Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - AXCESS

#1


Parrot Security ha anunciado el lanzamiento de Parrot 6.4, la nueva versión de esta distribución especializada en seguridad, hacking ético y pruebas de penetración, basada en Debian 12.

Aunque se trata, como viene siendo habitual, de una actualización incremental, Parrot 6.4 destaca por varios motivos, comenzando por el hecho de que será probablemente la última versión de la rama 6 antes de dar el salto a Debian 13 'Trixie'. No en vano, el equipo de desarrollo ya trabaja en Parrot 7.0 y este lanzamiento sirve, en parte, como base para lo que está por venir.

En lo que respecta a las novedades concretas de Parrot 6.4, lo principal es la renovación de paquetes, incluyendo componentes básicos del sistema como el mismo kernel, que se actualiza a Linux 6.12, systemd, glibc, curl, GCC, GPG...; pero también del conjunto de herramientas incluidas con este, como Metasploit 6.4, Powershell Empire 6.1, Caido 0.48, Airgeddon 11.50, Beef XSS 0.5, Starkiller 3.0, Netexec 1.4, Ruby CMS Scanner 0.15, Enum4linux-ng 1.3 y otros tantos.

También se ha actualizado Firefox ESR, con los parches de privacidad propios de Parrot y un nuevo sistema de recuperación automática de la configuración personalizada, para evitar que se pierda tras las actualizaciones del navegador. En total, se han actualizado decenas de paquetes en todos los frentes, incluyendo LibreOffice, Chromium, PipeWire, Postgresql, QEMU, Java, etc.

A destacar también la mejora del soporte para Raspberry Pi, con kernel actualizado a la versión 6.12, así como los avances en el sitio web del proyecto, que ha adoptado versiones más modernas de NextJS y React.

Otra incorporación llamativa es la de Rocket, una herramienta para lanzar contenedores Docker con herramientas de seguridad del repositorio de Parrot que ya se introdujo en versiones anteriores y ahora se puede instalar directamente desde los repositorios del sistema.

En resumen, Parrot 6.4 no introduce grandes novedades conceptuales, pero consolida lo anterior con una batería de actualizaciones, mejoras de calidad de vida y la preparación para un futuro próximo que pasará por Parrot 7 y Debian 13, cuyo lanzamiento tiene que estar al caer.

Más información y descarga, en la web oficial del proyecto:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
MuyLinux
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#2


Todo proyecto de desarrollo de software está condicionado, en menor o mayor medidas, por tensiones internas. Incluso proyectos tan consolidados como el del kernel de Linux.

Y es que, en los últimos meses, un conflicto entre Linus Torvalds, el creador y principal mantenedor del kernel de Linux, y Kent Overstreet, desarrollador del moderno sistema de archivos Bcachefs, se ha salido de control hasta provocar lo impensable: la eliminación de más de una década de trabajo del kernel.

¿Qué es Bcachefs y por qué era tan prometedor?

Bcachefs es un sistema de archivos moderno desarrollado por Kent Overstreet, exingeniero de Google, durante más de 10 años. Diseñado con características de última generación como snapshots, cifrado nativo, soporte para RAID y una alta eficiencia en SSD, se planteaba como un competidor serio frente a sistemas como Btrfs, ZFS o incluso EXT4 (el más común en Linux).

Desde su inclusión inicial en el kernel 6.7 a comienzos de 2024, Bcachefs fue considerado 'experimental', pero su potencial lo convertía en algo muy prometedor para los usuarios y desarrolladores avanzados del ecosistema Linux.

Sin embargo, desde sus primeras interacciones con la comunidad del kernel, Overstreet demostró ser un desarrollador tan brillante como conflictivo. Y eso nos ha llevado al punto actual.

Un conflicto más allá de meras diferencias técnicas

Los problemas surgieron durante el desarrollo del kernel 6.16. Concretamente en la fase conocida como 'release candidate', en la que sólo se permiten correcciones de errores. Sin embargo, Overstreet envió un "pull request" que incluía una nueva funcionalidad: una opción de montaje para reparaciones de emergencia.

Esta violación del proceso molestó bastante a Torvalds, quien ya había rechazado previamente la inclusión del código por considerarlo inapropiado para esa fase. A pesar de la advertencia, Overstreet insistió, lo que llevó a Torvalds a aceptar los cambios con una dura sentencia:

"He integrado este código, pero creo que tomaremos caminos separados cuando llegue la próxima ventana de fusión, en la versión 6.17".

Torvalds también criticó abiertamente la actitud de Overstreet, acusándolo de haber creado una situación en la que "no se puede ni siquiera cuestionar las correcciones de errores" sin provocar una reacción hostil. En un ecosistema donde la revisión por pares y el debate abierto son pilares del progreso, esa actitud era inaceptable. Torvalds añadió con frustración:

"Lo cierto es que, en ese punto, ya no me siento nada cómodo participando".

La tensión no era nueva. Overstreet ya había sido suspendido del desarrollo del kernel 6.13 en 2024 por violaciones al código de conducta, debido a comentarios agresivos hacia otros desarrolladores. Estas actitudes deterioraron la cooperación dentro de la comunidad y disuadieron a otras empresas y colaboradores de participar en el desarrollo de Bcachefs.

La decisión de Torvalds

Ahora, Torvalds ha decidido eliminar por completo Bcachefs del kernel. La razón oficial se centra en los constantes conflictos técnicos y personales con Overstreet, así como en la preocupación por la estabilidad del sistema.

Una de las gotas que colmaron el vaso fue la inclusión apresurada de la función 'journal-rewind', a pesar de que contenía errores sin resolver. Este tipo de comportamiento, que ignora el consenso y los procesos comunitarios, va en contra del ethos del desarrollo colaborativo de Linux.

Aunque en condiciones normales eliminar un sistema de archivos ya integrado sería impensable por el principio de "no romper flujos de trabajo de los usuarios", en este caso se considera justificado dado que Bcachefs aún era experimental.

¿Qué pasará con Bcachefs?


"Eliminar Bcachefs del kernel de Linux es probablemente la mejor manera de poner fin a esta disputa. Pero me temo que los usuarios pagarán el precio", reconoció Overstreet, aceptando la decisión con resignación.

Su respuesta sugiere que la historia de Bcachefs podría continuar fuera del kernel principal, aunque ya sin el respaldo de la estructura oficial de Linux. Existen varias rutas para su supervivencia:

•   Desarrollo externo: La comunidad puede mantener el proyecto fuera del kernel oficial, permitiendo que los interesados lo integren manualmente en sus sistemas.

•   Uso mediante FUSE: Es posible implementar Bcachefs como un sistema de archivos en espacio de usuario, aunque con menor rendimiento.

•   DKMS: Los usuarios avanzados podrían compilar el soporte de Bcachefs en sus propios kernels, como se hace con algunos drivers propietarios como los de Nvidia.

Fuente:
Genbeta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#3


Microsoft ha cambiado el pantallazo de la muerte de Windows 11, aunque este cambio será exclusivo de las versiones más actuales de dicho sistema operativo, lo que significa que probablemente solo se empezará a utilizar en la versión 24H2 o en la 25H2.

Una de las novedades más importantes que trae ese nuevo pantallazo de la muerte es el cambio de un color azul a un color negro. Esto hace que la interfaz cambie por completo, y que las sensaciones que transmite al usuario sean diferentes.

También cambia la interfaz y la forma en la que se muestran los errores, así como su funcionamiento. Según Microsoft, el nuevo pantallazo de la muerte de Windows 11 hace una mejor recopilación de volcados, una tarea que se produce cuando el sistema operativo falla, y que contiene información de gran utilidad.

Cuando se produce el pantallazo tenemos que esperar un tiempo a que termine el proceso de volcado, por eso aparece el porcentaje en la pantalla, que nos indica lo que falta para que este se complete y para que se produzca el reinicio del equipo.


La mejora más importante está relacionada con el tiempo de volcado. Este se ha reducido notablemente haciendo que el proceso de recopilación sea más rápido, y gracias a ello ahora es posible pasar de un pantallazo a un reinicio en tan solo dos segundos. Esto quiere decir que el tiempo de espera será mínimo entre el pantallazo y la recuperación del equipo.

Esto es positivo, pero el nuevo diseño de la interfaz tiene un problema que hace que sea peor que el anterior, y es que se parece demasiado a la pantalla de Windows Update que muestra el estado de las actualizaciones:



Esto hace que sea peor que el anterior, ya que podría generar cierta confusión, sobre todo entre los usuarios con menos conocimientos.

Microsoft debería utilizar algunos detalles para diferenciar mejor el nuevo pantallazo de la muerte de la pantalla de actualizaciones. El color pudiera ser un factor.

Fuente:
MuyComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#4


7-Zip 25 es la nueva versión del mejor descompresor/compresor de archivos de código abierto. Si esta aplicación, totalmente gratuita, destacaba en el apartado del rendimiento, esta versión apunta aún más alto ya que mejora la velocidad en cualquier tipo de formato y es la primera en soportar procesadores con más de 64 subprocesos, como los Threadripper de AMD.

Los compresores de archivos son un tipo de aplicación muy útil para cualquier PC. Aunque la capacidad de almacenamiento de discos duros o SSD ha venido aumentado, el espacio disponible puede llegar a ser un problema para cualquier computadora y este tipo de herramienta ayuda especialmente para reducir su tamaño.

Y no solo son útiles para ahorrar espacio ya que también permiten organizar mejor los archivos, pudiendo incluir 10, 100 o 1000 de ellos en un solo archivo comprimido, lo que es muy útil para envíos en correos electrónicos, subidas a la nube o tareas de Backup.

La velocidad de ejecución a la hora de comprimir y descomprimir archivos es una de las características principales de estas herramientas. Y 7-Zip ha brillado especialmente en esa tarea. Una de las grandes novedades de la versión es que permite usar más de 64 subprocesos de CPU para comprimir archivos.

No todos tienen este tipo de procesador, pero si cuentas (por ejemplo) con una computadora de escritorio de alto rendimiento HEDT o una estación de trabajo con procesadores Threadripper de AMD (o Intel Xeon) podrás trabajar con este tipo de archivos a la velocidad de la luz. Poniendo el dato en contexto, decir que la aplicación nativa de Windows 11 usa un solo subproceso.

Los responsables de este desarrollo aseguran que la velocidad de compresión en formato bzip2 se ha incrementado hasta en un 40%. La velocidad en otros formatos como .zip o .gz también ha mejorado. Por supuesto, aunque 7-Zip 25 usa su propio formato de archivos '7z' por defecto, soporta otros populares como ZIP y RAR, usa una variedad de algoritmos de compresión como bzip2, LZMA y LZMA2, tiene capacidad de auto extracción, soporte para arrastrar y soltar y un potente administrador de archivos.

Puedes descargar la última versión de Z-Zip para Windows, Linux y macOS desde el sitio web oficial:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La versión para Windows está disponible como aplicación gráfica de escritorio y como utilidad de línea de comandos, pero para Linux y Mac solo hay versiones para consola. También hay disponibles versiones portátiles y de instalación de la versión para Windows, para procesadores x86 de 32 bits, x86 de 64 bits (amd64) y ARM de 64 bits. Si usas archivos comprimidos, 7-Zip 25, de código abierto y totalmente gratuito, es absolutamente recomendable.


Fuente
:
MuyComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#5


Hay aplicaciones que trascienden su propia categoría y se convierten en espejo de su tiempo. TikTok es el ejemplo perfecto: en apenas unos años ha transformado la forma en la que consumimos entretenimiento, aprendemos, compramos o nos informamos. Su éxito, sin embargo, ha sido proporcional a las sospechas que ha generado en gobiernos occidentales. Ahora, con más de 150 millones de usuarios en Estados Unidos, la plataforma afronta su mayor amenaza en el país que más ha contribuido a su expansión global.

La situación se remonta a principios de este año, cuando entró en vigor una ley aprobada en 2024 que exige a ByteDance, la matriz china de TikTok, vender la aplicación a inversores no chinos si quiere seguir operando en Estados Unidos. El argumento oficial se basa en la seguridad nacional: temen que los datos de los usuarios estadounidenses puedan acabar en manos del gobierno de Pekín. Aunque la empresa siempre ha negado estas acusaciones, la presión política no ha cesado y, tras varias prórrogas, el reloj avanza inexorable hacia la fecha límite.

Según informa The Information, ByteDance estaría ultimando un acuerdo con un grupo de inversores no chinos, entre los que destacaría Oracle. La operación permitiría transferir la mayoría de la propiedad a este consorcio, mientras ByteDance mantendría una participación minoritaria, algo que la normativa permite y que garantizaría a la compañía china seguir vinculada, en parte, al futuro de la plataforma.

En paralelo a la negociación, ByteDance está desarrollando una versión independiente de TikTok destinada exclusivamente a Estados Unidos. El plan es ambicioso y contempla su lanzamiento para el 5 de septiembre de este mismo año. Desde ese momento, los usuarios estadounidenses tendrán hasta marzo de 2026 para migrar a la nueva aplicación, ya que la versión global dejará de funcionar en el país. Esta separación supone un paso histórico, no solo para la plataforma, sino para la concepción misma de la globalización digital.

El principal escollo para cerrar el acuerdo no está, curiosamente, en Washington, sino en Pekín. El gobierno chino mantiene capacidad de veto sobre la operación y, hasta ahora, no se ha pronunciado a favor de autorizar la venta. Esta incertidumbre aumenta la tensión política en ambos lados del Pacífico y obliga a todas las partes a moverse con cautela para no dinamitar un negocio que genera miles de millones de dólares en ingresos publicitarios.

En el trasfondo de esta operación aparece, claro, la figura de Donald Trump, actual presidente estadounidense y principal defensor de un TikTok «americanizado» frente a su propio partido. Tras haber prorrogado el veto en tres ocasiones, Trump afirmó recientemente que iniciará conversaciones con el gobierno chino esta misma semana para intentar salvar la aplicación. Su postura responde tanto a un cálculo electoral –TikTok es extremadamente popular entre los jóvenes, un voto clave en su estrategia– como a un intento de desmarcarse de las voces más proteccionistas de su administración, pese a que fue también su propia administración, en su anterior mandato, quien inició la persecución a esta red social.

La historia de TikTok en Estados Unidos está lejos de resolverse. Su posible fragmentación en dos aplicaciones diferentes, con contenidos, normativas y servidores distintos, marca un precedente sobre la fragmentación digital global. Lo que nació como una plataforma de bailes virales y retos humorísticos se ha convertido en el epicentro de una guerra geopolítica silenciosa. Y mientras tanto, millones de creadores y empresas que dependen de ella para vivir miran con incertidumbre un futuro cada vez más condicionado por decisiones que nada tienen que ver con los vídeos que suben a diario.

Quizá sea este el verdadero mensaje que nos deja TikTok hoy: la tecnología que nos conecta también puede dividirnos cuando los intereses políticos y económicos superan la voluntad de los usuarios. En un mundo donde la información circula sin fronteras, los muros digitales no hacen más que recordarnos hasta qué punto dependemos de decisiones que se toman lejos, muy lejos, de la pantalla que sostenemos cada mañana.

Fuente:
MuyComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#6


De un tiempo a esta parte, CapCut se ha convertido en una de las herramientas de edición de vídeo más empleadas, especialmente por creadores de contenidos. Y, en verdad, hay muchas razones para ello, empezando por la enorme cantidad de funciones que integra, la calidad de los resultados de las mismas y, además, una sencillez de uso unida a la definición de flujos de trabajo realmente intuitivos.

También ha sido de ayuda para su popularidad el ser un producto de ByteDance, la tecnológica china responsable de TikTok.
Android Police hace éco de que CapCut ha cambiado recientemente su licencia de uso, en una modificación en la que que ahora reclama los derechos permanentes sobre todo lo que subas o sincronices, incluyendo tus videos, nombre y rostro. Cualquier contenido que proceses con la aplicación, aunque sea para compartirlo en privado, porque quieres tener una copia editada de tus videos personales o, incluso, si lo deshechas (es decir, si no llegas a publicarlo en ninguna parte), ByteDance pretende poder hacer lo que le de la gana con ese material, te parezca bien o no.

está por ver cómo encaja eso en los diversos marcos legales que rigen los lugares en los que residen sus usuarios, pero la simple idea de que tu contenido personal, una vez que pasa por las herramientas de edición de CapCut, pueda ser empleado por ellos libremente, supone un cambio de paradigma aterrador.

Si a ByteDance le sale bien la jugada, otros muchos vayan detrás reproduciendo exactamente el mismo modelo.
El gran cambio que ha experimentado el mercado del software en los últimos 15 años, ha propiciado que el usuario tenga cada vez menos control, al tiempo que tiene que pagar más. Lejos van quedando ya los tiempos en los que, por un pago único, podías emplear una aplicación de manera ilimitada, y sin tener que preocuparte por nada. El modelo de suscripción, el software como servicio, la integración de servicios en remoto (frente al procesado local tradicional), etcétera, han dado lugar a disparates como éste, en el que cada vez, por más, obtenemos menos. Y esto me parece lamentable.

Fuente:
MuyComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#7


A partir del 7 de julio, los usuarios de Android podrían descubrir que Gemini AI de Google puede acceder a sus aplicaciones favoritas, como WhatsApp, Mensajes y Teléfono, incluso si previamente lo han desactivado.

A menos que los usuarios tomen medidas explícitas, el asistente de IA se está adaptando a las aplicaciones de terceros de forma predeterminada, gracias a una discreta actualización de políticas que Google presentó como una nueva función "útil".

Esta medida marca un cambio importante en la integración de la IA de Google en Android y está generando inquietud en la comunidad de privacidad.

Según se informa, Google envió un correo electrónico a los usuarios de Android indicando que la actualización permite a Gemini interactuar con aplicaciones de terceros incluso cuando los usuarios habían bloqueado el acceso previamente.

El correo electrónico compartido por Android Police sugiere que los usuarios pueden bloquear algunas interacciones y que Gemini podría seguir almacenando ciertos datos hasta por 72 horas, independientemente de la configuración.

El mensaje indica que "revisores humanos leen, anotan y procesan" los datos a los que accede Gemini. Sin embargo, en ningún punto del mensaje se explica cómo eliminar Gemini por completo del dispositivo.

¿Cómo desactivar Gemini en tu dispositivo?

Si no te entusiasma que la IA de Gemini de Google acceda a tus aplicaciones o simplemente no quieres que la IA esté cerca de tus mensajes y llamadas, no estás solo.

Según la entrada del blog de Tuta, hay varias maneras de limitar o desactivar el alcance de Gemini en tu dispositivo Android. Sin embargo, incluso desactivando la mayor parte de la función, Google conserva tus datos hasta por 72 horas.

Opción 1: Desactivar completamente la aplicación Gemini

Ve a Ajustes > Aplicaciones
Busca y selecciona Gemini
Pulsa Desactivar

Esto impide que Gemini se ejecute o acceda a cualquier aplicación, pero no la elimina de tu dispositivo.

Opción 2: Impedir que Gemini se comunique con otras aplicaciones

¿Quieres seguir usando Gemini, pero no quieres que hurgue en tu WhatsApp o Mensajes? Puedes desactivar manualmente el acceso a las aplicaciones:

Abre la aplicación Gemini

Pulsa el icono de tu perfil (esquina superior derecha)

Ve a Aplicaciones

Desactiva todas las extensiones de las aplicaciones que quieras bloquear. Esto no detendrá la recopilación de datos, pero limitará la integración de Gemini en tu teléfono.

Opción 3: Desactivar la actividad de la app Gemini

Para evitar que Gemini guarde tus indicaciones y las use para entrenar la IA de Google, desactiva el seguimiento de actividad:

Abre la app Gemini

Pulsa el icono de tu perfil

Navega hasta Gemini > Actividad de apps

Desactívala

Incluso con esta opción desactivada, Google seguirá almacenando tu actividad en Gemini hasta 72 horas "por seguridad y para obtener feedback", según la compañía.

Opción 4: Desinstalar Gemini por completo (avanzado)

Si eres experto en tecnología y quieres eliminar Gemini, tendrás que conectar tu dispositivo Android a un ordenador y usar las herramientas para desarrolladores. Así es como se hace:

Instala ADB (Android Debug Bridge) en tu ordenador

Conecta tu teléfono por USB y autoriza la conexión

Ejecuta el siguiente comando en tu terminal: "adb shell pm uninstall com.google.android.apps.bard"

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#8


Martes de Parches de julio de 2025 de Microsoft, que incluye actualizaciones de seguridad para 137 vulnerabilidades, incluyendo una vulnerabilidad de día cero divulgada públicamente en Microsoft SQL Server.

Este Martes de Parches también corrige catorce vulnerabilidades "críticas": diez de ellas son vulnerabilidades de ejecución remota de código, una es una vulnerabilidad de divulgación de información y dos son vulnerabilidades de ataque de canal lateral de AMD.

El número de errores en cada categoría de vulnerabilidad se detalla a continuación:

53 vulnerabilidades de elevación de privilegios

8 vulnerabilidades de omisión de funciones de seguridad

41 vulnerabilidades de ejecución remota de código

18 vulnerabilidades de divulgación de información

6 vulnerabilidades de denegación de servicio

4 vulnerabilidades de suplantación de identidad

Estos recuentos no incluyen cuatro problemas de Mariner y tres de Microsoft Edge corregidos a principios de este mes.

Un día cero y una vulnerabilidad crítica en Microsoft Office

El martes de parches de este mes corrige un día cero divulgado públicamente en Microsoft SQL Server. Microsoft clasifica una vulnerabilidad de día cero como divulgada públicamente o explotada activamente, mientras que no existe una solución oficial disponible.

El día cero divulgado públicamente es:

CVE-2025-49719 - Vulnerabilidad de divulgación de información en Microsoft SQL Server

Microsoft corrige una vulnerabilidad en Microsoft SQL Server que podría permitir que un atacante remoto no autenticado acceda a datos de memoria no inicializada.

"La validación de entrada incorrecta en SQL Server permite que un atacante no autorizado divulgue información a través de una red", explica Microsoft.

Los administradores pueden corregir la vulnerabilidad instalando la última versión de Microsoft SQL Server y el controlador OLE DB 18 o 19 de Microsoft.

Microsoft atribuye el descubrimiento de esta vulnerabilidad a Vladimir Aleksic, de Microsoft, y no proporciona detalles sobre cómo se divulgó públicamente.

Si bien hubo solo un día cero en este martes de parches, Microsoft reparó numerosas fallas críticas de ejecución remota de código en Microsoft Office que pueden explotarse simplemente abriendo un documento especialmente diseñado o cuando se visualiza a través del panel de vista previa.

Microsoft afirma que las actualizaciones de seguridad para estas fallas aún no están disponibles para Microsoft Office LTSC para Mac 2021 y 2024, y que se lanzarán próximamente.

La compañía también corrigió otro error de ejecución remota (RCE) crítico en Microsoft SharePoint, identificado como CVE-2025-49704, que puede explotarse remotamente a través de internet siempre que se tenga una cuenta en la plataforma.
Actualizaciones recientes de otras compañías

Otros proveedores que publicaron actualizaciones o avisos en julio de 2025

AMD reveló nuevos ataques de programador transitorio basados en un informe de Microsoft titulado "Entrada, salida, fallo de página, fuga: Prueba de límites de aislamiento para fugas microarquitectónicas".

Cisco lanzó numerosos parches este mes, incluyendo uno para credenciales SSH raíz codificadas en Unified CM.

Fortinet lanzó hoy actualizaciones de seguridad para varios productos, como FortiOS, FortiManager, FortiSandbox, FortiIsolator y FortiProxy.

Google lanzó actualizaciones de seguridad para Chrome para corregir una vulnerabilidad de día cero explotada activamente, identificada como CVE-2025-6554. Google no publicó ningún parche de seguridad para Android en su Boletín de Seguridad de Android de julio de 2025.

Grafana ha publicado correcciones de seguridad para cuatro vulnerabilidades de Chromium en el plugin Grafana Image Renderer y el Agente de Monitoreo Sintético.

Ivanti publicó actualizaciones de seguridad para fallas en Ivanti Connect Secure y Policy Secure, Ivanti EPMM e Ivanti EPM. Ninguna de estas vulnerabilidades ha sido reportada como explotada activamente.

SAP publicó las actualizaciones de seguridad de julio para varios productos, incluyendo la actualización de una falla anterior (CVE-2025-30012) en SAP Supplier Relationship Management a una calificación de 10/10.

Actualizaciones de seguridad del martes de parches de julio de 2025

A continuación, se muestra la lista completa de vulnerabilidades resueltas en las actualizaciones del martes de parches de julio de 2025.

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas a los que afecta, puede consultar el informe completo aquí:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#9


Una novedosa técnica de tapjacking puede explotar las animaciones de la interfaz de usuario para eludir el sistema de permisos de Android y permitir el acceso a datos confidenciales o engañar a los usuarios para que realicen acciones destructivas, como borrar el dispositivo.

A diferencia del tapjacking tradicional basado en superposiciones, los ataques TapTrap funcionan incluso con aplicaciones sin permisos para lanzar una actividad transparente inofensiva sobre otra maliciosa, un comportamiento que no se ha mitigado en Android 15 y 16.

TapTrap fue desarrollado por un equipo de investigadores de seguridad de la Universidad Técnica de Viena (TU Wien) y la Universidad de Bayreuth (Philipp Beer, Marco Squarcina, Sebastian Roth, Martina Lindorfer), y se presentará el próximo mes en el Simposio de Seguridad de USENIX.

Sin embargo, el equipo ya ha publicado un documento técnico que describe el ataque y un sitio web que resume la mayoría de los detalles:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cómo funciona TapTrap

TapTrap aprovecha la forma en que Android gestiona las transiciones de actividad con animaciones personalizadas para crear una discrepancia visual entre lo que ve el usuario y lo que el dispositivo realmente registra.

Una aplicación maliciosa instalada en el dispositivo objetivo abre una pantalla sensible del sistema (solicitud de permiso, configuración del sistema, etc.) desde otra aplicación mediante 'startActivity()' con una animación personalizada de baja opacidad.

"La clave de TapTrap reside en usar una animación que hace que la actividad objetivo sea prácticamente invisible", afirman los investigadores en un sitio web que explica el ataque.

"Esto se puede lograr definiendo una animación personalizada con una opacidad inicial y final (alfa) baja, como 0,01", lo que hace que la actividad maliciosa o de riesgo sea casi completamente transparente.

"Opcionalmente, se puede aplicar una animación de escala para ampliar un elemento específico de la interfaz de usuario (por ejemplo, un botón de permiso), haciéndolo ocupar la pantalla completa y aumentando la probabilidad de que el usuario lo toque".

Descripción general de TapTrap


Aunque el mensaje inicial recibe todos los eventos táctiles, el usuario solo ve la aplicación subyacente, que muestra sus propios elementos de interfaz de usuario, ya que sobre ella se encuentra la pantalla transparente con la que interactúa.

Al creer que interactúa con la aplicación, el usuario puede tocar en posiciones específicas de la pantalla que corresponden a acciones arriesgadas, como los botones "Permitir" o "Autorizar" en mensajes prácticamente invisibles.

Un vídeo publicado por los investigadores demuestra cómo una aplicación de juegos podría aprovechar TapTrap para habilitar el acceso a la cámara de un sitio web a través del navegador Chrome:

Vídeo TapTrap PoC demonstration
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Exposición al riesgo

Para comprobar si TapTrap funcionaba con las aplicaciones de Play Store, el repositorio oficial de Android, los investigadores analizaron cerca de 100.000. Descubrieron que el 76 % de ellas son vulnerables a TapTrap, ya que incluyen una pantalla ("actividad") que cumple las siguientes condiciones:

Puede ser iniciada por otra aplicación

Se ejecuta en la misma tarea que la aplicación que la llama

No anula la animación de transición

No espera a que la animación termine para reaccionar a la entrada del usuario

Los investigadores afirman que las animaciones están habilitadas en la última versión de Android a menos que el usuario las desactive desde las opciones de desarrollador o la configuración de accesibilidad, lo que expone los dispositivos a ataques de TapTrap.

Durante el desarrollo del ataque, los investigadores utilizaron Android 15, la versión más reciente en ese momento, pero tras el lanzamiento de Android 16, también realizaron algunas pruebas.

Marco Squarcina declaró a BleepingComputer que probaron TapTrap en un Google Pixel 8a con Android 16 y pueden confirmar que el problema sigue sin resolverse.

GrapheneOS, el sistema operativo móvil centrado en la privacidad y la seguridad, también confirmó a BleepingComputer que la última versión de Android 16 es vulnerable a la técnica TapTrap y anunció que su próxima versión incluirá una solución.

BleepingComputer contactó a Google sobre TapTrap, y un portavoz afirmó que el problema se mitigará en una futura actualización:

"Android mejora constantemente sus medidas de mitigación contra los ataques de tapjacking. Estamos al tanto de esta investigación y abordaremos este problema en una futura actualización. Google Play cuenta con políticas para garantizar la seguridad de los usuarios, que todos los desarrolladores deben cumplir, y si detectamos que una aplicación ha infringido nuestras políticas, tomamos las medidas pertinentes", declaró un representante de Google.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10


Samsung ha anunciado múltiples mejoras de seguridad y privacidad de datos para sus próximos smartphones Galaxy con One UI 8, su interfaz de usuario personalizada sobre Android.

Entre las principales novedades se incluyen la introducción de una arquitectura a nivel de sistema denominada Knox Enhanced Encrypted Protection (KEEP), actualizaciones a Knox Matrix y la incorporación de resistencia cuántica a la conectividad Wi-Fi.

Manteniendo la seguridad de los datos de IA

Con el creciente papel de las herramientas de IA en el uso diario de los smartphones, la protección de las entradas del usuario se ha vuelto crucial.

Para abordar esto, Samsung presenta KEEP, un sistema diseñado para soportar el Motor de Datos Personales (PDE) de la compañía y otras funciones de IA como "Now Brief" (actualizaciones diarias personalizadas), "Sugerencias Inteligentes", "Momentos" (fotorecuerdos) y "Búsqueda Inteligente en la Galería" (recuperación de fotos en lenguaje natural).

KEEP es diferente de la "Carpeta Segura" existente, que es simplemente un espacio de almacenamiento seguro independiente. Se trata de una arquitectura que crea entornos aislados para que cada aplicación almacene datos confidenciales cifrados y los mantenga protegidos del acceso no autorizado por parte de otros procesos.

Expansión de Knox Matrix


Knox Matrix, la plataforma multidispositivo de Samsung diseñada para proteger y gestionar la seguridad de todos los dispositivos Galaxy conectados, también recibirá importantes mejoras en One UI 8.

En primer lugar, cuando el sistema detecta manipulación o falsificación de identidad, Knox Matrix cerrará automáticamente la sesión de la cuenta Samsung, bloqueando así el acceso del atacante a servicios y datos conectados a la nube, y permitiendo que acceda a otros dispositivos.

Si esto ocurre, el usuario recibe una alerta en todos sus dispositivos Galaxy conectados.

Otra importante novedad de Knox Matrix es la entrega de advertencias a los usuarios cuando aún no han aplicado las últimas actualizaciones de seguridad en sus dispositivos.

WiFi Cuántico

El lanzamiento de One UI 8 también incluye actualizaciones del "WiFi Seguro" de Samsung, que utilizará el esquema ML-KEM con certificación NIST para ofrecer resistencia criptográfica postcuántica.

Esto refuerza el proceso de intercambio de claves y protege las conexiones cifradas de futuras amenazas cuánticas, como los ataques de "recoger ahora, descifrar después", que podrían exponer datos confidenciales del usuario en el futuro.

El WiFi Seguro también ofrece refuerzo automático al conectarse a puntos de acceso públicos, enrutamiento multipunto y cifrado de paquetes para anonimización, así como registro de seguridad.

Se espera que One UI 8 se lance junto con el próximo lanzamiento de los esperados Galaxy Z Fold 7 y Z Flip 7 de Samsung, pero también se espera que la actualización llegue pronto a los modelos Galaxy anteriores.

Los usuarios que deseen aprovechar las nuevas protecciones deben actualizar a la nueva versión y revisar su configuración de privacidad y seguridad de datos.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11


Según investigadores de ciberseguridad de eSentire, el malware de robo de información y las herramientas avanzadas de phishing son responsables de un aumento masivo del 156 % en los ciberataques dirigidos a los inicios de sesión y la información de identidad de los usuarios, afectando tanto a trabajadores de oficina como a teletrabajadores.

El informe de eSentire también señaló que los atacantes se centran cada vez más en robar datos de inicio de sesión y cookies de sesión, que luego utilizan para cometer delitos financieros como el Compromiso de Correo Electrónico Empresarial (BEC) y el robo de criptomonedas.

El auge del phishing y los robos de información como servicio

Un factor clave que impulsa este aumento, según el informe, es la disponibilidad de plataformas de phishing como servicio (PhaaS), que reducen la habilidad técnica y el costo que necesitan los delincuentes para lanzar ataques. Plataformas como Tycoon 2FA, por ejemplo, ofrecen páginas de phishing prediseñadas para plataformas populares como Microsoft 365 y Google Workspace por tan solo $200 a $300 al mes.

Estructura típica de la campaña Tycoon 2FA


Estos servicios utilizan técnicas inteligentes de Adversario en el Medio (AitM), que actúan como intermediarios para capturar credenciales de inicio de sesión e incluso tokens de autenticación en tiempo real, a menudo evadiendo la autenticación multifactor (MFA) en cuestión de minutos. Los casos de BEC, en concreto, han experimentado un aumento interanual del 60 %, representando el 41 % de todos los ataques en el primer trimestre de 2025.

Estructura típica de la campaña Tycoon 2FA


Un reciente informe sobre el estado de la seguridad de los navegadores, elaborado por Menlo Security, identificó más de 752 000 ataques de phishing basados en navegadores en más de 800 empresas, lo que representa un aumento del 140 % con respecto al año anterior, lo que pone de manifiesto cómo los navegadores se han convertido en un objetivo importante. Esta tendencia también incluye a un ladrón de información emergente llamado Acreed, detectado por primera vez en febrero de 2025, que ahora compite en estos mercados clandestinos en línea, especialmente después de que las fuerzas del orden desmantelaran la infraestructura de otro importante ladrón de información, Lumma Stealer, en mayo de 2025.

Fuente
:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12


Investigadores han publicado pruebas de concepto (PoC) para una vulnerabilidad crítica de Citrix NetScaler, identificada como CVE-2025-5777 y denominada CitrixBleed2. Advierten que la falla es fácilmente explotable y permite robar tokens de sesión de usuario.

La vulnerabilidad CitrixBleed 2, que afecta a los dispositivos ADC y Gateway de Citrix NetScaler, permite a los atacantes recuperar el contenido de la memoria simplemente enviando solicitudes POST malformadas durante los intentos de inicio de sesión.

Esta falla crítica se denomina CitrixBleed2 porque se asemeja mucho al error original CitrixBleed (CVE-2023-4966) de 2023, que fue explotado por grupos de ransomware y en ataques a gobiernos para secuestrar sesiones de usuario y vulnerar las redes.

En análisis técnicos publicados primero por watchTowr y luego por Horizon3, los investigadores confirmaron que la vulnerabilidad puede explotarse enviando una solicitud de inicio de sesión incorrecta, donde el parámetro login= se modifica para que se envíe sin signo igual ni valor.

Esto hace que el dispositivo NetScaler muestre el contenido de la memoria hasta el primer carácter nulo en la sección <InitialValue></InitialValue> de la respuesta, como se muestra a continuación.



La falla se debe al uso de la función snprintf junto con una cadena de formato que contiene la cadena de formato %.*s.

"El formato %.*s indica a snprintf: "Imprime hasta N caracteres o detente en el primer byte nulo (\\0)- lo que ocurra primero". Ese byte nulo aparece eventualmente en algún lugar de la memoria, por lo que, aunque la fuga no se extiende indefinidamente, se obtienen algunos bytes con cada invocación", explica el informe de watchTowr.

"Por lo tanto, cada vez que se llega a ese punto final sin el =, se extraen más datos de pila sin inicializar en la respuesta".

Según Horizon3, cada solicitud filtra aproximadamente 127 bytes de datos, lo que permite a los atacantes realizar repetidas solicitudes HTTP para extraer contenido adicional de la memoria hasta encontrar los datos confidenciales que buscan.

Si bien los intentos de WatchTowr no tuvieron éxito, Horizon3 demuestra en el video a continuación que podrían explotar esta falla para robar tokens de sesión de usuario.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Además de los endpoints de NetScaler, Horizon3 afirma que la falla también puede explotarse contra las utilidades de configuración utilizadas por los administradores.

¿Explotada o no?


Citrix continúa afirmando que la falla no se está explotando activamente, y cuando BleepingComputer preguntó previamente sobre su estado, la compañía nos remitió a una entrada de blog sobre la vulnerabilidad.

"Actualmente, no hay evidencia que sugiera la explotación de CVE-2025-5777", dice la entrada del blog.

Sin embargo, un informe de junio de la empresa de ciberseguridad ReliaQuest indica que existe evidencia de que CVE-2025-5777 podría haber sido explotada en ataques, y la compañía ha observado un aumento en los secuestros de sesiones de usuario.

Además, el investigador de seguridad Kevin Beaumont rebate la declaración de Citrix, afirmando que la vulnerabilidad se ha explotado activamente desde mediados de junio, y que los atacantes la han aprovechado para volcar memoria y secuestrar sesiones.

Destacó los siguientes indicadores de vulnerabilidad:

En los registros de Netscaler, repetidas solicitudes POST a *doAuthentication*; cada una ocupa 126 bytes de RAM.

En los registros de Netscaler, solicitudes a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta con "Content-Length: 5".

En los registros de usuario de Netscaler, líneas con *LOGOFF* y user = "*#*" (es decir, el símbolo # en el nombre de usuario). La RAM se utiliza en el campo incorrecto.

"Cabe destacar que solo pude encontrar actividad de explotación gracias a los informes de WatchTowr y Horizon3", advirtió Beaumont.

"El soporte de Citrix no reveló ningún IOC y afirmó erróneamente (de nuevo, como ocurrió con CitrixBleed) que no había ninguna explotación activa. Citrix tiene que mejorar en esto; está perjudicando a los clientes".

Citrix ha publicado parches para abordar CVE-2025-5777, y se insta encarecidamente a todas las organizaciones a aplicarlos de inmediato ahora que los exploits públicos están disponibles.

Si bien Citrix recomienda cerrar todas las sesiones activas de ICA y PCoIP, los administradores deben revisar primero las sesiones existentes para detectar cualquier actividad sospechosa antes de hacerlo.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13


Un analista de malware descubrió una nueva versión del ladrón de información Atomic para macOS (también conocido como «AMOS») que incluye una puerta trasera que permite a los atacantes acceder de forma persistente a los sistemas comprometidos.

El nuevo componente permite ejecutar comandos remotos arbitrarios, sobrevive a los reinicios y permite mantener el control sobre los hosts infectados indefinidamente.

La división de ciberseguridad de MacPaw, Moonlock, analizó la puerta trasera del malware Atomic tras recibir información del investigador independiente g0njxa, un observador atento de la actividad del ladrón de información.

«Las campañas de malware de AMOS ya han llegado a más de 120 países, entre los que se encuentran Estados Unidos, Francia, Italia, Reino Unido y Canadá, entre los más afectados», afirman los investigadores.

«La versión con puerta trasera del ladrón Atomic para macOS ahora tiene el potencial de obtener acceso completo a miles de dispositivos Mac en todo el mundo».

Evolución de Atomic

El stealer Atomic, documentado por primera vez en abril de 2023, es una operación de malware como servicio (MaaS) promocionada en canales de Telegram por una cuantiosa suscripción de 1000 dólares al mes. Su objetivo son archivos de macOS, extensiones de criptomonedas y contraseñas de usuarios almacenadas en navegadores web.

En noviembre de 2023, apoyó la primera expansión de las campañas "ClearFake" en macOS, mientras que en septiembre de 2024, fue detectado en una campaña a gran escala por el grupo de cibercrimen Marko Polo, que lo implementó en ordenadores Apple.

Moonlock informa que Atomic ha pasado recientemente de canales de distribución amplios, como sitios web de software pirateado, a phishing dirigido a propietarios de criptomonedas, así como a invitaciones a entrevistas de trabajo para autónomos.

La versión analizada del malware incluye una puerta trasera integrada, utiliza LaunchDaemons para sobrevivir a los reinicios en macOS, seguimiento de víctimas basado en la identificación y una nueva infraestructura de comando y control.

Evolución


Una puerta trasera en tu Mac

El ejecutable principal de la puerta trasera es un binario llamado ".helper", que se descarga y guarda en el directorio personal de la víctima como un archivo oculto tras la infección, según los investigadores.

Un script persistente llamado ".agent" (también oculto) ejecuta ".helper" en bucle como el usuario conectado, mientras que un LaunchDaemon (com.finder.helper) instalado mediante AppleScript garantiza que ".agent" se ejecute al iniciar el sistema.

Esta acción se realiza con privilegios elevados utilizando la contraseña del usuario robada durante la fase inicial de la infección con un pretexto falso. El malware puede entonces ejecutar comandos y cambiar la propiedad del LaunchDaemon PLIST a "root:wheel" (superusuario en macOS).

Cadena de ejecución


La puerta trasera permite a los actores de amenazas ejecutar comandos de forma remota, registrar pulsaciones de teclas, introducir cargas útiles adicionales o explorar el potencial de movimiento lateral.

Para evadir la detección, la puerta trasera busca entornos sandbox o de máquinas virtuales mediante 'system_profiler' y también ofrece ofuscación de cadenas.

La evolución del malware demuestra que los usuarios de macOS se están convirtiendo en objetivos más atractivos y que las campañas maliciosas dirigidas a ellos son cada vez más sofisticadas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14


Shellter Project, proveedor de un cargador comercial de evasión de AV/EDR para pruebas de penetración, confirmó que hackers utilizaron su producto Shellter Elite en ataques después de que un cliente filtrara una copia del software.

El abuso ha continuado durante varios meses y, aunque investigadores de seguridad detectaron la actividad en tiempo real, Shellter no recibió ninguna notificación.

El proveedor subrayó que este es el primer incidente conocido de uso indebido desde que introdujo su estricto modelo de licencias en febrero de 2023.

"Descubrimos que una empresa que había adquirido recientemente licencias de Shellter Elite había filtrado su copia del software", declaró Shellter en un comunicado.

"Esta brecha de seguridad provocó que actores maliciosos explotaran la herramienta con fines dañinos, incluyendo la distribución de malware ladrón de información".

Se ha publicado una actualización para solucionar el problema, que no llegaría al cliente malicioso.

Shellter Elite se usa de forma indiscriminada


Shellter Elite es un cargador comercial de evasión de AV/EDR utilizado por profesionales de seguridad (equipos rojos y testers de penetración) para desplegar cargas útiles de forma sigilosa dentro de binarios legítimos de Windows, evadiendo las herramientas EDR durante las intervenciones de seguridad.

El producto ofrece evasión estática mediante polimorfismo y evasión dinámica en tiempo de ejecución mediante AMSI, ETW, comprobaciones antidepuración/VM, prevención de desenganche de pila de llamadas y módulos, y ejecución señuelo.

En un informe del 3 de julio, Elastic Security Labs reveló que múltiples actores de amenazas han estado usando Shellter Elite v11.0 para desplegar ladrones de información, incluyendo Rhadamanthys, Lumma y Arechclient2.

Los investigadores de Elastic determinaron que la actividad comenzó al menos desde abril y que el método de distribución se basó en comentarios de YouTube y correos electrónicos de phishing.

Basándose en las marcas de tiempo únicas de la licencia, los investigadores plantearon la hipótesis de que los actores de la amenaza utilizaban una única copia filtrada, lo cual Shellter confirmó oficialmente posteriormente.

Elastic ha desarrollado detecciones para muestras basadas en la v11.0, por lo que las cargas útiles creadas con esa versión de Shellter Elite ahora son detectables.

Shellter lanzó la versión 11.1 de Elite, que solo distribuirá a clientes verificados, excluyendo al que filtró la versión anterior.

El proveedor calificó la falta de comunicación de Elastic Security Labs de "imprudente y poco profesional" por no informarles de sus hallazgos con antelación.

"Conocían el problema desde hacía varios meses, pero no nos lo notificaron. En lugar de colaborar para mitigar la amenaza, optaron por retener la información para publicar una revelación sorpresa, priorizando la publicidad sobre la seguridad pública". - Shellter

Sin embargo, Elastic proporcionó a Shellter las muestras necesarias para identificar al cliente infractor.

La compañía pidió disculpas a sus "clientes leales" y reafirmó que no colabora con los ciberdelincuentes, expresando su disposición a cooperar con las fuerzas del orden cuando sea necesario.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15


Los hackers con presencia física pueden eludir eficazmente las protecciones de arranque seguro en sistemas Linux modernos e inyectar malware persistente. La solución rápida consiste en modificar el kernel e impedir que el sistema acceda a una shell de depuración durante fallos de arranque.

Los discos totalmente cifrados, el arranque seguro y los gestores de arranque protegidos con contraseña no protegen a Linux de los hackers con acceso físico al sistema.

Alexander Moch, investigador de seguridad de ERNW, ha revelado una grave vulnerabilidad que afecta a distribuciones Linux modernas, como Ubuntu y Fedora.

Las medidas de seguridad de arranque pasan por alto un sutil pero serio vector de ataque: los atacantes pueden introducir comandos maliciosos en una shell de depuración que aparece tras múltiples fallos de arranque. Pueden abusar de la shell a través del sistema de archivos de RAM inicial (initramfs), que el kernel utiliza temporalmente durante el arranque para acceder a controladores y otros archivos para cargar el sistema operativo.

Los atacantes solo necesitarían un breve acceso físico para eludir las protecciones de arranque e inyectar malware persistente en los sistemas.

"En muchas distribuciones populares de Linux, el shell de depuración se puede activar de forma fiable si se ingresa varias veces una contraseña incorrecta para la partición raíz cifrada", explica Moch.

Desde allí, un atacante puede modificar el archivo initramfs e inyectar ganchos maliciosos que se ejecutan la próxima vez que la víctima arranca y desbloquea el sistema.

El arranque seguro solo comprueba la imagen del kernel y los módulos del sistema si están firmados, y la modificación del propio archivo initramfs sigue siendo posible. Por lo tanto, los atacantes pueden simplemente descomprimir el archivo initramfs, añadir scripts maliciosos y volver a empaquetarlo sin alterar las firmas comprobadas.

El atacante necesitaría preparar una unidad USB con las herramientas necesarias. El investigador demostró que el ataque funciona en Ubuntu 25.04 y Fedora 42 con particiones raíz cifradas y la configuración predeterminada. También existen shells de depuración en otras distribuciones de Linux.

Por ejemplo, en Ubuntu, el atacante pulsaría ESC cuando se le solicitara la contraseña y presionaría la combinación CTRL+C tres veces seguidas. Tras un tiempo de espera de 30 segundos, tendría que rechazar la solicitud de contraseña repetida y, a continuación, presionar CTRL+C seis veces para acceder a un shell de depuración.

El shell permitiría al atacante crear un directorio, montar una partición raíz externa desde la unidad USB y ejecutar los scripts preparados.

¿Cómo cerrar la vulnerabilidad abierta?

Según el investigador de ERNW, los ataques se pueden mitigar fácilmente implementando algunos cambios.

"La mitigación más sencilla es modificar los parámetros de la línea de comandos del kernel: añadir panic=0 para sistemas basados en Ubuntu y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta=0 rd.emergency=halt para sistemas basados en Red Hat. Esto hace que el sistema se detenga en lugar de pasar a una shell de depuración", recomienda el investigador.

De igual forma, se puede configurar el gestor de arranque para que requiera una contraseña para arrancar el sistema, en lugar de solo al modificar las entradas del gestor de arranque.

"Aún mejor, se podría habilitar el cifrado nativo del SSD. También se podría considerar cifrar la partición de arranque con LUKS", indica el aviso.

El investigador espera que el engorroso esfuerzo de combinar el kernel e initramfs en un binario monolítico firmado ayude a prevenir ataques similares en el futuro.

Las mitigaciones son sencillas y eficaces, como ajustar los parámetros del kernel, restringir el acceso al arranque o usar el cifrado completo de la partición de arranque. Sin embargo, estas medidas suelen faltar en las guías, pruebas de rendimiento y herramientas de refuerzo estándar.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una bestia ancestral ha despertado repentinamente de su letargo tras 14 años. En el mundo de las criptomonedas, esta bestia se conoce como ballena: un pionero en la adopción de la blockchain que posee cantidades masivas de moneda. Las ballenas suelen ser monitoreadas de cerca por la comunidad debido a su previsión; por lo tanto, incluso la más mínima actividad puede interpretarse como una señal que impulsa los mercados a fluctuar.

Una de estas ballenas, que actualmente se especula que es Roger Ver, ha movido 80.000 Bitcoin en las últimas 24 horas. Esto representa más de 8.600 millones de dólares en dinero de la gente común, obtenidos a partir de una inversión inicial de menos de 210.000 dólares en 2011. Haciendo cálculos, esta misteriosa ballena ha logrado una rentabilidad hipotética de casi 4 millones sobre su compra inicial, o aproximadamente 40.000 veces la cantidad original.

Las ocho billeteras Bitcoin contienen 10.000 BTC cada una.

Todos estos bitcoins son de la venerada era Satoshi, el período inicial entre 2009 y 2011, cuando se introdujo la criptomoneda. Las billeteras de esta época pertenecen a fieles creyentes del Bitcoin, personas que invirtieron en la idea radical de un sistema financiero descentralizado cuando una sola moneda no valía ni un dólar. Así que, imagínense la alegría en las caras de los criptoamigos cuando alguien decidió mover una cantidad récord de bitcoins ayer.

El récord anterior de la mayor transacción individual en la historia de Bitcoin era de tan solo 3700 BTC, y ahora la suma de 10 000 BTC lo han superado, moviéndose de una sola vez. Hubo un total de ocho billeteras involucradas en esta transacción, cada una con los mencionados 10 000 Bitcoin, y todas pertenecen a la misma persona, según el destacado analista de criptomonedas Arkham.

Una sola entidad movió 8600 millones de dólares en BTC desde 8 direcciones el último día. Todos los Bitcoin se transfirieron a las billeteras originales el 2 de abril o el 4 de mayo de 2011 y se han conservado durante más de 14 años. Actualmente, los Bitcoin se encuentran en 8 nuevas direcciones.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La ola comenzó la madrugada del viernes, cuando dos billeteras que llevaban 14 años inactivas transfirieron repentinamente 10 000 BTC cada una a nuevas direcciones. Estas billeteras originales datan del 3 de abril de 2011, cuando recibieron inicialmente una gran cantidad de Bitcoin. En aquel entonces, un Bitcoin valía tan solo 78 centavos, por lo que 10 000 BTC equivaldrían a 7800 $. Esto representa un aumento de casi el 14 000 000 %.

Ocho horas después, seis billeteras más de la misma época, cada una con 10 000 BTC, transfirieron sus existencias sin realizar ninguna transacción de prueba previa. Estas son del 4 de mayo de 2011, cuando Bitcoin había subido a 3,25 $. En total, estas ocho billeteras suman 80 000 Bitcoin, y se cree que todo el alijo estaba en manos de la misteriosa ballena. Bitcoin cotiza actualmente a $108,000, ligeramente por debajo de su máximo histórico de $110,000, que alcanzó poco antes de las transferencias.

Curiosamente, durante nuestra investigación, encontramos una publicación de Reddit de 2023 que hablaba de seis billeteras de Bitcoin, cada una con 10,000 BTC, y especulaba sobre su propiedad. El curioso autor mencionó nombres como los gemelos Winklevoss e incluso sugirió en broma que esta podría ser "la herencia de Satoshi a sus hijos". Estas seis billeteras, que datan del 4 de mayo de 2011, son las mismas que participaron en la histórica transacción, que transfirió sus Bitcoin apenas horas después de que las billeteras anteriores, del 2 de abril de 2011, hicieran su movimiento. Olvídense de nuestra ballena misteriosa: el usuario de Reddit RealVoldermort fue quien vio venir la tormenta antes de que estallara.

Por supuesto, nadie sabe adónde fueron a parar estos bitcoins. ¿Fue una venta? ¿Una herencia, simplemente pasando de un inversor fallecido a su heredero? Quizás fue Roger Ver, uno de los primeros inversores de Bitcoin, quien defendió la moneda en torno a su creación hace más de una década. Al menos, eso es lo que @SaniExp en Twitter afirma con un 99% de certeza.

Creo que los 80.000 BTC podrían pertenecer a Roger Ver. He aquí por qué: El año pasado, @MrHodl hablaba sobre Roger y el tamaño potencial de sus tenencias durante un espacio en Twitter. Eso me impulsó a investigar su historial de compras. Corroboré esas fechas.

Ciudadanos de todo el mundo tienen teorías interesantes sobre por qué se produjo tal transacción un viernes cualquiera sin previo aviso. Creyendo que Roger Ver es nuestro protagonista, algunos especulan que ejecutó la "venta" como parte de un posible acuerdo con el gobierno estadounidense. Ver, quien reside actualmente en España, es buscado en Estados Unidos por cargos de fraude fiscal y, a principios de este año, solicitó al presidente Trump un indulto para evitar la extradición.

Independientemente de quién resulte ser la ballena nadando en el océano, se puede afirmar que ha sacudido el mundo de las criptomonedas y las finanzas en su conjunto. Las nuevas billeteras, que ahora contienen más de 8 mil millones de dólares en Bitcoin, no han tenido más movimientos desde entonces, y la verdadera identidad de nuestro nuevo propietario sigue siendo desconocida. Actualizaremos la historia con más detalles si surge algo valioso.

Fuente:
Tom's Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Todo el mundo confía en los PDF, y es precisamente por eso que los ciberdelincuentes están tan obsesionados con ellos.

El formato de documento portátil, más conocido como PDF, se distribuye millones de veces al día. Todo, desde documentos fiscales y currículums hasta facturas, folletos digitales o cualquier otra información, se envía por correo electrónico con un PDF adjunto.

Los PDF son sencillos, multiplataforma y universalmente confiables. Pueden contener imágenes, enlaces interactivos y logotipos de aspecto oficial. Esto los hace perfectos para los atacantes que buscan pasar desapercibidos, razón por la cual los hackers están obsesionados con ellos actualmente.

Las principales marcas suplantadas en correos electrónicos con archivos PDF adjuntos. Fuente: Cisco Talos



En los últimos meses, los analistas de ciberseguridad han observado un fuerte aumento en los ataques de phishing enviados a través de archivos PDF. Estos PDF están diseñados para imitar comunicaciones legítimas de gigantes tecnológicos y proveedores de servicios para engañar a las víctimas y que revelen sus credenciales o descarguen malware.

Según información de Cisco Talos, entre el 5 de mayo y el 5 de junio de 2025, la suplantación de identidad de marca mediante archivos PDF adjuntos se disparó. Las marcas más suplantadas son Microsoft y DocuSign. NortonLifeLock, PayPal y Geek Squad se encontraban entre las marcas más suplantadas en correos electrónicos TOAD (abreviatura en inglés de entrega de ataques telefónicos) con archivos PDF adjuntos.

Las campañas de phishing son globales, y muchas se originan desde direcciones IP ubicadas en EE. UU. y Europa.

Las direcciones IP de origen de los intentos de suplantación de marca mediante archivos PDF adjuntos


¿Cómo explotan los atacantes los archivos PDF?


Un ataque reciente suplantó a Microsoft con un asunto engañoso como "Incremento de sueldo", programado estratégicamente durante periodos de probables ascensos o cambios por méritos en diversas organizaciones.

El PDF parecía un documento estándar de RR. HH., lo suficientemente creíble como para que la víctima escaneara el código QR que la redirigía a un sitio web de robo de credenciales. Dropbox también se utiliza a menudo como plataforma para distribuir PDF maliciosos.

Un correo electrónico de phishing con código QR que suplanta la marca Microsoft


También existen los ataques TOAD. Estos PDF de phishing no buscan que la víctima simplemente haga clic en un enlace, sino que los estafan mediante una llamada telefónica. Los estafadores suelen enviar mensajes sobre errores de facturación, actividad sospechosa o renovaciones de suscripción, incluyendo un número de atención al cliente.

La mayoría de los números de teléfono utilizados en estas estafas por correo electrónico son números de Voz sobre Protocolo de Internet (VoIP), que son mucho más difíciles de rastrear hasta una persona real o una ubicación física que las líneas telefónicas estándar.

Los estafadores también están abusando de plataformas legítimas como el servicio de firma electrónica de Adobe. Entre abril y mayo de 2025, Talos detectó PDF enviados a través del sistema de Adobe, haciéndose pasar por marcas como PayPal.

Un correo electrónico de phishing con código QR que suplanta las marcas Microsoft y Adobe


Los PDF también son un excelente medio para el phishing con códigos QR, que actualmente está en pleno auge. Estos códigos suelen suplantar la identidad de empresas como Microsoft o Adobe.

Además, existe otra táctica peligrosa: el abuso de las anotaciones en archivos PDF. Los PDF pueden ocultar enlaces en lugares como comentarios, notas adhesivas o campos de formulario. Muchos escáneres ignoran todas estas áreas.

Los atacantes también inundan los archivos con texto irrelevante para confundir a los motores de detección. En algunos casos, incrustan dos URL: una aparentemente limpia (para generar confianza) y otra oculta que lleva a la página de phishing real.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#18
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

AMD está trabajando en su tecnología de caché L3 apilada en 3D de tercera generación, y esta traerá dos cambios muy importantes que permitirán aumentar muchísimo la cantidad total de caché L3 por chiplet.

El primer cambio será un aumento de la cantidad total de caché L3 por capa. En su versión actual, la caché L3 apilada en 3D de AMD tiene una capacidad de 64 MB, pero con el salto a la tercera generación esta aumentará hasta los 96 MB, lo que supone un incremento del 50%.

En segundo lugar, AMD podrá apilar hasta dos capas de caché L3 en 3D por cada chiplet CPU (unidad CCD), lo que significa que podrá aumentar la caché hasta los 192 MB con esta nueva tecnología. Impresionante, sin duda.



Sumando la caché L3 que tendría un chiplet CPU basado en Zen 6 (48 MB según los últimos rumores), tenemos que AMD sería capaz de diseñar un procesador de 12 núcleos y 24 hilos con la impresionante cifra de 240 MB de caché L3 (48 MB + 192 MB apilados en 3D).

¿Qué ventajas tendría tanta caché L3 en un procesador Zen 6?

La caché L3 de un procesador es muy importante porque actúa como un bloque donde la CPU puede guardar instrucciones y datos a los que tendrá que acceder con cierta frecuencia.

Esta memoria es mucho más rápida que la RAM, tiene una latencia inferior, está pegada al procesador y este puede acceder a ella de forma directa, mientras que la RAM está colocada en ranuras alejadas de este, y para acceder a ellas necesita pasar por la controladora de memoria.

Todo esto implica que el procesador puede acceder más rápido y comunicarse a mayor velocidad con la caché L3 que con la RAM. Tener una mayor cantidad de caché L3 ayuda mejorar el rendimiento del procesador porque este puede guardar una mayor cantidad de datos e instrucciones, reduciendo así la cantidad de veces que tiene que recurrir a la RAM. Así de simple.

Los juegos son las aplicaciones que más se benefician de una mayor cantidad de caché L3, lo que significa que un procesador Zen 6 con 12 núcleos y 24 hilos acompañado de 240 MB de caché L3 debería ser una auténtica bestia en juegos. No obstante, no tengo claro cómo de bueno será el escalado de la caché L3 al aumentar hasta un nivel tan elevado, así que os recomiendo controlar un poco las expectativas.

Con esto quiero decir que tener 240 MB de caché L3 no significa que un procesador vaya a doblar su rendimiento en juegos frente a otro con 96 MB de caché L3. Si este rumor se cumple estoy seguro de que el aumento de rendimiento será mucho más modesto, pero suficiente para poner las cosas difíciles a Intel.

Fuente:
MuyComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19


Galaxy G Fold es el nombre elegido por Samsung para su nuevo smartphone plegable. Un desarrollo impresionante cuyas características se han revelado en la última versión beta del sistema operativo One UI 8.

Hablar de móviles plegables es hablar de Samsung porque la firma surcoreana acapara un 70% de este segmento de mercado. Y no parece que vaya a perder su posición de privilegio hasta que no llegue el esperado iPhone plegable. De hecho, la semana que viene Samsung celebrará un nuevo evento Unpacked donde presentará su nueva generación de móviles plegables, Fold7 y Flip7.



No es un formato de ventas masivas, pero sí son terminales muy rentables donde se muestra las últimas tecnologías disponibles en pantallas flexibles y en su aplicación en smartphones.

Galaxy G Fold, otro nivel

Si los Galaxy Z apuestan por el plegado simple, el nuevo modelo sube de nivel con un sistema de plegado adicional. Samsung no quiere restar protagonismo a sus plegables generales y el que nos ocupa se fabricará en edición limitada y llegará al mercado a finales de 2025. Su precio estimado de 4 millones de wones coreanos (alrededor de 3.000 dólares) ya nos indica que no será un producto de ventas masivas.

La pantalla flexible es la clave de todos los plegables y aquí la división Samsung Display echará el resto con la producción de un panel OLED flexible que se encajará en un sistema de doble plegado que nos deja las tres pantallas interiores que ve en las imágenes. Se calcula que cuando esté totalmente desplegado ofrecerá 10 pulgadas de diagonal, el de un tablet de medio formato y lo mayor visto nunca en un smartphone.



A pesar de su gran tamaño desplegado, debido a las limitaciones de grosor y a las temperaturas que se alcanzan en su interior, dicen las fuentes que la batería no superará los 5600 mAh del Huawei Mate XT, su competidor más directo. En cuanto a su motor de hardware, se apunta a un Snapdragon 8 Elite de Qualcomm.

La etiqueta 'G' de su nombre pretende indicar su sistema de plegado, con dos pliegues internos en lugar de uno interno y otro externo como el del Mate XT de Huawei. El dispositivo contará con un total de cuatro pantallas, las tres interiores y una pantalla de cubierta frontal ubicada entre dos bordes.



En cuanto a las cámaras, vemos tres sensores alineados verticalmente para la cámara principal. Además, dos de los cuatro paneles tienen una cámara para autofotos. Con este tipo de diseño y su gran tamaño, el Galaxy G Fold podrá usarse en varias configuraciones. Su alto precio limitará las ventas, aunque Samsung lo posicionará como prueba de concepto para tantear cómo está el mercado respecto a estos diseños y la experiencia en su desarrollo podrá trasladarse a la línea general de plegables.

A este respecto, señalar que además de la nueva generación Galaxy Z Fold7 y Flip7, la compañía está desarrollando un Flip FE más económico para 'democratizar' el uso de plegables.

Fuente:
AndroidAuthority
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía
(Compendio y Traducción):
MuyComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20


Una falla en el software espía Catwatchful para Android expuso toda su base de datos de usuarios, filtrando direcciones de correo electrónico y contraseñas en texto plano tanto de los clientes como de su administrador, según informó TechCrunch.

El investigador de seguridad Eric Daigle fue el primero en descubrir la vulnerabilidad.

Catwatchful es un software espía (spyware) que se hace pasar por una aplicación de monitoreo infantil y afirma ser "invisible e indetectable", mientras sube el contenido privado del teléfono de la víctima a un panel visible para quien la instaló. Los datos robados incluyen fotos, mensajes y datos de ubicación en tiempo real de las víctimas. La aplicación también puede acceder remotamente al audio ambiental en vivo del micrófono del teléfono y acceder a las cámaras frontal y trasera.

Las aplicaciones de software espía como Catwatchful están prohibidas en las tiendas de aplicaciones y dependen de que alguien con acceso físico al teléfono de una persona las descargue e instale. Por ello, estas aplicaciones se conocen comúnmente como "stalkerware" (o software de pareja) por su propensión a facilitar la vigilancia no consentida de cónyuges y parejas, lo cual es ilegal.

Catwatchful es el último ejemplo de una creciente lista de operaciones de stalkerware que han sido hackeadas, violadas o que han expuesto de alguna otra forma los datos que obtienen. Este incidente pone de manifiesto cómo el spyware de consumo sigue propagándose, a pesar de estar a menudo mal diseñado y plagado de fallos de seguridad que ponen tanto a los usuarios como a las víctimas en riesgo de fugas de datos.

"Según una copia de la base de datos de principios de junio, a la que TechCrunch ha tenido acceso, Catwatchful tenía las direcciones de correo electrónico y las contraseñas de más de 62.000 clientes y los datos telefónicos de los dispositivos de 26.000 víctimas", afirma el informe publicado por TechCrunch.

La mayoría de las víctimas del spyware Catwatchful se encontraban en México, Colombia, India y otros países latinoamericanos, con algunos datos que datan de 2018. La base de datos también expuso al administrador de la operación, Omar Soca Charcov, de Uruguay, quien no respondió a las solicitudes de comentarios. TechCrunch compartió los datos filtrados con Have I Been Pwned para ayudar a informar a las posibles víctimas de la filtración.

Catwatchful sube secretamente los datos de las víctimas a una base de datos de Firebase, accesible para los usuarios a través de un panel web. Tras registrarse, los usuarios reciben un APK preconfigurado que requiere acceso físico para su instalación. Una vez activo, permite el espionaje en tiempo real. El investigador de seguridad Eric Daigle encontró una falla de inyección SQL que expuso toda la base de datos de Firebase, revelando inicios de sesión en texto plano, contraseñas de 62050 cuentas y vínculos entre usuarios y dispositivos.

El segundo aspecto destacable es que todos los datos personales recopilados aquí parecen estar almacenados en Firebase, proporcionados desde las URL de Cloud Storage con el formato No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Interceptar el tráfico de mi teléfono de prueba confirma que los archivos se suben directamente a Firebase y revela que los comandos para funciones como las fotos en vivo también se gestionan a través de FCM. Según el informe publicado por Daigle, un atacante puede usar la información de la base de datos para acceder a cualquier cuenta. Daigle compartió sus hallazgos con Zack Whittaker, editor de seguridad de TechCrunch, quien contactó a Google el 23 de junio de 2025. Google lo detectó a través de Navegación Segura, mientras que el equipo de Firebase afirmó estar investigando, pero la base de datos seguía en línea en ese momento.

A continuación, se muestra la cronología de esta vulnerabilidad:

09/06/2025: Se descubre la vulnerabilidad. Se contacta a Zack (Zack Whittaker, editor de seguridad de TechCrunch).

23/06/2025: Zack contacta a Google, quien la reporta en Navegación Segura. El equipo de Firebase afirma estar investigándola (la base de datos sigue activa al momento de escribir este artículo).

25/06/2025: Zack contacta a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que aloja No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (el sitio web está inactivo al final del día, lo que interrumpe el servicio) y a la persona identificada como la que lo ejecuta (sin respuesta al momento de escribir este artículo).

26/06/2025: Se restaura el servicio y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta es reemplazado por No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, que aún es vulnerable.

27/06/2025: Se activa un WAF en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, bloqueando con éxito la SQLI.

02/07/2025: Publicación

TechCrunch informó que la presencia de Catwatchful puede detectarse y desinstalarse marcando "543210" en el dispositivo infectado.



"Este código es una función de puerta trasera integrada que permite a quien instaló la aplicación recuperar el acceso a la configuración una vez que esta se oculta. Este código también puede ser utilizado por cualquier persona para comprobar si la aplicación está instalada", concluye TechCrunch.

Fuente:
TechCrunch
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#21


Hay una nueva campaña de financiación colectiva muy popular que promete un dispositivo portátil todo en uno para matar mosquitos con láser por tan solo $498. Jim Wong ha creado una página en IndieGogo para la "Primera Defensa Aérea Portátil contra Mosquitos del Mundo", llamada Photonmatrix.

Las principales atracciones de Photonmatrix son su escáner LiDAR combinado con un láser dirigido por galvanómetro que puede buscar y destruir mosquitos a una velocidad de hasta 30 plagas por segundo. Además, esta defensa contra mosquitos en miniatura de Star Wars funciona en la oscuridad, tiene un radio de hasta 6 m (19,7 pies) y puede cargarse con una batería externa de smartphone hasta por 16 horas.



El producto láser neutralizador de mosquitos de Wong está disponible en dos ediciones. La principal diferencia entre las ediciones Basic y Pro es que el modelo Basic tiene un radio de acción menor, de 3 m (9,8 pies) como máximo, que se duplica con la edición Pro, alcanzando una zona libre de mosquitos de 6 m (19,7 pies) de radio.



La versión Pro también tiene un precio considerablemente superior. Si el radio adicional te resulta atractivo para tu implementación, te costará $200 adicionales. En otras palabras, el precio para patrocinadores de la Photonmatrix Pro es de $698.

En cuanto a precios, los $498 (Básico) y $698 (Pro) mencionados anteriormente son estándar durante la duración de este proyecto de IndieGogo. Sin embargo, aún hay plazas disponibles para patrocinadores de la versión Básica-Earlybird, lo que te permite ahorrar $40 sobre el precio de la versión Básica. La página del proyecto afirma que los productos Básico y Pro subirán a $698 y $898, respectivamente, una vez finalizada la campaña de financiación colectiva.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El equipo estándar que recibirán los patrocinadores del proyecto incluye la unidad Lidar/láser en configuraciones de alimentación Básica o Pro, una base localizadora, un soporte, una fuente de alimentación y un cable conector de CC de 2 m. Los extras opcionales incluyen una base giratoria, baterías externas de diversas capacidades y un adaptador para convertir las baterías externas de smartphones a los 24 V necesarios.

Wong afirma que un Photonmatrix puede funcionar hasta 16 horas con una batería externa de 39 200 mAh. Wong vende paquetes de baterías para esta solución láser de eliminación de insectos con clasificación IP68 por hasta 98 $. Cabe destacar que el adaptador para usar su propia batería externa cuesta tan solo 10 $.

Fuente
:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
#22


Los precios de la memoria DDR4 han aumentado constantemente en los últimos meses debido a la escasez de suministro. Los principales fabricantes de DRAM, Micron, Samsung y SK hynix anunciaron a principios de este año que cesarían la producción de memoria DDR4 para finales de 2025, y CXMT, el mayor fabricante de memoria de China, hizo lo mismo en mayo. Debido a esto, el precio de los chips DDR4 se ha triplicado en tan solo dos meses.

ComputerBase informa que el precio del chip DDR4-3200 de 8 GB supera los 5 dólares (frente a los 1,75 dólares de finales de abril). La variante de doble paquete de este módulo de memoria DDR4 ahora tiene un precio promedio de 8,80 dólares, un aumento de más del 100 % desde los 3,57 dólares. Por ello, algunas empresas más pequeñas se han dado cuenta de que la DDR4 vuelve a ser rentable y han decidido ampliar la producción.

Por ejemplo, el fabricante de memoria taiwanés Nanya, con su amplia gama de memoria DDR4, se está beneficiando de estos aumentos de precios. Esto es especialmente cierto, ya que no produce LPDDR5 y solo cuenta con una línea limitada de productos DDR5. Por otro lado, es poco probable que fabricantes más grandes como Micron se sumen a esta tendencia, especialmente porque están destinando las líneas de producción liberadas a tecnologías actuales y futuras, como DDR5 y HBM.

El precio de algunos módulos DDR4 ha bajado ligeramente debido a esta noticia. Sin embargo, los precios se mantienen generalmente altos por el momento, especialmente porque los compradores probablemente aún estén abasteciéndose de chips de memoria DDR4 anticipando el fin de la producción. Esperamos que los precios se normalicen una vez que los fabricantes más pequeños recuperen su ritmo de producción, pero probablemente les llevará tiempo volver a sus niveles originales.

JEDEC introdujo oficialmente el estándar DDR5 en 2020, lo que significa que la tecnología ya lleva unos cinco años en el mercado. Si bien las CPU más recientes de Intel son compatibles con DDR4 y DDR5, los procesadores Zen 4 y superiores de AMD ahora solo son compatibles con DDR5. Además, el auge de la IA está convirtiendo la enorme demanda de chips HBM en un mercado lucrativo, impulsando a las principales empresas a migrar sus antiguas líneas DDR4 a la producción de HBM. Estos avances están desplazando a la DDR4 del mercado de forma lenta pero segura, pero debido a la cantidad de tecnologías antiguas que aún la utilizan, es probable que pase algún tiempo antes de que veamos realmente su fin.

Fuente
:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#23


Un hacker amenaza con filtrar 106 GB de datos presuntamente robados de la compañía española de telecomunicaciones Telefónica en una brecha que la compañía no reconoció.

El actor de amenazas ha filtrado un archivo de 2,6 GB que se descomprime en cinco gigabytes de datos con poco más de 20 000 archivos para demostrar que se produjo la brecha.

Filtración parcial con datos presuntamente robados a Telefónica


La filtración supuestamente ocurrió el 30 de mayo y el hacker afirma haber tenido 12 horas de exfiltración de datos ininterrumpida antes de que los defensores revocaran el acceso.

El hacker que se atribuye la responsabilidad del ataque se conoce como "Rey" y es miembro del grupo Hellcat Ransomware, responsable de otra filtración en Telefónica en enero a través de un servidor interno de desarrollo y gestión de tickets de Jira.

Rey declaró a BleepingComputer que exfiltraron 385.311 archivos que totalizaban 106,3 GB de comunicaciones internas (por ejemplo, tickets, correos electrónicos), órdenes de compra, registros internos, registros de clientes y datos de empleados.

También indicaron que la filtración del 30 de mayo fue posible debido a una configuración incorrecta de Jira después de que la empresa solucionara el problema anterior.

BleepingComputer intentó en múltiples ocasiones desde el 3 de junio contactar con Telefónica por correo electrónico. También contactamos con varios empleados de la alta dirección, pero no recibimos confirmación de la filtración del 30 de mayo.

La única respuesta que recibimos vino de un empleado de Telefónica O2, quien desestimó el supuesto incidente como un intento de extorsión utilizando información obsoleta de un incidente previamente conocido.

Telefónica O2 es la marca de la compañía española para sus negocios de telecomunicaciones en el Reino Unido y Alemania.

Rey compartió una muestra y un árbol de archivos de los datos presuntamente robados de Telefónica el 30 de mayo. Algunos de los archivos incluían facturas a clientes comerciales en varios países, como Hungría, Alemania, España, Chile y Perú.

En los archivos que recibimos había direcciones de correo electrónico de empleados en España, Alemania, Perú, Argentina y Chile, y facturas de socios comerciales o clientes en países europeos.

El archivo más reciente que pudimos encontrar entre toda la información que Rey compartió data de 2021, lo que parece confirmar lo que nos dijo el representante de la compañía.

No obstante, el hacker insiste en que los datos provienen de una nueva brecha de seguridad del 30 de mayo. Para demostrarlo, comenzaron a filtrar parte de los archivos presuntamente robados.

Dado que Telefónica ha negado una reciente filtración de 106 GB que contenía datos de su infraestructura interna, publico aquí 5 GB como prueba. Pronto publicaré el árbol de archivos completo y, en las próximas semanas, si Telefónica no cumple, se publicará todo el archivo. ;) —dijo Rey.



Los datos se distribuyeron inicialmente mediante los servicios de almacenamiento y transferencia de datos PixelDrain, pero fueron eliminados tras unas horas por motivos legales.

Posteriormente, el actor de amenazas distribuyó otro enlace de descarga desde Kotizada, un servicio que posteriormente recurrió a otro, Kotizada, que Google Chrome marca como sitio peligroso y recomienda encarecidamente a los usuarios que lo eviten.

Hasta que Telefónica emita un comunicado oficial, no está claro si se trata de una nueva filtración de datos antiguos. Sin embargo, según los hallazgos de BleepingComputer, algunas de las direcciones de correo electrónico de la filtración pertenecen a empleados en activo.

El grupo de hackers HellCat no es nuevo en el sector y suele centrarse en atacar servidores Jira. Son responsables de múltiples ataques a empresas de alto perfil.

Reivindicaron la vulneración de datos en el proveedor suizo de soluciones globales Ascom, Jaguar Land Rover, Affinitiv Schneider Electric y Orange Group.

Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#24


Millones de sistemas Linux en todo el mundo, incluyendo aquellos que ejecutan servicios críticos, son potencialmente vulnerables a una nueva falla de sudo, fácil de explotar, que permite a usuarios no autorizados ejecutar comandos como root en servidores Ubuntu, Fedora y otros.

Sudo es una utilidad que permite a los usuarios ejecutar comandos como root o superusuario en equipos Linux. El equipo de la Unidad de Investigación Cibernética (CRU) de Stratascale descubrió dos fallas críticas que afectan a sudo.

Investigadores de seguridad advierten que cualquier usuario puede obtener acceso sin restricciones rápidamente. Los atacantes pueden explotar esto, ejecutar comandos arbitrarios como root y tomar el control total del sistema.

El error apareció por primera vez en la versión 1.9.14, publicada en junio de 2023, y se corrigió en la última versión de sudo, 1.9.17p1, publicada el 30 de junio de 2025. La vulnerabilidad se ha verificado en servidores Ubuntu y Fedora, pero podría afectar a muchos más sistemas.

"Estas vulnerabilidades pueden provocar la escalada de privilegios a root en el sistema afectado", señala el informe:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Instan a los administradores a instalar los paquetes de sudo más recientes lo antes posible, ya que no existen otras soluciones alternativas.

"La configuración predeterminada de sudo es vulnerable", explica Rich Mirch, de la Unidad de Investigación Cibernética de Stratascale.

Los investigadores publicaron el código de prueba de concepto y otros equipos pudieron replicar los hallazgos.

Vulnerabilidad relacionada con la función chroot de sudo

Las fallas críticas residen en la opción chroot de sudo, poco utilizada. Esta opción modifica el directorio raíz de trabajo para un proceso específico y limita el acceso al resto del sistema de archivos.

Si bien su objetivo es bloquear a los usuarios en su directorio personal, las fallas les permiten evadir sus privilegios y elevarlos. Para explotarlas no es necesario definir reglas de sudo para el usuario.

"Como resultado, cualquier usuario local sin privilegios podría escalar privilegios a root si se instala una versión vulnerable", afirmó el investigador.

Para explotar esta falla, los atacantes tendrían que crear un archivo /etc/nsswitch.conf en el directorio raíz especificado por el usuario y engañar a sudo para que cargue la biblioteca compartida arbitraria. Este archivo define cómo el sistema resuelve las cuentas de usuario, los grupos, los nombres de host, los servicios, etc.

Los responsables de Sudo confirmaron el problema y descontinuaron la opción chroot en la versión 1.9.17p1. "Un atacante puede aprovechar la opción -R (--chroot) de sudo para ejecutar comandos arbitrarios como root, incluso si no están listados en el archivo sudoers", afirmaron en un aviso.

El script de Mirch demuestra cómo un atacante sin privilegios puede crear un directorio temporal, agregar un archivo con una función para otorgarse acceso root completo, compilar una biblioteca compartida maliciosa que la cargue y luego engañar a sudo con la opción chroot para que la ejecute con privilegios elevados. De esta forma, el atacante puede tomar el control total del sistema.

Debido a los riesgos de reducir la seguridad del entorno, se recomienda a los administradores evitar el uso de opciones chroot.

"Busque en su entorno cualquier uso de la opción chroot. Revise todas las reglas de Sudo definidas en /etc/sudoers y los archivos en /etc/sudoers.d. Si las reglas de Sudo están almacenadas en LDAP, utilice herramientas como ldapsearch para volcarlas", escribe Mirch.

Millones de sistemas podrían verse afectados por este error. La publicación alemana No tienes permitido ver enlaces. Registrate o Entra a tu cuenta incluso descubrió máquinas virtuales Ubuntu recién instaladas en un importante proveedor alemán de alojamiento en la nube que aún son vulnerables a la falla, a pesar de la existencia de un parche.


Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#25


Un hacker afirma haber manipulado uno de los foros de cibercrimen más oscuros de internet, y podría tener razón.

Cybernews recibió recientemente un correo electrónico de un atacante que se hacía pasar por "test55". En el correo, afirmaba haber explotado el conocido mercado de cibercrimen DarkForums[.]st.

El atacante afirmó haber explotado la plataforma mediante la falsificación de solicitudes del lado del servidor (SSRF), una falla de seguridad web que permite engañar a un servidor para que envíe solicitudes a destinos no deseados.

Esto podría implicar acceder a sistemas internos a los que no se debe acceder desde el exterior, o engañar al servidor para que se comunique con sitios externos que controla el atacante, lo que podría filtrar información confidencial o permitirle profundizar aún más en la red.

Como prueba del éxito de la explotación, el actor de amenazas reveló una captura de pantalla. "¡DarkForums no es seguro para nadie!", escribió el atacante en un correo electrónico.



Los investigadores de Cybernews han comprobado las afirmaciones y confirmado su posible legitimidad. DarkForums ha lanzado desde entonces un servicio Tor para proteger a sus usuarios de la filtración de sus direcciones IP, aunque los administradores no han comentado sobre la supuesta vulnerabilidad.

"El atacante demostró una vulnerabilidad que le permitía recopilar las direcciones IP de quienes ven sus publicaciones", declaró el equipo de investigación de Cybernews.

"No está claro si logró explorar la vulnerabilidad a fondo y causar algún daño a DarkForums", añadió el equipo. Estas vulnerabilidades ponen en riesgo a los usuarios de foros clandestinos. Cuando se filtra la IP, se pierde el anonimato, especialmente si la configuración de VPN o Tor no es hermética.

Las fuerzas del orden vigilan constantemente estos espacios clandestinos, y una sola IP expuesta puede ser suficiente para empezar a atacar. Además, hackers rivales, estafadores y trolls oportunistas pueden usar esos mismos datos para doxear y suplantar la identidad de los usuarios de los foros.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#26


La operación de ransomware como servicio (RaaS) Hunters International anunció el cierre oficial de sus operaciones y ofrecerá descifradores gratuitos para ayudar a las víctimas a recuperar sus datos sin pagar un rescate.

"Tras una cuidadosa consideración y a la luz de los recientes acontecimientos, hemos decidido cerrar el proyecto Hunters International. Esta decisión no se tomó a la ligera y reconocemos el impacto que tiene en las organizaciones con las que hemos interactuado", afirma la banda de ciberdelincuentes en un comunicado publicado hoy sobre su filtración en la dark web.

"Como gesto de buena voluntad y para ayudar a las personas afectadas por nuestras actividades anteriores, ofrecemos software de descifrado gratuito a todas las empresas afectadas por nuestro ransomware. Nuestro objetivo es garantizar que puedan recuperar sus datos cifrados sin la carga de pagar rescates".

Los actores de amenazas también eliminaron todas las entradas del portal de extorsión y añadieron que las empresas cuyos sistemas fueron cifrados en los ataques de ransomware Hunters International pueden solicitar herramientas de descifrado y guías de recuperación en el sitio web oficial de la banda.

Aunque el grupo de ransomware no explica a qué "acontecimientos recientes" se refiere, el anuncio de hoy sigue a un comunicado del 17 de noviembre que afirmaba que Hunters International cerraría pronto debido al mayor escrutinio de las fuerzas del orden y la disminución de la rentabilidad.

La firma de inteligencia de amenazas Group-IB también reveló en abril que Hunters International estaba renovando su marca con planes para centrarse en el robo de datos y los ataques exclusivamente de extorsión, y que había lanzado una nueva operación exclusivamente de extorsión conocida como "World Leaks".



"A diferencia de Hunters International, que combinaba el cifrado con la extorsión, World Leaks opera como un grupo dedicado exclusivamente a la extorsión y utiliza una herramienta de exfiltración personalizada", declaró Group-IB en aquel momento, añadiendo que la nueva herramienta parece ser una versión mejorada de la herramienta de exfiltración de Storage Software utilizada por las filiales de ransomware de Hunters International.

Hunters International surgió a finales de 2023 y fue señalada por investigadores de seguridad y expertos en ransomware como una posible renovación de la marca Hive debido a las similitudes en su código. El malware del grupo de ransomware se dirige a una amplia gama de plataformas, como Windows, Linux, FreeBSD, SunOS y ESXi (servidores VMware), y también es compatible con arquitecturas x64, x86 y ARM.

En los últimos dos años, Hunters International ha atacado a empresas de todos los tamaños, con exigencias de rescate que van desde cientos de miles hasta millones de dólares, dependiendo del tamaño de la organización atacada.

La banda de ransomware se ha atribuido la responsabilidad de casi 300 ataques en todo el mundo, lo que la convierte en una de las operaciones de ransomware más activas de los últimos años.

Entre las víctimas más destacadas que Hunters International ha reclamado se encuentran el Servicio de Alguaciles de EE. UU., el gigante japonés de la óptica Hoya, Tata Technologies, el concesionario norteamericano de automóviles AutoCanada, el contratista de la Marina estadounidense Austal USA e Integris Health, la red de atención médica sin fines de lucro más grande de Oklahoma.

En diciembre de 2024, Hunters International también hackeó el Centro Oncológico Fred Hutch, amenazando con filtrar los datos robados de más de 800 000 pacientes con cáncer si no se les pagaba.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#27


Las confirmaciones de GitHub nunca se eliminan por completo, y algunos desarrolladores lo están descubriendo por las malas. Un hacker de sombrero blanco Sharon Brizinov analizó las confirmaciones pendientes de GitHub "eliminadas" y encontró miles de secretos que otorgaban incluso acceso de administrador a todos los repositorios de los desarrolladores, obteniendo 25 000 $ en recompensas en el proceso.

Los desarrolladores suelen usar envíos forzados en GitHub para eliminar errores anteriores. Sin embargo, a menudo olvidan que el historial de Git lo conserva todo, incluso cuando se eliminan archivos.

eL investigador de seguridad asumió correctamente que las confirmaciones pendientes restantes, guardadas por GitHub "para siempre", podrían contener secretos muy sensibles.

"Analicé cada evento de envío forzado desde 2020 y descubrí secretos por un valor de 25 000 $ en recompensas por errores", detalla Brizinov en la entrada del blog de Truffle Security.

Aún más sorprendente es que el hacker de sombrero blanco utilizó una herramienta "codificada por vibración" (generada por IA) para escanear GitHub y descubrir miles de secretos activos.

Las filtraciones de secretos de MongoDB fueron las más frecuentes (1247), pero Brizinov también obtuvo cientos de secretos de TelegramBotTokens, Postgres, Infura, OpenWeather y AWS. Los desarrolladores expusieron inadvertidamente 162 tipos de secretos.

Más de la mitad de las credenciales filtradas se encontraron en archivos .env expuestos, dejando la otra mitad para el resto de los nombres de archivo, como index.js, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, app.js, server.js y otros.



"Los secretos filtrados más interesantes fueron los tokens PAT de GitHub y las credenciales de AWS. ¡Estos también generaron las recompensas más altas!", afirmó Brizinov.

Los secretos activos son extremadamente sensibles y podrían provocar importantes brechas de seguridad.

Uno de los hallazgos fue un token PAT de GitHub, que otorga acceso de administrador a todos los repositorios pertenecientes al desarrollador Istio. El proyecto Istio se utiliza ampliamente para la gestión y seguridad de microservicios. Cuenta con 36 000 estrellas y 8000 bifurcaciones. La posible vulneración de la cadena de suministro podría afectar a grandes corporaciones como Google, IBM, Red Hat y otras.

"Podría haber leído variables de entorno, modificado pipelines, enviado código, creado nuevas versiones o incluso eliminado todo el proyecto. La posibilidad de un ataque masivo a la cadena de suministro en este caso era alarmante", explica Brizinov.



Brizinov obtuvo previamente $64,000 adicionales gracias a archivos eliminados en GitHub. La investigación posterior se centró en el escaneo de eventos de envío forzado, que suelen ocurrir cuando los desarrolladores fuerzan un cambio en la referencia HEAD de la confirmación actual, sobrescribiendo así el historial de confirmaciones.

El investigador explica que los desarrolladores prefieren esta acción cuando confirman accidentalmente datos que contienen un error, como credenciales predefinidas. Sin embargo, no rotan las credenciales expuestas.

Herramienta codificada en Vibe ahora disponible para todos


Si se siente afortunado, ahora puede intentar escanear GitHub con el script que usó Brizinov. El investigador compartió el código en GitHub:



La herramienta utiliza la API de eventos de GitHub, que permite a los usuarios recuperar información sobre los eventos que ocurren dentro de GitHub, y GitHub Archive, un servicio que escucha el flujo de eventos de GitHub y lo archiva.

"Usé vercel v0 para codificar en Vibe una plataforma completa para clasificar estos secretos de 'Oops Commit'", dijo Brizinov.

Revisar los secretos descubiertos sigue siendo una tarea manual, pero el investigador espera automatizarla posteriormente.

"Estos datos podrían entonces pasarse a un agente basado en LLAMA que analiza e identifica secretos potencialmente valiosos".

Brizinov advierte a los desarrolladores que siempre consideren los secretos expuestos como comprometidos y los revoquen inmediatamente.

Los investigadores ya habían advertido que todo lo publicado en GitHub permanece allí indefinidamente. Solo en 2024, los desarrolladores comprometieron código con más de 23 millones de nuevos secretos codificados, según descubrió la firma de seguridad GitGuardian.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#28


La policía española ha detenido a dos personas en la provincia de Las Palmas por su presunta participación en actividades cibercriminales, incluyendo el robo de datos del gobierno español.

El dúo ha sido descrito como una "grave amenaza para la seguridad nacional" y centró sus ataques en altos funcionarios estatales, así como en periodistas. Filtraron muestras de los datos robados en línea para ganar notoriedad e inflar el precio de venta.

"La investigación se inició cuando los agentes detectaron la filtración de datos personales que afectaban a altas instituciones del Estado a través de diversos canales de comunicación y redes sociales", reza el comunicado policial.

"Estos datos sensibles estaban directamente vinculados a políticos, miembros de los gobiernos central y regional, y profesionales de los medios de comunicación".

Se cree que el primer sospechoso se especializaba en la exfiltración de datos, mientras que el segundo gestionaba la parte financiera vendiendo el acceso a bases de datos y credenciales, y custodiando la billetera de criptomonedas que recibía los fondos.

Los dos fueron detenidos ayer en sus domicilios. Durante los allanamientos, la policía confiscó una gran cantidad de dispositivos electrónicos que podrían dar lugar a más pruebas incriminatorias, compradores o co-conspiradores.



En los últimos años, la policía española ha logrado rastrear y detener a varios ciberdelincuentes de alto perfil. En febrero, arrestaron a un hacker que se cree que vulneró la seguridad de la Guardia Civil, el Ministerio de Defensa, la OTAN, el Ejército de EE. UU. y varias universidades de todo el mundo.

El pasado junio, un joven británico vinculado al conocido grupo de hackers Scattered Spider, presuntamente involucrado en ataques a 45 empresas estadounidenses, fue arrestado en Palma de Mallorca.

Anteriormente, en diciembre de 2023, la policía española arrestó a los presuntos líderes del grupo de hackers Kelvin Security, considerados responsables de 300 ciberataques contra organizaciones en 90 países durante tres años.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#29


Más de 40 extensiones falsas en la tienda oficial de complementos de Firefox se hacen pasar por monederos de criptomonedas populares de proveedores confiables para robar credenciales de monederos y datos confidenciales.

Algunas extensiones se hacen pasar por monederos de Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr y MyMonero, e incluyen código malicioso que envía la información robada a servidores controlados por atacantes.

Extensiones de monederos falsos

Extensiones de billetera falsas en la tienda de complementos de Firefox


Los investigadores de Koi Security encontraron las extensiones peligrosas junto con evidencia que indica que detrás de la campaña se encuentra un grupo de amenazas de habla rusa.

En un informe compartido, los investigadores afirman que muchos de estos complementos de navegador son clones de versiones de código abierto de monederos legítimos con lógica maliciosa añadida.

Koi Security presenta ejemplos de detectores de eventos de entrada y clic en el código, que monitorean la entrada de datos confidenciales de la víctima.

Fragmentos de código malicioso en las extensiones


El código verifica cadenas de entrada con más de 30 caracteres para filtrar claves/frases semilla de monedero realistas y exfiltra los datos a los atacantes.

Los diálogos de error se ocultan al usuario estableciendo la opacidad a cero para cualquier elemento que pueda alertarle de la actividad.

Las frases semilla (frases de recuperación/mnemónicas) son claves maestras que suelen constar de varias palabras y que permiten a los usuarios recuperar o portar monederos a nuevos dispositivos.

Obtener la frase semilla de alguien permite robar todos los activos de criptomonedas del monedero. El robo se presenta como una transacción legítima y es irreversible.

La campaña ha estado activa desde al menos abril y parece que se añaden nuevas extensiones a la tienda de Firefox constantemente. Los investigadores afirman que las entradas maliciosas más recientes datan de la semana pasada.

Para generar confianza, los actores de amenazas utilizan los logotipos reales de las marcas que suplantan, mientras que muchas de las extensiones tienen cientos de reseñas falsas de cinco estrellas. Algunos de ellos también tienen una gran cantidad de reseñas de una estrella que denuncian la estafa, probablemente de usuarios que perdieron sus criptomonedas.

Extensiones falsas de Metamask en la tienda de Firefox


Aunque la mayoría de las reseñas de usuarios son obviamente falsas (superan con creces la cifra de instalaciones), muchos usuarios que no prestan atención a los detalles podrían ser engañados e instalarlas, arriesgándose así al robo de sus frases semilla.

Mozilla ha desarrollado un sistema de detección temprana para extensiones fraudulentas de criptomonedas. Este se basa en indicadores automatizados para evaluar el nivel de riesgo. Si se alcanza un umbral, revisores humanos analizan el envío y lo bloquean si es malicioso.

Koi Security informó que informaron de los hallazgos a la tienda de Firefox mediante la herramienta oficial de informes, pero las extensiones falsas seguían disponibles al momento de escribir este artículo.

Se contactó a Mozilla para obtener comentarios sobre el asunto y un portavoz nos envió lo siguiente:

"Tenemos conocimiento de intentos de explotar el ecosistema de complementos de Firefox mediante extensiones maliciosas que roban criptomonedas. Gracias a herramientas y procesos mejorados, hemos tomado medidas para identificar y desmantelar dichos complementos rápidamente. Recientemente publicamos una entrada en nuestro blog que aborda esta amenaza y cómo la estamos abordando para seguir protegiendo a los usuarios de Firefox.

El informe de Koi Security detalla parte de esta tendencia más amplia. Muchas de las extensiones mencionadas en el informe ya habían sido eliminadas por el equipo de revisión de complementos de Mozilla antes de su publicación, así como docenas de otras que se han enviado recientemente. Estamos revisando los pocos complementos restantes que identificaron como parte de nuestro compromiso continuo con la protección de los usuarios
".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#30
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


G_mic, un usuario de un foro sobre ciberdelincuencia, afirma haber vulnerado la seguridad de Verizon y T-Mobile US y haber robado una gran cantidad de datos que vende en formato CSV y JSON. Los datos incluyen información de 61 millones de clientes de Verizon (3,1 GB) y 55 millones de T-Mobile US.

Datos de Verizon

Según No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, el usuario marcó los datos con el año "2025", lo que sugiere que son recientes. Cuando un miembro del foro solicitó un enlace de descarga, la respuesta del vendedor fue inequívoca: "En venta". Para comprobar su autenticidad, obtuvimos una muestra directamente del vendedor. Tras el análisis, se confirmó que contenía la siguiente información sobre los clientes de Verizon.

Ciudad
Estado
Condado
Sexo
Código postal
Nombre completo
Nombre del operador
Direcciones IP
Número de teléfono
Correo electrónico
Estado de propiedad
Latitud y longitud
Dirección (número de casa, nombre de la calle)

Y más...

El conjunto completo de 61 millones de datos se vende por solo $600.

Para aquellos que no lo conocen, Verizon Communications Inc. es una importante empresa de telecomunicaciones con sede en la ciudad de Nueva York y, al 31 de marzo de 2025, atiende a una amplia base de clientes de 146 millones de suscriptores inalámbricos, lo que la convierte en el operador inalámbrico más grande de los Estados Unidos.

Publicación que muestra datos de Verizon reclamados para la venta


Postura de Verizon

Al ser contactado sobre la supuesta filtración, un portavoz de Verizon declaró que la compañía revisó los datos y cree que se trata de "datos antiguos, publicados previamente en la dark web, y que no están afiliados a nuestra empresa ni a nuestros clientes".

Datos de T-Mobile en EE. UU.

En la publicación de G_mic sobre los datos de T-Mobile en EE. UU., el usuario afirma que contienen los datos personales de 55 millones de clientes. Los datos, que actualmente se venden por $400, incluyen información personal y de contacto aparentemente actualizada para 2025.

Un análisis de los datos de muestra realizado por No tienes permitido ver enlaces. Registrate o Entra a tu cuenta muestra que contienen la siguiente información:

Número de identificación fiscal
Género
Nombre completo
Fecha de nacimiento
ID del dispositivo
ID de cookie
Direcciones IP
Correo electrónico
Números de teléfono
Dirección completa (ciudad, estado, código postal, condado)

Y más...

Publicación que muestra datos de T-Mobile reclamados para la venta


Postura de T-Mobile

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta contactó a T-Mobile y un portavoz respondió rápidamente, negando cualquier filtración de datos reciente. "Esto surgió hace semanas y lo investigamos. No hubo ninguna filtración de datos de T-Mobile. Estos datos no están relacionados con T-Mobile ni con sus clientes", declaró el portavoz.

Sin embargo...

Los usuarios de Verizon y T-Mobile deben mantener la cautela, ya que ambas compañías son blanco frecuente de hackers de alto perfil respaldados por estados y actores de foros de ciberdelincuencia. Los clientes de T-Mobile, en particular, deben estar alerta, ya que la compañía tiene un historial de filtraciones de datos donde los hackers han robado millones de registros de usuarios a lo largo de los años. Desde 2009 hasta mediados de 2025, se han confirmado al menos ocho incidentes.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#31
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Trustwave SpiderLabs, un equipo líder en investigación de ciberseguridad, ha vinculado con seguridad al grupo de ciberamenazas Blind Eagle (también llamado APT-C-36) con Proton66, una empresa rusa que ofrece servicios de hosting a prueba de bombas.

Blind Eagle es un actor de amenazas activo conocido por atacar a organizaciones en toda Latinoamérica, con especial atención a instituciones financieras en Colombia. Según se informa, este vínculo se debe al monitoreo continuo que SpiderLabs realizó a la infraestructura de Proton66 durante varios meses.

La infraestructura del ataque

Según la investigación de SpiderLabs, compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, sus analistas establecieron esta conexión examinando los activos vinculados a Proton66, lo que les llevó a una red interconectada de dominios y direcciones IP. Esta infraestructura, que se volvió notablemente activa en el verano de 2024 (con registros de dominios específicos observados a partir del 12 de agosto de 2024), depende en gran medida de servicios gratuitos de DNS dinámico (DDNS).



Su método de ataque inicial utiliza exclusivamente archivos Visual Basic Script (VBS). Estos scripts actúan como cargadores de troyanos de acceso remoto (RAT) comúnmente disponibles, software malicioso que permite a los atacantes controlar remotamente un equipo comprometido.

Análisis posteriores mostraron que algunas muestras de código VBS se solapaban con muestras previamente identificadas, generadas por un servicio llamado Vbs-Crypter, utilizado para ocultar y empaquetar cargas útiles maliciosas de VBS.

A pesar del alto valor potencial de sus objetivos, los actores de amenazas detrás de Blind Eagle mostraron sorprendentemente poco esfuerzo por ocultar su infraestructura operativa. Los investigadores encontraron numerosos directorios abiertos que contenían archivos maliciosos idénticos y, en algunos casos, incluso páginas completas de phishing diseñadas para suplantar la identidad de bancos colombianos reconocidos como Bancolombia, BBVA, Banco Caja Social y Davivienda. Estos sitios web falsos fueron creados para robar datos de inicio de sesión de usuarios y otra información financiera confidencial.

Página de phishing de Davivienda



Objetivos y Protección

Los sitios de phishing replicaban portales legítimos de inicio de sesión bancario mediante componentes web estándar. Además de estas páginas falsas, la infraestructura también albergaba scripts VBS que servían como primera etapa de la distribución del malware. Estos scripts incluían código diseñado para obtener privilegios administrativos en el equipo de la víctima y luego descargar cargas útiles adicionales, generalmente RAT comunes como Remcos o AsyncRAT.

Una vez infectado el sistema, estos RAT establecen una conexión con un servidor C2, lo que permite a los atacantes administrar los hosts comprometidos, robar datos y ejecutar comandos adicionales. Trustwave incluso observó un panel de administración de botnets con una interfaz en portugués, que mostraba un panel de control de las máquinas infectadas, principalmente en Argentina.

Trustwave confirmó previamente que la infraestructura de Proton66 está siendo explotada para actividades maliciosas, incluyendo campañas de los operadores del ransomware SuperBlack y la distribución de malware para Android.

Como informó No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, la infraestructura es un foco de ciberamenazas, incluyendo la distribución de malware para Android a través de sitios web de WordPress pirateados y ataques dirigidos que implementan malware específico como XWorm y Strela Stealer. Trustwave también detectó posibles conexiones con Chang Way Technologies, lo que indica el papel de Proton66 como facilitador clave para las operaciones cibercriminales.

La compañía advierte que las organizaciones en Latinoamérica, en particular las del sector financiero, deben reforzar su protección. Esto incluye fortalecer los sistemas de filtrado de correo electrónico, capacitar al personal para reconocer los intentos de phishing localizados y monitorear proactivamente los indicadores de amenazas y la infraestructura específica de la región.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#32


ShinyHunters e IntelBroker han sido desmantelados, pero BreachForums podría estar resurgiendo de todos modos.

Cybernews ha recibido un correo electrónico que afirma que el conocido mercado de hackers, BreachForums, volverá a estar disponible a partir del 1 de julio.

BreachForums desapareció repentinamente a mediados de abril, lo que desató una oleada de especulaciones en foros de la dark web y canales de Telegram. Algunos sospecharon de acciones de las fuerzas del orden. Otros señalaron a hackers rivales. Un grupo hacktivista llamado Dark Storm incluso se atribuyó la responsabilidad, sin ninguna prueba.



El 28 de abril, ShinyHunters reapareció brevemente para publicar una declaración firmada con PGP en la interfaz del sitio, culpando a una vulnerabilidad de día cero de MyBB y alegando que agencias gubernamentales habían intentado acceder a la base de datos del sitio.

BreachedForums reapareció brevemente a principios de junio con un nuevo dominio, "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta", y ShinyHunters supuestamente afirmó que el foro estaba creciendo y ganando mucha popularidad.

"Quiero aclarar que ningún miembro de nuestro equipo ha sido arrestado", escribió ShinyHunters en ese momento. Al momento de la publicación, el sitio web bajo este dominio era inaccesible.



A pesar de las afirmaciones, informes de las autoridades francesas han confirmado las especulaciones sobre el arresto. Según informes, arrestaron a cinco presuntos operadores de BreachForum en una redada coordinada. Entre los arrestados se encontraban cuatro conocidos hackers que utilizan los alias en línea "ShinyHunters", "Hollow", "Noct" y "Depressed".

La fiscalía estadounidense ha acusado a Kai West, ciudadano británico, de robo de datos y delitos cibernéticos relacionados, y busca extraditarlo desde Francia, según informó el Departamento de Justicia de Estados Unidos.

Se cree que ha operado BreachForums bajo la identidad digital ShinyHunters desde el arresto en 2023 de su anterior administrador, Pompompurin. ShinyHunters ha incluido previamente datos robados de Santander, AT&T y Ticketmaster.

Durante meses, circularon rumores de que otro conocido actor de amenazas, "IntelBroker", también había sido arrestado en febrero por las autoridades francesas.

Conocido por múltiples infracciones y filtraciones de datos de alto perfil, en 2024 IntelBroker se atribuyó ataques a Tesla, Apple, AMD y, anteriormente, a HomeDepot, General Electric, PandaBuy, el Servicio de Ciudadanía e Inmigración de Estados Unidos (USCIS) y Facebook Marketplace.

"ShinyHunters e IntelBroker han sido arrestados. Con ellos, los servidores y la base de datos fueron confiscados, y ahora están en manos de las autoridades estadounidenses y francesas", se lee en el correo electrónico que recibió Cybernews.

El correo electrónico también afirmaba que el rumor sobre la vulnerabilidad de día cero de MyBB era "desinformación".

"ShinyHunters lo publicó para ganar tiempo, con la esperanza de que IntelBroker volviera y restaurara el foro", escribe un actor de amenazas que se hace pasar por Jaw.

El actor de amenazas instó a los usuarios del foro a no reutilizar nombres de usuario o identidades antiguas por razones de seguridad.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#33
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva investigación de Cisco Talos revela un aumento en el uso indebido por parte de ciberdelincuentes de los Modelos de Lenguaje Grandes (LLM) para potenciar sus actividades ilícitas. Estas potentes herramientas de IA, conocidas por generar texto, resolver problemas y escribir código, están siendo manipuladas para lanzar ataques más sofisticados y generalizados.

Para su información, los LLM están diseñados con funciones de seguridad integradas, como la alineación (entrenamiento para minimizar el sesgo) y las barreras de seguridad (mecanismos en tiempo real para evitar resultados dañinos). Por ejemplo, un LLM legítimo como ChatGPT se negaría a generar un correo electrónico de phishing. Sin embargo, los ciberdelincuentes buscan activamente formas de evadir estas protecciones.

La investigación de Talos, destaca tres métodos principales utilizados por los adversarios:

LLM sin censura: Estos modelos, al carecer de restricciones de seguridad, generan fácilmente contenido sensible o dañino. Algunos ejemplos son OnionGPT y WhiteRabbitNeo, que pueden generar herramientas de seguridad ofensivas o correos electrónicos de phishing. Marcos como Ollama permiten a los usuarios ejecutar modelos sin censura, como Llama 2 Uncensored, en sus propias máquinas.

LLMs Criminales a Medida: Algunos ciberdelincuentes emprendedores están desarrollando sus propios LLMs, diseñados específicamente para fines maliciosos. Nombres como GhostGPT, WormGPT, DarkGPT, DarkestGPT y FraudGPT se anuncian en la dark web, ofreciendo funciones como la creación de malware, páginas de phishing y herramientas de hacking.

Jailbreaking de LLMs Legítimos: Esto implica engañar a los LLMs existentes para que ignoren sus protocolos de seguridad mediante ingeniosas técnicas de inyección de prompts. Los métodos observados incluyen el uso de lenguaje codificado (como Base64), la adición de texto aleatorio (sufijos adversariales), escenarios de rol (por ejemplo, DAN o jailbreak de la abuela) e incluso la explotación de la autoconciencia del modelo (meta prompting).

La dark web se ha convertido en un mercado para estos LLMs maliciosos. FraudGPT, por ejemplo, anunciaba funciones que iban desde la escritura de código malicioso y la creación de malware indetectable hasta la detección de sitios web vulnerables y la generación de contenido de phishing.

Sin embargo, el mercado no está exento de riesgos para los propios delincuentes: los investigadores de Talos descubrieron que el supuesto desarrollador de FraudGPT, CanadianKingpin12, estaba estafando a compradores potenciales de criptomonedas prometiéndoles un producto inexistente.



Más allá de la generación directa de contenido ilícito, los ciberdelincuentes utilizan los LLM para tareas similares a las de los usuarios legítimos, pero con un toque malicioso. En diciembre de 2024, Anthropic, desarrolladores de Claude LLM, señaló la programación, la creación de contenido y la investigación como los principales usos de su modelo. De igual forma, los LLM delictivos se utilizan para:

Programación: Creación de ransomware, troyanos de acceso remoto, limpiadores y ofuscación de código.

Creación de contenido: Generación de correos electrónicos de phishing, páginas de destino y archivos de configuración convincentes.

Investigación: Verificación de números de tarjetas de crédito robadas, análisis de vulnerabilidades e incluso la generación de ideas para nuevos esquemas delictivos.

Los LLM también se están convirtiendo en objetivos. Los atacantes distribuyen modelos con puertas traseras en plataformas como Hugging Face, integrando código malicioso que se ejecuta al descargarse. Además, los LLM que utilizan fuentes de datos externas (Recuperación de Generación Aumentada o RAG) pueden ser vulnerables al envenenamiento de datos, donde los atacantes manipulan los datos para influir en las respuestas del LLM.

Cisco Talos anticipa que, a medida que la tecnología de IA continúa avanzando, los ciberdelincuentes adoptarán cada vez más LLM para agilizar sus operaciones, actuando efectivamente como un "multiplicador de fuerza" para los métodos de ataque existentes en lugar de crear "armas cibernéticas" completamente nuevas.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#34


Las vulnerabilidades que afectan a un chipset Bluetooth presente en más de dos docenas de dispositivos de audio de diez fabricantes pueden explotarse para espiar o robar información confidencial.

Investigadores confirmaron que 29 dispositivos de Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs y Teufel están afectados.

La lista de productos afectados incluye altavoces, auriculares, audífonos y micrófonos inalámbricos.

Los problemas de seguridad podrían aprovecharse para tomar el control de un producto vulnerable y, en algunos teléfonos, un atacante dentro del alcance de conexión podría extraer el historial de llamadas y los contactos.

Espionaje a través de una conexión Bluetooth


En la conferencia de seguridad TROOPERS celebrada en Alemania, investigadores de la empresa de ciberseguridad ERNW revelaron tres vulnerabilidades en los sistemas en chip (SoC) Airoha, ampliamente utilizados en los auriculares True Wireless Stereo (TWS).

Los problemas no son críticos y, además de la proximidad física (alcance del Bluetooth), su explotación requiere un alto nivel de conocimientos técnicos. Recibieron los siguientes identificadores:

CVE-2025-20700 (6.7, puntuación de gravedad media): falta de autenticación para servicios GATT

CVE-2025-20701 (6.7, puntuación de gravedad media): falta de autenticación para Bluetooth BR/EDR

CVE-2025-20702
(7.5, puntuación de gravedad alta): capacidades críticas de un protocolo personalizado

Los investigadores de ERNW afirman haber creado un código de explotación de prueba de concepto que les permitió leer el contenido multimedia que se estaba reproduciendo desde los auriculares objetivo.

Leyendo la canción que se está reproduciendo actualmente desde un dispositivo Airoha vulnerable


Si bien un ataque de este tipo puede no representar un gran riesgo, otros escenarios que aprovechan los tres fallos podrían permitir a un atacante secuestrar la conexión entre el teléfono móvil y un dispositivo de audio Bluetooth y utilizar el perfil de manos libres Bluetooth (HFP) para enviar comandos al teléfono.

"El rango de comandos disponibles depende del sistema operativo móvil, pero todas las plataformas principales permiten al menos iniciar y recibir llamadas" - ERNW

Los investigadores lograron iniciar una llamada a un número arbitrario extrayendo las claves de enlace Bluetooth de la memoria de un dispositivo vulnerable.

Afirman que, dependiendo de la configuración del teléfono, un atacante también podría recuperar el historial de llamadas y los contactos.

También lograron iniciar una llamada y "espiar con éxito conversaciones o sonidos dentro del alcance auditivo del teléfono".

Además, el firmware del dispositivo vulnerable podría reescribirse para permitir la ejecución remota de código, facilitando así la implementación de un exploit susceptible de ser atacado por gusanos y propagarse a través de múltiples dispositivos.

Se aplican restricciones de ataque.

Aunque los investigadores de ERNW presentan escenarios de ataque graves, la implementación práctica a gran escala está limitada por ciertas limitaciones.

"Sí, la idea de que alguien pueda piratear tus auriculares, suplantarlos ante tu teléfono y potencialmente hacer llamadas o espiarte suena bastante alarmante".

"Sí, técnicamente es grave", afirman los investigadores, añadiendo que "los ataques reales son complejos de ejecutar".

La necesidad de sofisticación técnica y proximidad física limita estos ataques a objetivos de alto valor, como aquellos en la diplomacia, el periodismo, el activismo o sectores sensibles.

Airoha ha lanzado un SDK actualizado que incorpora las mitigaciones necesarias, y los fabricantes de dispositivos han comenzado el desarrollo y la distribución de parches.

Sin embargo, la publicación alemana Heise afirma que las actualizaciones de firmware más recientes para más de la mitad de los dispositivos afectados son del 27 de mayo o anteriores, antes de que Airoha entregara el SDK actualizado a sus clientes.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#35



Facebook lleva años usando tus fotos públicas, publicaciones e interacciones para entrenar su inteligencia artificial (IA), pero ahora quiere acceder a fotos que ni siquiera has subido.

Según TechCrunch, cuando los usuarios de Facebook crean una nueva historia, reciben una ventana emergente que les pregunta si desean activar el "procesamiento en la nube" para recibir sugerencias creativas.

Al hacer clic en "Permitir", Facebook genera nuevo contenido a partir de tu galería, como "collages, resúmenes, reestilizaciones con IA o temas para fotos". La plataforma explica que tomará contenido de tu galería y lo subirá a su nube de forma continua para generar ideas para ti.

Según el mensaje, Facebook no usará tu contenido para la segmentación de anuncios. Sin embargo, al hacer clic en "Permitir", también aceptas las Condiciones de Servicio de IA de Meta, que permiten que la IA analice tus fotos y rasgos faciales. Esto incluye a las personas y objetos que aparecen en las fotos, así como la fecha en que se tomaron.

Los términos también otorgan a Meta el derecho a conservar y utilizar cualquier información personal que usted haya compartido con ellos durante el proceso. La empresa no especifica la naturaleza de dichos datos, pero los denomina "información que usted envíe como avisos, comentarios u otro contenido".

Meta insiste en que la función es totalmente voluntaria y puede desactivarse cuando el usuario lo desee.

"Estas sugerencias son solo opcionales y solo se muestran a ti, a menos que decidas compartirlas, y puedes desactivarlas en cualquier momento", continuó. "El contenido del carrete de la cámara se puede usar para mejorar estas sugerencias, pero no para mejorar los modelos de IA en esta prueba", dijo Maria Cubeta, portavoz de Meta.

El gerente de relaciones públicas de Meta, Ryan Daniels, declaró a The Verge que actualmente no se está entrenando con fotos inéditas con esta nueva función. "[El titular de The Verge] implica que actualmente estamos entrenando nuestros modelos de IA con estas fotos, lo cual no es cierto. Esta prueba no utiliza fotos de personas para mejorar ni entrenar nuestros modelos de IA".

Si bien Google indica explícitamente en sus términos que no entrena modelos de IA generativos con datos personales obtenidos de Google Fotos, los términos de IA de Meta son imprecisos y no especifican si estas fotos inéditas se pueden usar para fines de entrenamiento.

La función se está probando actualmente en EE. UU. y Canadá.

Facebook utilizó publicaciones públicas de miles de millones de sus usuarios desde 2007 para mejorar significativamente su IA.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#36


Asemas, una importante mutua de seguros española, ha sido presuntamente víctima de una importante filtración de datos. Un atacante publicó en un foro de la dark web y afirma estar en posesión de una base de datos con 11 millones de registros pertenecientes a la aseguradora.

La publicación, del 26 de junio de 2025, ofrece la base de datos completa a la venta e incluye una muestra para, aparentemente, validar sus afirmaciones.

Fundada en 1983, Asemas es un proveedor clave de seguros de responsabilidad civil profesional para arquitectos y otros profesionales del sector de la construcción español. La compañía asegura tanto a particulares como a empresas, por lo que el alcance de la presunta filtración es especialmente preocupante para este sector profesional. El origen de los datos parece ser una vulneración directa de las bases de datos de clientes y empresas de la compañía.

Los datos comprometidos supuestamente contienen una gran cantidad de información personal y financiera sensible.

Si se verifican las afirmaciones, este incidente podría exponer a las víctimas a un alto riesgo de fraude, robo de identidad y ataques de phishing dirigidos.

La siguiente información supuestamente está incluida en la base de datos filtrada:

ID del cliente

Nombre completo

Fecha de nacimiento

Documento de identidad

Tipo de cliente

Dirección

Código postal y ciudad

Número de teléfono

Correo electrónico

IBAN (Número de cuenta bancaria internacional)

Método de pago

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#37
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las autoridades estadounidenses han acusado a Kai Logan West, ciudadano británico y conocido en línea como "IntelBroker", de una serie de filtraciones de datos de alto perfil que, en conjunto, causaron al menos 25 millones de dólares en daños a empresas de todo el mundo. El joven de 23 años fue arrestado en Francia en febrero de 2025 y ahora se enfrenta a la extradición a Estados Unidos para ser juzgado en el Distrito Sur de Nueva York.

Según informa No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, el arresto de IntelBroker fue seguido por el de varios otros, incluyendo a cuatro personas vinculadas al grupo de hackers ShinyHunters. Tanto IntelBroker como miembros de ShinyHunters participaron en la administración y moderación del foro sobre ciberdelitos y filtraciones de datos BreachForums.

La denuncia no sellada (PDF), fechada en febrero de 2025, expone la investigación de dos años del FBI sobre las operaciones de delitos cibernéticos de West, conectándolo con docenas de violaciones de datos, ventas de datos robados y el liderazgo de un colectivo de piratas informáticos que opera en foros de la web clara y oscura.

¿Quién es IntelBroker?


Usando alias como "IntelBroker" y "Kyle Northern", West se forjó una reputación en un foro de la web clara y oscura, conocido en la acusación como "Forum-1" (BreachForums). Operando bajo el nombre de un grupo de hackers llamado CyberN (anteriormente "The Boys"), IntelBroker ofrecía bases de datos pirateadas de agencias gubernamentales, proveedores de atención médica, empresas de telecomunicaciones y proveedores de servicios de internet.

Entre 2023 y principios de 2025, West fue autor de al menos 158 hilos que ofrecían datos robados en Forum-1, 41 de ellos relacionados con empresas estadounidenses. El FBI señala que se solicitaron al menos 2 millones de dólares en criptomonedas Monero a cambio de la información robada.

En 2024, IntelBroker fue catalogado como el "propietario" de Forum-1, y su fama se disparó al revelar gratuitamente algunas filtraciones de datos para aumentar su credibilidad, conseguir seguidores y atraer compradores.

Cómo el FBI rastreó a IntelBroker

Lo que West desconocía era que agentes del FBI lo vigilaban de cerca. La agencia desplegó agentes encubiertos que se hicieron pasar por compradores en el Foro-1. En al menos dos ocasiones, los agentes compraron datos robados directamente a IntelBroker.

En enero de 2023, un agente compró una clave API y credenciales de inicio de sesión para una empresa denominada "Víctima-7". Aunque el valor de las credenciales era limitado, la transacción se convirtió en un elemento clave para rastrear su identidad cuando IntelBroker solicitó el pago en Bitcoin (en lugar de Monero) y proporcionó una dirección de billetera que podía rastrearse en la cadena de bloques.

Los analistas de blockchain del FBI rastrearon el dinero y descubrieron que:

La billetera Bitcoin utilizada para la transacción se había generado desde otra billetera vinculada a una cuenta en una plataforma financiera llamada Ramp.

Esa cuenta de Ramp se registró con un permiso de conducir provisional del Reino Unido emitido a nombre de Kai Logan West.
La misma identidad, Kai West, también poseía una cuenta de Coinbase bajo el alias Kyle Northern, pero con verificación KYC, lo que confirma que se trataba de la misma persona.

Permiso de conducir provisional de Kai West (imagen a través de una denuncia del Departamento de Justicia de EE. UU.)


Para conectar aún más los hechos, ambas cuentas estaban vinculadas a una dirección de Gmail que West usaba para asuntos personales, incluyendo:

Selfies almacenados en la nube



Recibos y documentos de identidad

Comunicaciones sobre alojamiento y matrícula en universidades del Reino Unido

Vídeos que mostraban herramientas de red como "GPRS Smash"

El correo electrónico también incluía un certificado de estudiante que demostraba que West estaba matriculado en un programa de ciberseguridad.

Huellas en línea y actividad en el foro


West no solo realizó transacciones descuidadamente, sino que también se expuso al vincular su actividad en línea con su comportamiento personal. Sus publicaciones en IntelBroker en el Foro-1 a menudo hacían referencia a vídeos de YouTube que acababa de ver desde su cuenta de correo electrónico personal, y actualizaba periódicamente su firma para incluir a los miembros de su grupo de hackers, lo que facilitaba rastrear su participación en múltiples hilos.

Cuando el Foro-1 fue confiscado y cerrado en 2024 y luego relanzado, todas las publicaciones antiguas heredaron la firma actualizada, creando un rastro consistente de la actividad y las afiliaciones de West que se remonta a principios de 2023.

Uno de los videos de YouTube publicados por IntelBroker en BreachForums (imagen a través de una denuncia del Departamento de Justicia de EE. UU.)


Lista de Víctimas: Telecomunicaciones, Salud, Proveedores de Servicios de Internet

La acusación formal describe al menos seis víctimas, mencionadas únicamente como Víctimas 1 a 6. La Víctima 1, un proveedor de telecomunicaciones, sufrió la exfiltración y eliminación de datos de un servidor en Manhattan, lo que provocó daños estimados en cientos de miles de dólares.

La Víctima 3, un proveedor municipal de servicios de salud, sufrió el robo de datos personales y de salud de más de 56.000 personas, datos que West vendió posteriormente a un agente encubierto del FBI por 1.000 dólares en Monero. La Víctima 6, un proveedor de servicios de internet, fue comprometida utilizando información de filtraciones previas para vulnerar un servidor interno.

En cada caso, West ofreció muestras de prueba públicamente, negoció ventas mediante mensajes privados y solo aceptó Monero para mantener el anonimato, aunque el rastro documental se puso al día.

Las filtraciones de datos de IntelBroker y que reivindica:


AMD
Apple
Cisco
Nokia
Departamento de Defensa de EE. UU.
Europol
T-Mobile
Robert Half
Space Eyes
Home Depot
Tecnología en Asia
General Electric
Aeropuerto Internacional de Los Ángeles
HSBC y Barclays Bank
Facebook Marketplace
Servicio de comestibles Weee!
Hipermercado Lulu de los EAU
Contratista federal estadounidense Acuity
Hewlett Packard Enterprise (HPE)
Revista MIT Technology Review
Una empresa de ciberseguridad sin nombre, pero de primera línea

Cargos Penales

West ha sido acusado de cuatro delitos federales:

Fraude electrónico

Conspiración para cometer fraude electrónico

Conspiración para cometer intrusiones informáticas

Acceso a una computadora protegida para defraudar y obtener valor

Cada de estos delitos conlleva una posible pena de varios años de prisión, especialmente si involucran datos de salud o afectan infraestructuras críticas.

El agente especial del FBI, Carson Hughes, y el fiscal federal Jay Clayton destacaron el alcance global y el peligro de las operaciones de IntelBroker. El FBI calificó el caso como una "advertencia" para los ciberdelincuentes que creen que el anonimato en línea los protege de las consecuencias.

¿Trabajó IntelBroker para la Agencia Nacional contra el Crimen del Reino Unido?

Kai West se presentó profesionalmente como investigador de ciberseguridad y operaba bajo dos identidades distintas en LinkedIn: Kyle Northern y K West. Esto fue detectado inicialmente por Nathaniel Fried, cofundador y director ejecutivo de 0xbowio, quien compartió detalles de los perfiles duales de West con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Cabe destacar que el perfil de Kyle Northern afirmaba haber trabajado como investigador de seguridad en prácticas en la Agencia Nacional contra el Crimen (NCA) del Reino Unido de septiembre a octubre de 2019. De ser cierto, este puesto podría haber implicado el acceso a sistemas clasificados, ya que la NCA se ocupa de la delincuencia organizada grave y la seguridad nacional. Si bien la afiliación a la NCA sigue sin verificarse, la supuesta experiencia de West en ciberseguridad y su trayectoria académica sugieren que esta posibilidad no debe descartarse por completo.

Kai Logan West en LinkedIn


West en Francia mientras EE. UU. solicita su extradición

West permanece bajo custodia francesa, y las autoridades estadounidenses buscan activamente su extradición. De ser declarado culpable, podría enfrentar décadas de prisión. Mientras tanto, Forum-1 ha estado fuera de servicio desde abril de 2025, supuestamente debido a una vulnerabilidad de día cero en MyBB. Muchos de sus miembros han migrado desde entonces a otras plataformas, como DarkForums y el foro de ciberdelincuencia en ruso XSS.

La exposición de IntelBroker destaca como un importante desmantelamiento de ciberdelincuencia. Lo hizo posible gracias a una combinación de trabajo encubierto del FBI, rastreo de criptomonedas e incluso evidencia de correos electrónicos tradicionales, todo lo cual ayudó a rastrear a una de las figuras más conocidas en los foros de ciberdelincuencia.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#38
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


En un importante avance contra la ciberdelincuencia global, las autoridades francesas han detenido a varias personas clave, consideradas fundamentales en la operación de BreachForums, un conocido mercado en línea donde se compra y vende información robada.

Las detenciones, llevadas a cabo por la Brigada de Ciberdelincuencia de Francia (BL2C) a principios de esta semana, se centran en figuras profundamente arraigadas en filtraciones de datos de alto perfil y en los persistentes intentos de reactivar el foro ilícito tras cierres previos.

Un comunicado de prensa de la Fiscalía de París confirma la detención el lunes de cuatro personas, identificadas por sus nombres de usuario ShinyHunters, Hollow, Noct y Depressed, todas veinteañeros.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Estas detenciones son la continuación de una operación anterior realizada en febrero de 2025, en la que se detuvo a otro sospechoso destacado, conocido como IntelBroker, de nacionalidad británica. Cabe destacar que IntelBroker fue detenido en Francia.

Estos arrestos son particularmente significativos ya que se sospecha que estos individuos llevaron a cabo importantes violaciones de datos contra importantes entidades francesas, incluido el gigante minorista Boulanger, el proveedor de telecomunicaciones SFR, la agencia de empleo France Travail y la Federación Francesa de Fútbol.

Se estima que la filtración de datos que afectó únicamente a France Travail comprometió la información personal confidencial de la asombrosa cifra de 43 millones de personas.

Los nombres ShinyHunters e IntelBroker se han vinculado a numerosos incidentes graves de ciberdelincuencia. ShinyHunters se ha asociado con filtraciones de datos a gran escala, como las que afectaron a Salesforce, PowerSchool y los ataques de Snowflake que afectaron a empresas como Santander, Ticketmaster y AT&T. Se cree que este alias representa a un grupo de actores de amenazas, no a una sola persona.

IntelBroker saltó a la fama a través de violaciones de datos muy publicitadas dirigidas a organizaciones como Facebook Marketplace, Europol, General Electric, AMD, Apple HSBC y Barclays Bank, Space Eyes, Home Depot, Lulu Hypermarket de los Emiratos Árabes Unidos y US Contractor Acuity, y la violación de datos de T-Mobile, entre otros.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#39
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un ciudadano británico conocido en línea como "IntelBroker" ha sido acusado por Estados Unidos de robar y vender datos confidenciales de víctimas de todo el mundo, lo que ha causado daños estimados en 25 millones de dólares.

La acusación formal, revelada hoy por la Fiscalía de Estados Unidos para el Distrito Sur de Nueva York, acusa a Kai West, un británico de 25 años, de usar el nombre de usuario "IntelBroker" en una campaña que duró años para robar y vender datos de agencias y redes gubernamentales, empresas e infraestructuras críticas.

Según BleepingComputer, estos datos se vendían con mayor frecuencia en el foro de hackers BreachForums.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La información robada incluía historiales médicos confidenciales, archivos internos de empresas de telecomunicaciones y ciberseguridad, y datos de usuarios de plataformas en línea.

IntelBroker se ha convertido en uno de los ciberdelincuentes más notorios de los últimos años, vinculado a filtraciones de datos en Europol, General Electric, Weee!, AMD, HPE, Nokia y DC Health Link.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La acusación formal de cuatro cargos imputa a West de conspiración para cometer intrusiones informáticas, fraude electrónico, conspiración para cometer fraude electrónico y acceso a una computadora protegida para obtener información. Tres de los cargos conllevan una pena máxima de 25 años de prisión.

Según el Departamento de Justicia, las autoridades han calculado que West causó aproximadamente 25 millones de dólares en daños a decenas de víctimas.

El anuncio del Departamento de Justicia coincide con la publicación hoy de la detención de West por parte de medios franceses en febrero de 2025. Estados Unidos afirma que busca extraditarlo para que enfrente cargos en Nueva York.

La denuncia detalla cómo el FBI confirmó la identidad de IntelBroker, también conocido como "Kyle Northern".

En enero de 2023, un agente encubierto supuestamente compró una clave API robada de IntelBroker. La dirección de Bitcoin utilizada en la venta se rastreó hasta una billetera creada previamente en la plataforma de banca en línea Ramp, propiedad de una cuenta registrada con un permiso de conducir del Reino Unido a nombre de West.

Según informes, la misma cuenta de correo electrónico utilizada en la cuenta de Ramp estaba vinculada a una cuenta de Coinbase registrada bajo el alias "Kyle Northern", una identidad conocida de West. La cuenta contenía facturas, correos electrónicos de su universidad y una foto de su licencia de conducir, lo que permitió al FBI vincular a Kai West con la identidad de IntelBroker.

"El alias IntelBroker ha causado millones en daños a víctimas de todo el mundo", declaró el fiscal federal Jay Clayton.

"Esta acción refleja el compromiso del FBI de perseguir a los ciberdelincuentes en todo el mundo. Con demasiada frecuencia, los neoyorquinos son víctimas de ciberataques intencionales y nuestra oficina se compromete a llevar a estos actores remotos ante la justicia".

En noticias relacionadas, otras cuatro personas fueron arrestadas en Francia esta semana, presuntamente los administradores de los foros de piratería BreachForums.

IntelBroker también fue administrador del foro durante un tiempo, pero renunció en enero.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#40



La Universidad Nacional de Tecnología de Defensa de China (NUDT) ha estado trabajando en un microdron que se asemeja a un mosquito. El dron está diseñado principalmente para operaciones militares.

Lo que hace especial al dron es su tamaño extremadamente pequeño, lo que facilita su ocultación.

El dispositivo incluye dos alas transparentes que se asemejan a las de un insecto y cuatro patas delgadas que podrían usarse para aterrizar.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Uno de los principales usos de estos drones es la observación militar o las misiones especiales. Esto es posible gracias a que el dron incorpora sistemas de energía avanzados, electrónica de control y sensores en un cuerpo diminuto, informa Interesting Engineering.



Estos dispositivos son valiosos debido a su pequeño tamaño, ya que son difíciles de detectar en operaciones encubiertas o de espionaje.

Además de su uso militar, los minidrones también podrían ser valiosos en industrias como la médica, donde podrían emplearse en cirugía o diagnóstico, así como en la monitorización ambiental para detectar niveles de contaminación o responder a desastres.

A pesar de sus ventajas, estos drones son difíciles de construir debido a su minúsculo diseño, ya que el dispositivo incluye componentes como baterías y sensores.

Los microdrones y microrrobots se están volviendo populares gracias a su pequeño tamaño y sus amplias capacidades.

Recientemente, ingenieros crearon un robot volador que se asemeja a un abejorro. Los mismos ingenieros de la Universidad de California en Berkeley también desarrollaron un robot "cucaracha" que puede sobrevivir después de ser pisado.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta