pueden detectar y eludir.

Otros se suman a la tendencia

El lunes, el método de la "bomba zip" se convirtió en el tema más votado en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, una comunidad informática para debatir contenido técnico.

Algunos profesionales de la ciberseguridad afirmaron haber implementado el método. Otros incluso sugirieron mejoras, como dificultar su detección por parte de los bots, activar la "bomba zip" tras un cierto número de solicitudes o envenenar el contenido para los bots de IA.

"Deberías poder usar una pequeña cadena de Markov para generar 1 KiB de texto aleatorio y luego retrorreferencias aleatorias en los límites de palabra que se expanden a unos pocos GiB de texto sin sentido, pero que solo utilizan unos pocos cientos de KiB de ancho de banda. Para mayor diversión, esto envenenaría los elementos de entrenamiento de LLM al alimentarlos con texto sin sentido", sugirió un miembro de la comunidad.

El método de la "bomba zip" se ha implementado anteriormente como una herramienta para explotar la descompresión de archivos. Un ejemplo famoso de una "bomba zip" es el archivo "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta" creado por David Fifield, que solo contiene 42 kilobytes de datos sin comprimir, pero se expande a la asombrosa cifra de 4,5 petabytes sin comprimir.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#30

Noticias Informáticas / Anonymous hackea GlobalX, la aerolínea preferida de Trump para las deportaciones

Mayo 05, 2025, 09:24:20 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo de hackers Anonymous ha vuelto a atacar a la administración Trump, esta vez desconfigurando el sitio web de GlobalX, la aerolínea estadounidense contratada por el Servicio de Inmigración y Control de Aduanas de Estados Unidos (ICE) para deportar a decenas de presuntos pandilleros a El Salvador.

El lunes, Anonymous calificó a Trump de "fascista" y dejó un extenso mensaje en la página de inicio de un subdominio de GlobalX en protesta por la eliminación de "presuntos miembros de una pandilla venezolana".

GlobalX fue la aerolínea contratada por el gobierno estadounidense para transportar a unos 130 migrantes venezolanos a El Salvador el 15 de marzo de 2025.

"¡Pierdes otra vez, Donnie!", escribieron los hacktivistas, en referencia a un fallo del 1 de mayo de un juez federal estadounidense que declaró ilegales las deportaciones.

Titulando la misiva "Operación Acorazado", Anonymous dijo que "ha decidido hacer cumplir la orden del juez ya que usted y su personal adulador ignoran órdenes legales que van en contra de sus planes fascistas".



El infame colectivo de hackers publicó entonces un extracto de tres párrafos del fallo del juez, asegurándose de mencionar que el juez federal de distrito Fernández Rodríguez, quien preside el caso, fue nombrado por Trump durante su último mandato.

"Somos Anonymous. Somos Legión. No perdonamos, no olvidamos. Espérennos", concluía el mensaje.

Anonymous roba los manifiestos de vuelo de GlobalX

Los deportados en el centro de la controversia han sido identificados por el ICE como miembros de la brutalmente violenta "organización criminal transnacional" venezolana conocida como "El Tren de Aragua".

Trump había ordenado previamente la expulsión de migrantes invocando la Ley de Enemigos Extranjeros (AEA), una ley de guerra aprobada en 1768 y utilizada por última vez en la Segunda Guerra Mundial para deportar a "extranjeros invasores".

Aun así, el grupo tenía una sorpresa más para la administración Trump.

Además de desconfigurar el sitio web, Anonymous aparentemente logró extraer el informe confidencial del manifiesto de vuelo de la aerolínea correspondiente al viaje de marzo, que incluiría los nombres y números de pasajeros, información de la tripulación, número de vuelo, horarios de salida y llegada, así como los aeropuertos de origen y destino.

Anonymous presuntamente envió información robada sobre tres vuelos específicos directamente al medio tecnológico 404 Media y a otros. 404 Media informa que la información podría revelar nuevos detalles sobre una demanda colectiva presentada para impedir la expulsión de cinco supuestos deportados de El Tren de Aragua en ese momento. El caso finalmente fue visto por la Corte Suprema de Estados Unidos, que falló a favor de los hombres, pero la deportación ya se había llevado a cabo.

El sitio web de GlobalX ha sido restaurado, pero la aerolínea chárter no ha comentado sobre los problemas de piratería hasta el lunes por la tarde.

A principios de este mes, Anonymous fue noticia tras filtrar una enorme cantidad de 10 TB de datos robados al gobierno ruso, repleta de supuestos archivos de corrupción del Kremlin e incluso información comprometedora sobre Trump.

A diferencia del incidente anterior, hasta el lunes, Anonymous no ha publicado sobre los últimos problemas de piratería en sus perfiles de redes sociales.

Fundada en 2021, Global X opera en Estados Unidos, el Caribe, Europa y Latinoamérica, y es considerada una de las aerolíneas de mayor crecimiento con sede en Miami.

GlobalX presta servicios al gobierno estadounidense, equipos deportivos, casinos y diversos operadores turísticos y aerolíneas, según su sitio web.

La aerolínea a demanda gestiona una flota de 18 aviones de pasajeros Airbus y 4 aviones de carga, con ingresos de 160 millones de dólares en 2023, según afirma.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#34

Noticias Informáticas / Ataque de ransomware al Gobierno de Perú

Mayo 05, 2025, 12:15:12 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según informes, los sistemas del gobierno peruano quedaron incapacitados el viernes tras sufrir un presunto ataque de ransomware, reivindicado por la banda Rhysida. Ahora, la banda cibercriminal solicita cientos de miles de dólares de rescate para liberar los datos robados.

La banda, vinculada a Rusia, publicó el sitio web del gobierno peruano en su blog de filtraciones el jueves por la noche, lo que le dio a la municipalidad del país tan solo 6 días (9 de mayo) para pagar una demanda de rescate no revelada.

Sin embargo, según investigadores de seguridad de Comparatech, las autoridades peruanas niegan que se haya producido un ataque de ransomware. "Se reportaron fallos en el sitio web del gobierno, pero el gobierno ha afirmado que no hay evidencia de un #ciberataque", informó Comparatech en X la madrugada del viernes.

Sitio web del Gobierno del Perú se encuentra caído


Cybernews puede confirmar que el sitio web del gobierno peruano, Gob[.]pe, no cargaba el viernes, aunque en un comunicado oficial visto por la firma de inteligencia de amenazas Venerix, el gobierno peruano indicó que su sitio web oficial se encuentra actualmente en mantenimiento.

La compañía de inteligencia también afirmó en X que ha verificado el 22% de las afirmaciones de Rhysida hasta la fecha. El resto permanece sin confirmar, no refutado.

Comunicado del gobierno de Perú negando ciberataque


Con una población de más de 33 millones, el sitio web oficial del gobierno de la República del Perú figura como la "plataforma digital única del estado", que contiene información sobre trámites, servicios, regulaciones y más, según la descripción del sitio. También gestiona el Registro Nacional de Identificación, incluyendo el registro de pasaportes, el registro de contribuyentes, los registros de seguros de salud, los registros policiales, los registros laborales y más.

Rhysida, un experimentado grupo de ransomware conocido por sus tácticas de doble extorsión, ofrece vender los datos que presuntamente exfiltró de las redes gubernamentales por 5 bitcoins (BTC), equivalentes a aproximadamente 488.000 dólares estadounidenses. El actor de amenazas no ha revelado la cantidad de datos sustraídos en el robo.

"Con solo 7 días de plazo, aprovechen la oportunidad de pujar por datos exclusivos, únicos e impresionantes. Abran sus billeteras y prepárense para comprar datos exclusivos", escribió la banda con su estilo habitual.

"Vendemos solo a una mano, no revendemos, ¡usted será el único propietario!", decía.



Cybernews también puede confirmar que una serie de archivos de muestra, supuestamente provenientes del caché robado, se publicó en el sitio web de Rhysida.

Casi todos los archivos de muestra son ilegibles; uno de ellos, examinado, parece ser un documento administrativo con sello oficial y fechado en junio de 2023.



Este no es el primer ataque de ransomware dirigido a un gobierno latinoamericano. El gobierno de México fue víctima de un presunto ciberataque perpetrado por la banda de cibercriminales RansomHub en noviembre pasado, que dejó fuera de servicio su sitio web oficial y se apoderó de más de 300 GB de datos.

Rhysida ya ha atacado anteriormente

El grupo Rhysida, afiliado a Rusia, ha registrado más de 182 víctimas en su blog desde su creación en mayo de 2023.

La banda es conocida por perseguir objetivos de oportunidad y se ha infiltrado en diversos sectores, como la educación, la salud, la manufactura y los gobiernos locales, según un perfil actualizado del Departamento de Defensa de EE. UU. sobre la banda, publicado en noviembre pasado.

De igual manera, en enero, el grupo afirmó haberse infiltrado en los servidores de Montreal-Nord, en la provincia de Quebec, solicitando al municipio canadiense el pago de un rescate de 1 millón de dólares (10 BTC). Y, en julio pasado, Rhysida atacó con éxito la ciudad de Columbus, Ohio, provocando interrupciones de los servicios municipales que duraron semanas y la reconstrucción de su sitio web oficial.

En el último trimestre de 2024, Rhysida también fue noticia al atacar (y provocar) al Aeropuerto Internacional de Seattle-Tacoma con una exigencia de rescate de 100 BTC tras un ataque que causó una interrupción del sistema durante semanas en el concurrido centro de la Costa Oeste. La brecha de Sea-Tac incluso obligó a algunas aerolíneas importantes, como Delta, Singapore y Alaska Airlines, a escribir a mano las tarjetas de embarque de los pasajeros.

En octubre de ese año, Rhysida también se atribuyó un ataque a Easterseals, una organización benéfica dedicada a ayudar a las personas con discapacidad, junto con una etiqueta de rescate de 1.350.000 dólares (20 BTC).

Un perfil de Trend Micro de febrero de 2024 sobre el grupo reveló que los actores de amenazas a menudo obtienen acceso inicial a sus víctimas mediante ataques de phishing y, en el pasado, se han "presentado como un equipo de ciberseguridad que ofrecía ayuda a sus víctimas para identificar vulnerabilidades de seguridad en sus redes y sistemas", según los investigadores.

Una vez dentro de una red, se sabe que el grupo busca vulnerabilidades del sistema utilizando las herramientas de pentesting Cobalt Strike, lanzando su ransomware homónimo para cifrar el sistema de la víctima.

El grupo de ransomware Vice Society ha sido vinculado a Rhysida mediante tácticas, técnicas y procedimientos (TTP) similares y utilizando el ransomware de Rhysida como afiliado, supuestamente compartiendo una parte de sus ganancias con la banda.

Otras víctimas anteriores incluyen el Washington Times, la Biblioteca Nacional Británica del Reino Unido, el Hospital Infantil Anne & Robert H. Lurie de Chicago y la red estadounidense de hospitales y centros de salud Prospect Medical Group.

En febrero pasado, un equipo de investigación de la Agencia de Internet y Seguridad de Corea (KISA) logró descifrar el código de cifrado de la banda y compartió una herramienta de descifrado de Rhysida gratuita y un manual en su sitio web.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#36

Noticias Informáticas / Ciberestafadores aprovechan el apagón de España y Portugal

Mayo 01, 2025, 08:20:28 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad de Cofense Intelligence descubrieron recientemente una campaña de correo electrónico engañosa que contenía mensajes fraudulentos diseñados para imitar las comunicaciones oficiales de TAP Air Portugal, la aerolínea nacional de Portugal.

Este esquema en particular se explotó de una noticia importante: el apagón generalizado que afectó a España y Portugal el 28 de abril de 2025. Cabe destacar que estos correos electrónicos maliciosos se distribuyeron mientras la interrupción aún estaba en curso. Este momento sugiere un intento deliberado de los perpetradores de aprovechar la confusión y las interrupciones en los viajes causadas por el apagón.

El correo electrónico falso parecía ser legítimo de TAP Air Portugal y afirmaba que los usuarios podrían recibir un reembolso por vuelos retrasados o cancelados debido a las normas europeas de viajes aéreos. El correo electrónico también afirmaba que el dinero se depositaría en su cuenta bancaria en dos días.

El título del correo electrónico invitaba a los usuarios a completar un formulario de reembolso, solicitando información personal identificable (PII) de las víctimas, incluyendo nombres, direcciones, datos de contacto y datos financieros confidenciales. Al hacer clic, los usuarios eran redirigidos a una página web falsa que parecía ser un formulario de reembolso. Sin embargo, cuando hicieron clic en el botón Enviar, no pasó nada y sus datos personales y financieros confidenciales fueron transferidos a los atacantes.



El análisis de Cofense Intelligence revela que esta campaña no se limitó a un solo idioma, ya que los actores de amenazas se dirigieron tanto a personas de habla portuguesa como a hispanohablantes. Esto se evidenció en el uso de dos asuntos distintos en los correos electrónicos.

Para los hablantes de portugués, el asunto decía "Actualización de compensación: retraso en su vuelo reciente". Simultáneamente, los destinatarios hispanohablantes recibieron correos electrónicos con el asunto "Compensación por su vuelo: Complete su solicitud ahora".

Este enfoque multilingüe subraya el amplio alcance y la cuidadosa planificación de este ataque de phishing, señalaron los investigadores en su blog.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Formulario de elegibilidad para reembolso falso


Esta campaña destaca la rapidez con la que los ciberdelincuentes pueden aprovechar eventos reales, como el apagón en España y Portugal, para realizar ataques de phishing. Suplantando la identidad de una aerolínea de confianza y prometiendo una compensación, buscan engañar a los usuarios para que revelen datos personales y financieros confidenciales. Es fundamental estar alerta y revisar cuidadosamente cualquier correo electrónico inesperado, especialmente aquellos que solicitan información personal o financiera.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#40

Noticias Informáticas / LG ya no actualizará tu smartphone después del 30 de junio

Mayo 01, 2025, 07:55:50 PM

El fabricante surcoreano de smartphones, LG, dejará de ofrecer actualizaciones inalámbricas (OTA) para sus smartphones. El 30 de junio de 2025 será la última oportunidad para descargar e instalar una actualización para su dispositivo, si está disponible.

En una página de soporte en línea, LG recomienda a los usuarios instalar una actualización de software para sus smartphones antes de que finalice el mes próximo. Después del 30 de junio de 2025, la compañía dejará de ofrecer las llamadas actualizaciones OTA.

Todos los servidores que almacenan actualizaciones de seguridad y del sistema operativo se desconectarán. La aplicación LG Bridge también dejará de funcionar. Este programa ayuda a los usuarios a realizar copias de seguridad de su teléfono y a restaurarlo. También se utiliza para instalar actualizaciones en teléfonos LG.

"Tras la finalización de este servicio, LG dejará de ofrecer servicios de actualización de software. Si es necesario, actualice el software antes de que finalice el servicio el 30 de junio de 2025", indica LG en su página de soporte.

LG tiene una larga tradición en la fabricación de smartphones y es pionera en la industria. Para muchos, fue una sorpresa cuando la compañía tecnológica surcoreana anunció en 2021 que dejaría de producir y fabricar teléfonos.

LG contó con una impresionante gama de smartphones a lo largo de los años. Por ejemplo, el LG Nexus 5, vendido por Google pero fabricado por LG en 2013, fue el primer teléfono de LG que incorporó Google Now Launcher, que ofrecía una pantalla de inicio rediseñada y una experiencia Android estándar.

¿Y qué tal el LG G Flex, el primer smartphone de LG con pantalla curva, ideal para adaptarse a la mano? Aunque no tuvo gran aceptación entre el público, fue un experimento audaz.

También cabe mencionar el LG G5, que sentó las bases para un enfoque modular que otros fabricantes adoptarían posteriormente en sus diseños, como la serie Motorola Moto Z o el recientemente anunciado CMF Phone 2.

Y por último, el LG Wing, lanzado a finales de 2020. Se convertiría en el último teléfono insignia de LG con un diseño radical, gracias a su pantalla giratoria.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta