Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas1 2 3 ... 219

Dudas y pedidos generales / Re:Quieren hackear mi Facebook

Julio 03, 2025, 10:38:02 PM

Del querer al poder... hay diferencias.

Continue con su vida.

Precisamente el objetivo es que realice cambios, porque, simplemente no han podido entrar o lograr lo que fuese que desean hacer.

Noticias Informáticas / España detiene a hackers que atacaron a políticos y periodistas

Julio 03, 2025, 05:27:20 AM

La policía española ha detenido a dos personas en la provincia de Las Palmas por su presunta participación en actividades cibercriminales, incluyendo el robo de datos del gobierno español.

El dúo ha sido descrito como una "grave amenaza para la seguridad nacional" y centró sus ataques en altos funcionarios estatales, así como en periodistas. Filtraron muestras de los datos robados en línea para ganar notoriedad e inflar el precio de venta.

"La investigación se inició cuando los agentes detectaron la filtración de datos personales que afectaban a altas instituciones del Estado a través de diversos canales de comunicación y redes sociales", reza el comunicado policial.

"Estos datos sensibles estaban directamente vinculados a políticos, miembros de los gobiernos central y regional, y profesionales de los medios de comunicación".

Se cree que el primer sospechoso se especializaba en la exfiltración de datos, mientras que el segundo gestionaba la parte financiera vendiendo el acceso a bases de datos y credenciales, y custodiando la billetera de criptomonedas que recibía los fondos.

Los dos fueron detenidos ayer en sus domicilios. Durante los allanamientos, la policía confiscó una gran cantidad de dispositivos electrónicos que podrían dar lugar a más pruebas incriminatorias, compradores o co-conspiradores.

En los últimos años, la policía española ha logrado rastrear y detener a varios ciberdelincuentes de alto perfil. En febrero, arrestaron a un hacker que se cree que vulneró la seguridad de la Guardia Civil, el Ministerio de Defensa, la OTAN, el Ejército de EE. UU. y varias universidades de todo el mundo.

El pasado junio, un joven británico vinculado al conocido grupo de hackers Scattered Spider, presuntamente involucrado en ataques a 45 empresas estadounidenses, fue arrestado en Palma de Mallorca.

Anteriormente, en diciembre de 2023, la policía española arrestó a los presuntos líderes del grupo de hackers Kelvin Security, considerados responsables de 300 ciberataques contra organizaciones en 90 países durante tres años.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Falsos wallet add-ons inundan la tienda de Firefox para drenar las criptomonedas

Julio 03, 2025, 05:24:20 AM

Más de 40 extensiones falsas en la tienda oficial de complementos de Firefox se hacen pasar por monederos de criptomonedas populares de proveedores confiables para robar credenciales de monederos y datos confidenciales.

Algunas extensiones se hacen pasar por monederos de Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr y MyMonero, e incluyen código malicioso que envía la información robada a servidores controlados por atacantes.

Extensiones de monederos falsos

Extensiones de billetera falsas en la tienda de complementos de Firefox

Los investigadores de Koi Security encontraron las extensiones peligrosas junto con evidencia que indica que detrás de la campaña se encuentra un grupo de amenazas de habla rusa.

En un informe compartido, los investigadores afirman que muchos de estos complementos de navegador son clones de versiones de código abierto de monederos legítimos con lógica maliciosa añadida.

Koi Security presenta ejemplos de detectores de eventos de entrada y clic en el código, que monitorean la entrada de datos confidenciales de la víctima.

Fragmentos de código malicioso en las extensiones

El código verifica cadenas de entrada con más de 30 caracteres para filtrar claves/frases semilla de monedero realistas y exfiltra los datos a los atacantes.

Los diálogos de error se ocultan al usuario estableciendo la opacidad a cero para cualquier elemento que pueda alertarle de la actividad.

Las frases semilla (frases de recuperación/mnemónicas) son claves maestras que suelen constar de varias palabras y que permiten a los usuarios recuperar o portar monederos a nuevos dispositivos.

Obtener la frase semilla de alguien permite robar todos los activos de criptomonedas del monedero. El robo se presenta como una transacción legítima y es irreversible.

La campaña ha estado activa desde al menos abril y parece que se añaden nuevas extensiones a la tienda de Firefox constantemente. Los investigadores afirman que las entradas maliciosas más recientes datan de la semana pasada.

Para generar confianza, los actores de amenazas utilizan los logotipos reales de las marcas que suplantan, mientras que muchas de las extensiones tienen cientos de reseñas falsas de cinco estrellas. Algunos de ellos también tienen una gran cantidad de reseñas de una estrella que denuncian la estafa, probablemente de usuarios que perdieron sus criptomonedas.

Extensiones falsas de Metamask en la tienda de Firefox

Aunque la mayoría de las reseñas de usuarios son obviamente falsas (superan con creces la cifra de instalaciones), muchos usuarios que no prestan atención a los detalles podrían ser engañados e instalarlas, arriesgándose así al robo de sus frases semilla.

Mozilla ha desarrollado un sistema de detección temprana para extensiones fraudulentas de criptomonedas. Este se basa en indicadores automatizados para evaluar el nivel de riesgo. Si se alcanza un umbral, revisores humanos analizan el envío y lo bloquean si es malicioso.

Koi Security informó que informaron de los hallazgos a la tienda de Firefox mediante la herramienta oficial de informes, pero las extensiones falsas seguían disponibles al momento de escribir este artículo.

Se contactó a Mozilla para obtener comentarios sobre el asunto y un portavoz nos envió lo siguiente:

"Tenemos conocimiento de intentos de explotar el ecosistema de complementos de Firefox mediante extensiones maliciosas que roban criptomonedas. Gracias a herramientas y procesos mejorados, hemos tomado medidas para identificar y desmantelar dichos complementos rápidamente. Recientemente publicamos una entrada en nuestro blog que aborda esta amenaza y cómo la estamos abordando para seguir protegiendo a los usuarios de Firefox.

El informe de Koi Security detalla parte de esta tendencia más amplia. Muchas de las extensiones mencionadas en el informe ya habían sido eliminadas por el equipo de revisión de complementos de Mozilla antes de su publicación, así como docenas de otras que se han enviado recientemente. Estamos revisando los pocos complementos restantes que identificaron como parte de nuestro compromiso continuo con la protección de los usuarios".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Verizon y T-Mobile niegan filtraciones de datos

Julio 03, 2025, 05:21:27 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

G_mic, un usuario de un foro sobre ciberdelincuencia, afirma haber vulnerado la seguridad de Verizon y T-Mobile US y haber robado una gran cantidad de datos que vende en formato CSV y JSON. Los datos incluyen información de 61 millones de clientes de Verizon (3,1 GB) y 55 millones de T-Mobile US.

Datos de Verizon

Según No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, el usuario marcó los datos con el año "2025", lo que sugiere que son recientes. Cuando un miembro del foro solicitó un enlace de descarga, la respuesta del vendedor fue inequívoca: "En venta". Para comprobar su autenticidad, obtuvimos una muestra directamente del vendedor. Tras el análisis, se confirmó que contenía la siguiente información sobre los clientes de Verizon.

Ciudad
Estado
Condado
Sexo
Código postal
Nombre completo
Nombre del operador
Direcciones IP
Número de teléfono
Correo electrónico
Estado de propiedad
Latitud y longitud
Dirección (número de casa, nombre de la calle)

Y más...

El conjunto completo de 61 millones de datos se vende por solo $600.

Para aquellos que no lo conocen, Verizon Communications Inc. es una importante empresa de telecomunicaciones con sede en la ciudad de Nueva York y, al 31 de marzo de 2025, atiende a una amplia base de clientes de 146 millones de suscriptores inalámbricos, lo que la convierte en el operador inalámbrico más grande de los Estados Unidos.

Publicación que muestra datos de Verizon reclamados para la venta

Postura de Verizon

Al ser contactado sobre la supuesta filtración, un portavoz de Verizon declaró que la compañía revisó los datos y cree que se trata de "datos antiguos, publicados previamente en la dark web, y que no están afiliados a nuestra empresa ni a nuestros clientes".

Datos de T-Mobile en EE. UU.

En la publicación de G_mic sobre los datos de T-Mobile en EE. UU., el usuario afirma que contienen los datos personales de 55 millones de clientes. Los datos, que actualmente se venden por $400, incluyen información personal y de contacto aparentemente actualizada para 2025.

Un análisis de los datos de muestra realizado por No tienes permitido ver enlaces. Registrate o Entra a tu cuenta muestra que contienen la siguiente información:

Número de identificación fiscal
Género
Nombre completo
Fecha de nacimiento
ID del dispositivo
ID de cookie
Direcciones IP
Correo electrónico
Números de teléfono
Dirección completa (ciudad, estado, código postal, condado)

Y más...

Publicación que muestra datos de T-Mobile reclamados para la venta

Postura de T-Mobile

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta contactó a T-Mobile y un portavoz respondió rápidamente, negando cualquier filtración de datos reciente. "Esto surgió hace semanas y lo investigamos. No hubo ninguna filtración de datos de T-Mobile. Estos datos no están relacionados con T-Mobile ni con sus clientes", declaró el portavoz.

Sin embargo...

Los usuarios de Verizon y T-Mobile deben mantener la cautela, ya que ambas compañías son blanco frecuente de hackers de alto perfil respaldados por estados y actores de foros de ciberdelincuencia. Los clientes de T-Mobile, en particular, deben estar alerta, ya que la compañía tiene un historial de filtraciones de datos donde los hackers han robado millones de registros de usuarios a lo largo de los años. Desde 2009 hasta mediados de 2025, se han confirmado al menos ocho incidentes.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Blind Eagle vinculado al host ruso Proton66 en ataques en Latinoamérica

Julio 03, 2025, 05:15:42 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Trustwave SpiderLabs, un equipo líder en investigación de ciberseguridad, ha vinculado con seguridad al grupo de ciberamenazas Blind Eagle (también llamado APT-C-36) con Proton66, una empresa rusa que ofrece servicios de hosting a prueba de bombas.

Blind Eagle es un actor de amenazas activo conocido por atacar a organizaciones en toda Latinoamérica, con especial atención a instituciones financieras en Colombia. Según se informa, este vínculo se debe al monitoreo continuo que SpiderLabs realizó a la infraestructura de Proton66 durante varios meses.

La infraestructura del ataque

Según la investigación de SpiderLabs, compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, sus analistas establecieron esta conexión examinando los activos vinculados a Proton66, lo que les llevó a una red interconectada de dominios y direcciones IP. Esta infraestructura, que se volvió notablemente activa en el verano de 2024 (con registros de dominios específicos observados a partir del 12 de agosto de 2024), depende en gran medida de servicios gratuitos de DNS dinámico (DDNS).

Su método de ataque inicial utiliza exclusivamente archivos Visual Basic Script (VBS). Estos scripts actúan como cargadores de troyanos de acceso remoto (RAT) comúnmente disponibles, software malicioso que permite a los atacantes controlar remotamente un equipo comprometido.

Análisis posteriores mostraron que algunas muestras de código VBS se solapaban con muestras previamente identificadas, generadas por un servicio llamado Vbs-Crypter, utilizado para ocultar y empaquetar cargas útiles maliciosas de VBS.

A pesar del alto valor potencial de sus objetivos, los actores de amenazas detrás de Blind Eagle mostraron sorprendentemente poco esfuerzo por ocultar su infraestructura operativa. Los investigadores encontraron numerosos directorios abiertos que contenían archivos maliciosos idénticos y, en algunos casos, incluso páginas completas de phishing diseñadas para suplantar la identidad de bancos colombianos reconocidos como Bancolombia, BBVA, Banco Caja Social y Davivienda. Estos sitios web falsos fueron creados para robar datos de inicio de sesión de usuarios y otra información financiera confidencial.

Página de phishing de Davivienda

Objetivos y Protección

Los sitios de phishing replicaban portales legítimos de inicio de sesión bancario mediante componentes web estándar. Además de estas páginas falsas, la infraestructura también albergaba scripts VBS que servían como primera etapa de la distribución del malware. Estos scripts incluían código diseñado para obtener privilegios administrativos en el equipo de la víctima y luego descargar cargas útiles adicionales, generalmente RAT comunes como Remcos o AsyncRAT.

Una vez infectado el sistema, estos RAT establecen una conexión con un servidor C2, lo que permite a los atacantes administrar los hosts comprometidos, robar datos y ejecutar comandos adicionales. Trustwave incluso observó un panel de administración de botnets con una interfaz en portugués, que mostraba un panel de control de las máquinas infectadas, principalmente en Argentina.

Trustwave confirmó previamente que la infraestructura de Proton66 está siendo explotada para actividades maliciosas, incluyendo campañas de los operadores del ransomware SuperBlack y la distribución de malware para Android.

Como informó No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, la infraestructura es un foco de ciberamenazas, incluyendo la distribución de malware para Android a través de sitios web de WordPress pirateados y ataques dirigidos que implementan malware específico como XWorm y Strela Stealer. Trustwave también detectó posibles conexiones con Chang Way Technologies, lo que indica el papel de Proton66 como facilitador clave para las operaciones cibercriminales.

La compañía advierte que las organizaciones en Latinoamérica, en particular las del sector financiero, deben reforzar su protección. Esto incluye fortalecer los sistemas de filtrado de correo electrónico, capacitar al personal para reconocer los intentos de phishing localizados y monitorear proactivamente los indicadores de amenazas y la infraestructura específica de la región.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Se rumora el resurgimiento de BreachForums… nuevamente

Julio 01, 2025, 02:17:32 AM

ShinyHunters e IntelBroker han sido desmantelados, pero BreachForums podría estar resurgiendo de todos modos.

Cybernews ha recibido un correo electrónico que afirma que el conocido mercado de hackers, BreachForums, volverá a estar disponible a partir del 1 de julio.

BreachForums desapareció repentinamente a mediados de abril, lo que desató una oleada de especulaciones en foros de la dark web y canales de Telegram. Algunos sospecharon de acciones de las fuerzas del orden. Otros señalaron a hackers rivales. Un grupo hacktivista llamado Dark Storm incluso se atribuyó la responsabilidad, sin ninguna prueba.

El 28 de abril, ShinyHunters reapareció brevemente para publicar una declaración firmada con PGP en la interfaz del sitio, culpando a una vulnerabilidad de día cero de MyBB y alegando que agencias gubernamentales habían intentado acceder a la base de datos del sitio.

BreachedForums reapareció brevemente a principios de junio con un nuevo dominio, "No tienes permitido ver enlaces. Registrate o Entra a tu cuenta", y ShinyHunters supuestamente afirmó que el foro estaba creciendo y ganando mucha popularidad.

"Quiero aclarar que ningún miembro de nuestro equipo ha sido arrestado", escribió ShinyHunters en ese momento. Al momento de la publicación, el sitio web bajo este dominio era inaccesible.

A pesar de las afirmaciones, informes de las autoridades francesas han confirmado las especulaciones sobre el arresto. Según informes, arrestaron a cinco presuntos operadores de BreachForum en una redada coordinada. Entre los arrestados se encontraban cuatro conocidos hackers que utilizan los alias en línea "ShinyHunters", "Hollow", "Noct" y "Depressed".

La fiscalía estadounidense ha acusado a Kai West, ciudadano británico, de robo de datos y delitos cibernéticos relacionados, y busca extraditarlo desde Francia, según informó el Departamento de Justicia de Estados Unidos.

Se cree que ha operado BreachForums bajo la identidad digital ShinyHunters desde el arresto en 2023 de su anterior administrador, Pompompurin. ShinyHunters ha incluido previamente datos robados de Santander, AT&T y Ticketmaster.

Durante meses, circularon rumores de que otro conocido actor de amenazas, "IntelBroker", también había sido arrestado en febrero por las autoridades francesas.

Conocido por múltiples infracciones y filtraciones de datos de alto perfil, en 2024 IntelBroker se atribuyó ataques a Tesla, Apple, AMD y, anteriormente, a HomeDepot, General Electric, PandaBuy, el Servicio de Ciudadanía e Inmigración de Estados Unidos (USCIS) y Facebook Marketplace.

"ShinyHunters e IntelBroker han sido arrestados. Con ellos, los servidores y la base de datos fueron confiscados, y ahora están en manos de las autoridades estadounidenses y francesas", se lee en el correo electrónico que recibió Cybernews.

El correo electrónico también afirmaba que el rumor sobre la vulnerabilidad de día cero de MyBB era "desinformación".

"ShinyHunters lo publicó para ganar tiempo, con la esperanza de que IntelBroker volviera y restaurara el foro", escribe un actor de amenazas que se hace pasar por Jaw.

El actor de amenazas instó a los usuarios del foro a no reutilizar nombres de usuario o identidades antiguas por razones de seguridad.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Modelos de IA maliciosos están detrás de una nueva ola de ciberdelitos

Junio 30, 2025, 12:03:06 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva investigación de Cisco Talos revela un aumento en el uso indebido por parte de ciberdelincuentes de los Modelos de Lenguaje Grandes (LLM) para potenciar sus actividades ilícitas. Estas potentes herramientas de IA, conocidas por generar texto, resolver problemas y escribir código, están siendo manipuladas para lanzar ataques más sofisticados y generalizados.

Para su información, los LLM están diseñados con funciones de seguridad integradas, como la alineación (entrenamiento para minimizar el sesgo) y las barreras de seguridad (mecanismos en tiempo real para evitar resultados dañinos). Por ejemplo, un LLM legítimo como ChatGPT se negaría a generar un correo electrónico de phishing. Sin embargo, los ciberdelincuentes buscan activamente formas de evadir estas protecciones.

La investigación de Talos, destaca tres métodos principales utilizados por los adversarios:

LLM sin censura: Estos modelos, al carecer de restricciones de seguridad, generan fácilmente contenido sensible o dañino. Algunos ejemplos son OnionGPT y WhiteRabbitNeo, que pueden generar herramientas de seguridad ofensivas o correos electrónicos de phishing. Marcos como Ollama permiten a los usuarios ejecutar modelos sin censura, como Llama 2 Uncensored, en sus propias máquinas.

LLMs Criminales a Medida: Algunos ciberdelincuentes emprendedores están desarrollando sus propios LLMs, diseñados específicamente para fines maliciosos. Nombres como GhostGPT, WormGPT, DarkGPT, DarkestGPT y FraudGPT se anuncian en la dark web, ofreciendo funciones como la creación de malware, páginas de phishing y herramientas de hacking.

Jailbreaking de LLMs Legítimos: Esto implica engañar a los LLMs existentes para que ignoren sus protocolos de seguridad mediante ingeniosas técnicas de inyección de prompts. Los métodos observados incluyen el uso de lenguaje codificado (como Base64), la adición de texto aleatorio (sufijos adversariales), escenarios de rol (por ejemplo, DAN o jailbreak de la abuela) e incluso la explotación de la autoconciencia del modelo (meta prompting).

La dark web se ha convertido en un mercado para estos LLMs maliciosos. FraudGPT, por ejemplo, anunciaba funciones que iban desde la escritura de código malicioso y la creación de malware indetectable hasta la detección de sitios web vulnerables y la generación de contenido de phishing.

Sin embargo, el mercado no está exento de riesgos para los propios delincuentes: los investigadores de Talos descubrieron que el supuesto desarrollador de FraudGPT, CanadianKingpin12, estaba estafando a compradores potenciales de criptomonedas prometiéndoles un producto inexistente.

Más allá de la generación directa de contenido ilícito, los ciberdelincuentes utilizan los LLM para tareas similares a las de los usuarios legítimos, pero con un toque malicioso. En diciembre de 2024, Anthropic, desarrolladores de Claude LLM, señaló la programación, la creación de contenido y la investigación como los principales usos de su modelo. De igual forma, los LLM delictivos se utilizan para:

Programación: Creación de ransomware, troyanos de acceso remoto, limpiadores y ofuscación de código.

Creación de contenido: Generación de correos electrónicos de phishing, páginas de destino y archivos de configuración convincentes.

Investigación: Verificación de números de tarjetas de crédito robadas, análisis de vulnerabilidades e incluso la generación de ideas para nuevos esquemas delictivos.

Los LLM también se están convirtiendo en objetivos. Los atacantes distribuyen modelos con puertas traseras en plataformas como Hugging Face, integrando código malicioso que se ejecuta al descargarse. Además, los LLM que utilizan fuentes de datos externas (Recuperación de Generación Aumentada o RAG) pueden ser vulnerables al envenenamiento de datos, donde los atacantes manipulan los datos para influir en las respuestas del LLM.

Cisco Talos anticipa que, a medida que la tecnología de IA continúa avanzando, los ciberdelincuentes adoptarán cada vez más LLM para agilizar sus operaciones, actuando efectivamente como un "multiplicador de fuerza" para los métodos de ataque existentes en lugar de crear "armas cibernéticas" completamente nuevas.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Fallas de Bluetooth podrían permitir que le espíen a través de su micrófono

Junio 29, 2025, 11:58:58 PM

Las vulnerabilidades que afectan a un chipset Bluetooth presente en más de dos docenas de dispositivos de audio de diez fabricantes pueden explotarse para espiar o robar información confidencial.

Investigadores confirmaron que 29 dispositivos de Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs y Teufel están afectados.

La lista de productos afectados incluye altavoces, auriculares, audífonos y micrófonos inalámbricos.

Los problemas de seguridad podrían aprovecharse para tomar el control de un producto vulnerable y, en algunos teléfonos, un atacante dentro del alcance de conexión podría extraer el historial de llamadas y los contactos.

Espionaje a través de una conexión Bluetooth

En la conferencia de seguridad TROOPERS celebrada en Alemania, investigadores de la empresa de ciberseguridad ERNW revelaron tres vulnerabilidades en los sistemas en chip (SoC) Airoha, ampliamente utilizados en los auriculares True Wireless Stereo (TWS).

Los problemas no son críticos y, además de la proximidad física (alcance del Bluetooth), su explotación requiere un alto nivel de conocimientos técnicos. Recibieron los siguientes identificadores:

CVE-2025-20700 (6.7, puntuación de gravedad media): falta de autenticación para servicios GATT

CVE-2025-20701 (6.7, puntuación de gravedad media): falta de autenticación para Bluetooth BR/EDR

CVE-2025-20702 (7.5, puntuación de gravedad alta): capacidades críticas de un protocolo personalizado

Los investigadores de ERNW afirman haber creado un código de explotación de prueba de concepto que les permitió leer el contenido multimedia que se estaba reproduciendo desde los auriculares objetivo.

Leyendo la canción que se está reproduciendo actualmente desde un dispositivo Airoha vulnerable

Si bien un ataque de este tipo puede no representar un gran riesgo, otros escenarios que aprovechan los tres fallos podrían permitir a un atacante secuestrar la conexión entre el teléfono móvil y un dispositivo de audio Bluetooth y utilizar el perfil de manos libres Bluetooth (HFP) para enviar comandos al teléfono.

"El rango de comandos disponibles depende del sistema operativo móvil, pero todas las plataformas principales permiten al menos iniciar y recibir llamadas" - ERNW

Los investigadores lograron iniciar una llamada a un número arbitrario extrayendo las claves de enlace Bluetooth de la memoria de un dispositivo vulnerable.

Afirman que, dependiendo de la configuración del teléfono, un atacante también podría recuperar el historial de llamadas y los contactos.

También lograron iniciar una llamada y "espiar con éxito conversaciones o sonidos dentro del alcance auditivo del teléfono".

Además, el firmware del dispositivo vulnerable podría reescribirse para permitir la ejecución remota de código, facilitando así la implementación de un exploit susceptible de ser atacado por gusanos y propagarse a través de múltiples dispositivos.

Se aplican restricciones de ataque.

Aunque los investigadores de ERNW presentan escenarios de ataque graves, la implementación práctica a gran escala está limitada por ciertas limitaciones.

"Sí, la idea de que alguien pueda piratear tus auriculares, suplantarlos ante tu teléfono y potencialmente hacer llamadas o espiarte suena bastante alarmante".

"Sí, técnicamente es grave", afirman los investigadores, añadiendo que "los ataques reales son complejos de ejecutar".

La necesidad de sofisticación técnica y proximidad física limita estos ataques a objetivos de alto valor, como aquellos en la diplomacia, el periodismo, el activismo o sectores sensibles.

Airoha ha lanzado un SDK actualizado que incorpora las mitigaciones necesarias, y los fabricantes de dispositivos han comenzado el desarrollo y la distribución de parches.

Sin embargo, la publicación alemana Heise afirma que las actualizaciones de firmware más recientes para más de la mitad de los dispositivos afectados son del 27 de mayo o anteriores, antes de que Airoha entregara el SDK actualizado a sus clientes.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Noticias Informáticas / Facebook quiere que Meta AI acceda a tus fotos privadas no publicadas

Junio 29, 2025, 11:56:27 PM

Facebook lleva años usando tus fotos públicas, publicaciones e interacciones para entrenar su inteligencia artificial (IA), pero ahora quiere acceder a fotos que ni siquiera has subido.

Según TechCrunch, cuando los usuarios de Facebook crean una nueva historia, reciben una ventana emergente que les pregunta si desean activar el "procesamiento en la nube" para recibir sugerencias creativas.

Al hacer clic en "Permitir", Facebook genera nuevo contenido a partir de tu galería, como "collages, resúmenes, reestilizaciones con IA o temas para fotos". La plataforma explica que tomará contenido de tu galería y lo subirá a su nube de forma continua para generar ideas para ti.

Según el mensaje, Facebook no usará tu contenido para la segmentación de anuncios. Sin embargo, al hacer clic en "Permitir", también aceptas las Condiciones de Servicio de IA de Meta, que permiten que la IA analice tus fotos y rasgos faciales. Esto incluye a las personas y objetos que aparecen en las fotos, así como la fecha en que se tomaron.

Los términos también otorgan a Meta el derecho a conservar y utilizar cualquier información personal que usted haya compartido con ellos durante el proceso. La empresa no especifica la naturaleza de dichos datos, pero los denomina "información que usted envíe como avisos, comentarios u otro contenido".

Meta insiste en que la función es totalmente voluntaria y puede desactivarse cuando el usuario lo desee.

"Estas sugerencias son solo opcionales y solo se muestran a ti, a menos que decidas compartirlas, y puedes desactivarlas en cualquier momento", continuó. "El contenido del carrete de la cámara se puede usar para mejorar estas sugerencias, pero no para mejorar los modelos de IA en esta prueba", dijo Maria Cubeta, portavoz de Meta.

El gerente de relaciones públicas de Meta, Ryan Daniels, declaró a The Verge que actualmente no se está entrenando con fotos inéditas con esta nueva función. "[El titular de The Verge] implica que actualmente estamos entrenando nuestros modelos de IA con estas fotos, lo cual no es cierto. Esta prueba no utiliza fotos de personas para mejorar ni entrenar nuestros modelos de IA".

Si bien Google indica explícitamente en sus términos que no entrena modelos de IA generativos con datos personales obtenidos de Google Fotos, los términos de IA de Meta son imprecisos y no especifican si estas fotos inéditas se pueden usar para fines de entrenamiento.

La función se está probando actualmente en EE. UU. y Canadá.

Facebook utilizó publicaciones públicas de miles de millones de sus usuarios desde 2007 para mejorar significativamente su IA.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10

Noticias Informáticas / Brecha de seguridad de la aseguradora española Asemas

Junio 27, 2025, 03:25:15 AM

Asemas, una importante mutua de seguros española, ha sido presuntamente víctima de una importante filtración de datos. Un atacante publicó en un foro de la dark web y afirma estar en posesión de una base de datos con 11 millones de registros pertenecientes a la aseguradora.

La publicación, del 26 de junio de 2025, ofrece la base de datos completa a la venta e incluye una muestra para, aparentemente, validar sus afirmaciones.

Fundada en 1983, Asemas es un proveedor clave de seguros de responsabilidad civil profesional para arquitectos y otros profesionales del sector de la construcción español. La compañía asegura tanto a particulares como a empresas, por lo que el alcance de la presunta filtración es especialmente preocupante para este sector profesional. El origen de los datos parece ser una vulneración directa de las bases de datos de clientes y empresas de la compañía.

Los datos comprometidos supuestamente contienen una gran cantidad de información personal y financiera sensible.

Si se verifican las afirmaciones, este incidente podría exponer a las víctimas a un alto riesgo de fraude, robo de identidad y ataques de phishing dirigidos.

La siguiente información supuestamente está incluida en la base de datos filtrada:

ID del cliente

Nombre completo

Fecha de nacimiento

Documento de identidad

Tipo de cliente

Dirección

Código postal y ciudad

Número de teléfono

Correo electrónico

IBAN (Número de cuenta bancaria internacional)

Método de pago

Fuente:
DailyDarkWeb
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11

Noticias Informáticas / El Doxxing de “IntelBroker”

Junio 27, 2025, 02:44:56 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las autoridades estadounidenses han acusado a Kai Logan West, ciudadano británico y conocido en línea como "IntelBroker", de una serie de filtraciones de datos de alto perfil que, en conjunto, causaron al menos 25 millones de dólares en daños a empresas de todo el mundo. El joven de 23 años fue arrestado en Francia en febrero de 2025 y ahora se enfrenta a la extradición a Estados Unidos para ser juzgado en el Distrito Sur de Nueva York.

Según informa No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, el arresto de IntelBroker fue seguido por el de varios otros, incluyendo a cuatro personas vinculadas al grupo de hackers ShinyHunters. Tanto IntelBroker como miembros de ShinyHunters participaron en la administración y moderación del foro sobre ciberdelitos y filtraciones de datos BreachForums.

La denuncia no sellada (PDF), fechada en febrero de 2025, expone la investigación de dos años del FBI sobre las operaciones de delitos cibernéticos de West, conectándolo con docenas de violaciones de datos, ventas de datos robados y el liderazgo de un colectivo de piratas informáticos que opera en foros de la web clara y oscura.

¿Quién es IntelBroker?

Usando alias como "IntelBroker" y "Kyle Northern", West se forjó una reputación en un foro de la web clara y oscura, conocido en la acusación como "Forum-1" (BreachForums). Operando bajo el nombre de un grupo de hackers llamado CyberN (anteriormente "The Boys"), IntelBroker ofrecía bases de datos pirateadas de agencias gubernamentales, proveedores de atención médica, empresas de telecomunicaciones y proveedores de servicios de internet.

Entre 2023 y principios de 2025, West fue autor de al menos 158 hilos que ofrecían datos robados en Forum-1, 41 de ellos relacionados con empresas estadounidenses. El FBI señala que se solicitaron al menos 2 millones de dólares en criptomonedas Monero a cambio de la información robada.

En 2024, IntelBroker fue catalogado como el "propietario" de Forum-1, y su fama se disparó al revelar gratuitamente algunas filtraciones de datos para aumentar su credibilidad, conseguir seguidores y atraer compradores.

Cómo el FBI rastreó a IntelBroker

Lo que West desconocía era que agentes del FBI lo vigilaban de cerca. La agencia desplegó agentes encubiertos que se hicieron pasar por compradores en el Foro-1. En al menos dos ocasiones, los agentes compraron datos robados directamente a IntelBroker.

En enero de 2023, un agente compró una clave API y credenciales de inicio de sesión para una empresa denominada "Víctima-7". Aunque el valor de las credenciales era limitado, la transacción se convirtió en un elemento clave para rastrear su identidad cuando IntelBroker solicitó el pago en Bitcoin (en lugar de Monero) y proporcionó una dirección de billetera que podía rastrearse en la cadena de bloques.

Los analistas de blockchain del FBI rastrearon el dinero y descubrieron que:

La billetera Bitcoin utilizada para la transacción se había generado desde otra billetera vinculada a una cuenta en una plataforma financiera llamada Ramp.

Esa cuenta de Ramp se registró con un permiso de conducir provisional del Reino Unido emitido a nombre de Kai Logan West.
La misma identidad, Kai West, también poseía una cuenta de Coinbase bajo el alias Kyle Northern, pero con verificación KYC, lo que confirma que se trataba de la misma persona.

Permiso de conducir provisional de Kai West (imagen a través de una denuncia del Departamento de Justicia de EE. UU.)

Para conectar aún más los hechos, ambas cuentas estaban vinculadas a una dirección de Gmail que West usaba para asuntos personales, incluyendo:

Selfies almacenados en la nube

Recibos y documentos de identidad

Comunicaciones sobre alojamiento y matrícula en universidades del Reino Unido

Vídeos que mostraban herramientas de red como "GPRS Smash"

El correo electrónico también incluía un certificado de estudiante que demostraba que West estaba matriculado en un programa de ciberseguridad.

Huellas en línea y actividad en el foro

West no solo realizó transacciones descuidadamente, sino que también se expuso al vincular su actividad en línea con su comportamiento personal. Sus publicaciones en IntelBroker en el Foro-1 a menudo hacían referencia a vídeos de YouTube que acababa de ver desde su cuenta de correo electrónico personal, y actualizaba periódicamente su firma para incluir a los miembros de su grupo de hackers, lo que facilitaba rastrear su participación en múltiples hilos.

Cuando el Foro-1 fue confiscado y cerrado en 2024 y luego relanzado, todas las publicaciones antiguas heredaron la firma actualizada, creando un rastro consistente de la actividad y las afiliaciones de West que se remonta a principios de 2023.

Uno de los videos de YouTube publicados por IntelBroker en BreachForums (imagen a través de una denuncia del Departamento de Justicia de EE. UU.)

Lista de Víctimas: Telecomunicaciones, Salud, Proveedores de Servicios de Internet

La acusación formal describe al menos seis víctimas, mencionadas únicamente como Víctimas 1 a 6. La Víctima 1, un proveedor de telecomunicaciones, sufrió la exfiltración y eliminación de datos de un servidor en Manhattan, lo que provocó daños estimados en cientos de miles de dólares.

La Víctima 3, un proveedor municipal de servicios de salud, sufrió el robo de datos personales y de salud de más de 56.000 personas, datos que West vendió posteriormente a un agente encubierto del FBI por 1.000 dólares en Monero. La Víctima 6, un proveedor de servicios de internet, fue comprometida utilizando información de filtraciones previas para vulnerar un servidor interno.

En cada caso, West ofreció muestras de prueba públicamente, negoció ventas mediante mensajes privados y solo aceptó Monero para mantener el anonimato, aunque el rastro documental se puso al día.

Las filtraciones de datos de IntelBroker y que reivindica:

AMD
Apple
Cisco
Nokia
Departamento de Defensa de EE. UU.
Europol
T-Mobile
Robert Half
Space Eyes
Home Depot
Tecnología en Asia
General Electric
Aeropuerto Internacional de Los Ángeles
HSBC y Barclays Bank
Facebook Marketplace
Servicio de comestibles Weee!
Hipermercado Lulu de los EAU
Contratista federal estadounidense Acuity
Hewlett Packard Enterprise (HPE)
Revista MIT Technology Review
Una empresa de ciberseguridad sin nombre, pero de primera línea

Cargos Penales

West ha sido acusado de cuatro delitos federales:

Fraude electrónico

Conspiración para cometer fraude electrónico

Conspiración para cometer intrusiones informáticas

Acceso a una computadora protegida para defraudar y obtener valor

Cada de estos delitos conlleva una posible pena de varios años de prisión, especialmente si involucran datos de salud o afectan infraestructuras críticas.

El agente especial del FBI, Carson Hughes, y el fiscal federal Jay Clayton destacaron el alcance global y el peligro de las operaciones de IntelBroker. El FBI calificó el caso como una "advertencia" para los ciberdelincuentes que creen que el anonimato en línea los protege de las consecuencias.

¿Trabajó IntelBroker para la Agencia Nacional contra el Crimen del Reino Unido?

Kai West se presentó profesionalmente como investigador de ciberseguridad y operaba bajo dos identidades distintas en LinkedIn: Kyle Northern y K West. Esto fue detectado inicialmente por Nathaniel Fried, cofundador y director ejecutivo de 0xbowio, quien compartió detalles de los perfiles duales de West con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Cabe destacar que el perfil de Kyle Northern afirmaba haber trabajado como investigador de seguridad en prácticas en la Agencia Nacional contra el Crimen (NCA) del Reino Unido de septiembre a octubre de 2019. De ser cierto, este puesto podría haber implicado el acceso a sistemas clasificados, ya que la NCA se ocupa de la delincuencia organizada grave y la seguridad nacional. Si bien la afiliación a la NCA sigue sin verificarse, la supuesta experiencia de West en ciberseguridad y su trayectoria académica sugieren que esta posibilidad no debe descartarse por completo.

Kai Logan West en LinkedIn

West en Francia mientras EE. UU. solicita su extradición

West permanece bajo custodia francesa, y las autoridades estadounidenses buscan activamente su extradición. De ser declarado culpable, podría enfrentar décadas de prisión. Mientras tanto, Forum-1 ha estado fuera de servicio desde abril de 2025, supuestamente debido a una vulnerabilidad de día cero en MyBB. Muchos de sus miembros han migrado desde entonces a otras plataformas, como DarkForums y el foro de ciberdelincuencia en ruso XSS.

La exposición de IntelBroker destaca como un importante desmantelamiento de ciberdelincuencia. Lo hizo posible gracias a una combinación de trabajo encubierto del FBI, rastreo de criptomonedas e incluso evidencia de correos electrónicos tradicionales, todo lo cual ayudó a rastrear a una de las figuras más conocidas en los foros de ciberdelincuencia.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12

Noticias Informáticas / BreachForums: Miembros de ShinyHunters arrestados

Junio 27, 2025, 02:38:15 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En un importante avance contra la ciberdelincuencia global, las autoridades francesas han detenido a varias personas clave, consideradas fundamentales en la operación de BreachForums, un conocido mercado en línea donde se compra y vende información robada.

Las detenciones, llevadas a cabo por la Brigada de Ciberdelincuencia de Francia (BL2C) a principios de esta semana, se centran en figuras profundamente arraigadas en filtraciones de datos de alto perfil y en los persistentes intentos de reactivar el foro ilícito tras cierres previos.

Un comunicado de prensa de la Fiscalía de París confirma la detención el lunes de cuatro personas, identificadas por sus nombres de usuario ShinyHunters, Hollow, Noct y Depressed, todas veinteañeros.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Estas detenciones son la continuación de una operación anterior realizada en febrero de 2025, en la que se detuvo a otro sospechoso destacado, conocido como IntelBroker, de nacionalidad británica. Cabe destacar que IntelBroker fue detenido en Francia.

Estos arrestos son particularmente significativos ya que se sospecha que estos individuos llevaron a cabo importantes violaciones de datos contra importantes entidades francesas, incluido el gigante minorista Boulanger, el proveedor de telecomunicaciones SFR, la agencia de empleo France Travail y la Federación Francesa de Fútbol.

Se estima que la filtración de datos que afectó únicamente a France Travail comprometió la información personal confidencial de la asombrosa cifra de 43 millones de personas.

Los nombres ShinyHunters e IntelBroker se han vinculado a numerosos incidentes graves de ciberdelincuencia. ShinyHunters se ha asociado con filtraciones de datos a gran escala, como las que afectaron a Salesforce, PowerSchool y los ataques de Snowflake que afectaron a empresas como Santander, Ticketmaster y AT&T. Se cree que este alias representa a un grupo de actores de amenazas, no a una sola persona.

IntelBroker saltó a la fama a través de violaciones de datos muy publicitadas dirigidas a organizaciones como Facebook Marketplace, Europol, General Electric, AMD, Apple HSBC y Barclays Bank, Space Eyes, Home Depot, Lulu Hypermarket de los Emiratos Árabes Unidos y US Contractor Acuity, y la violación de datos de T-Mobile, entre otros.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13

Dudas y pedidos generales / Re:[SOLUCIONADO] Herramientas de Doxeo

Junio 27, 2025, 02:05:01 AM

Aquí tiene otro gran ejemplo de doxxing realizado por los gobiernos de distintas naciones encabezado por Estados Unidos.

Este hacker es uno de los más notorios de los últimos tiempos. No era cualquier cosa y sin lugar a dudas un profesional en el mundo del cibercrimen en su forma de hacer. Los "ShinyHunters" tampoco eran improvisados novatos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En la noticia se hace una breve reseña al método de identificación que, "según dicen ellos" fue a través del rastreo de una cuenta de cripto; entre otras trazas que cruzaron por email, plataformas de servicios, etc., como le expliqué en mi primera respuesta.

Los gobiernos y en especial US, nunca revelan el método empleado. No en vano las grande compañías poseedoras de IA, están recibiendo millonarios contratos por entidades gubernamentales como el Pentágono, el propio FBI, la CIA, etc.

#14

Noticias Informáticas / Identificado el célebre hacker “IntelBroker” y acusado por el FBI

Junio 27, 2025, 01:54:04 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un ciudadano británico conocido en línea como "IntelBroker" ha sido acusado por Estados Unidos de robar y vender datos confidenciales de víctimas de todo el mundo, lo que ha causado daños estimados en 25 millones de dólares.

La acusación formal, revelada hoy por la Fiscalía de Estados Unidos para el Distrito Sur de Nueva York, acusa a Kai West, un británico de 25 años, de usar el nombre de usuario "IntelBroker" en una campaña que duró años para robar y vender datos de agencias y redes gubernamentales, empresas e infraestructuras críticas.

Según BleepingComputer, estos datos se vendían con mayor frecuencia en el foro de hackers BreachForums.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La información robada incluía historiales médicos confidenciales, archivos internos de empresas de telecomunicaciones y ciberseguridad, y datos de usuarios de plataformas en línea.

IntelBroker se ha convertido en uno de los ciberdelincuentes más notorios de los últimos años, vinculado a filtraciones de datos en Europol, General Electric, Weee!, AMD, HPE, Nokia y DC Health Link.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La acusación formal de cuatro cargos imputa a West de conspiración para cometer intrusiones informáticas, fraude electrónico, conspiración para cometer fraude electrónico y acceso a una computadora protegida para obtener información. Tres de los cargos conllevan una pena máxima de 25 años de prisión.

Según el Departamento de Justicia, las autoridades han calculado que West causó aproximadamente 25 millones de dólares en daños a decenas de víctimas.

El anuncio del Departamento de Justicia coincide con la publicación hoy de la detención de West por parte de medios franceses en febrero de 2025. Estados Unidos afirma que busca extraditarlo para que enfrente cargos en Nueva York.

La denuncia detalla cómo el FBI confirmó la identidad de IntelBroker, también conocido como "Kyle Northern".

En enero de 2023, un agente encubierto supuestamente compró una clave API robada de IntelBroker. La dirección de Bitcoin utilizada en la venta se rastreó hasta una billetera creada previamente en la plataforma de banca en línea Ramp, propiedad de una cuenta registrada con un permiso de conducir del Reino Unido a nombre de West.

Según informes, la misma cuenta de correo electrónico utilizada en la cuenta de Ramp estaba vinculada a una cuenta de Coinbase registrada bajo el alias "Kyle Northern", una identidad conocida de West. La cuenta contenía facturas, correos electrónicos de su universidad y una foto de su licencia de conducir, lo que permitió al FBI vincular a Kai West con la identidad de IntelBroker.

"El alias IntelBroker ha causado millones en daños a víctimas de todo el mundo", declaró el fiscal federal Jay Clayton.

"Esta acción refleja el compromiso del FBI de perseguir a los ciberdelincuentes en todo el mundo. Con demasiada frecuencia, los neoyorquinos son víctimas de ciberataques intencionales y nuestra oficina se compromete a llevar a estos actores remotos ante la justicia".

En noticias relacionadas, otras cuatro personas fueron arrestadas en Francia esta semana, presuntamente los administradores de los foros de piratería BreachForums.

IntelBroker también fue administrador del foro durante un tiempo, pero renunció en enero.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15

Noticias Informáticas / Dron en miniatura que parece un mosquito

Junio 24, 2025, 12:44:11 PM

La Universidad Nacional de Tecnología de Defensa de China (NUDT) ha estado trabajando en un microdron que se asemeja a un mosquito. El dron está diseñado principalmente para operaciones militares.

Lo que hace especial al dron es su tamaño extremadamente pequeño, lo que facilita su ocultación.

El dispositivo incluye dos alas transparentes que se asemejan a las de un insecto y cuatro patas delgadas que podrían usarse para aterrizar.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Uno de los principales usos de estos drones es la observación militar o las misiones especiales. Esto es posible gracias a que el dron incorpora sistemas de energía avanzados, electrónica de control y sensores en un cuerpo diminuto, informa Interesting Engineering.

Estos dispositivos son valiosos debido a su pequeño tamaño, ya que son difíciles de detectar en operaciones encubiertas o de espionaje.

Además de su uso militar, los minidrones también podrían ser valiosos en industrias como la médica, donde podrían emplearse en cirugía o diagnóstico, así como en la monitorización ambiental para detectar niveles de contaminación o responder a desastres.

A pesar de sus ventajas, estos drones son difíciles de construir debido a su minúsculo diseño, ya que el dispositivo incluye componentes como baterías y sensores.

Los microdrones y microrrobots se están volviendo populares gracias a su pequeño tamaño y sus amplias capacidades.

Recientemente, ingenieros crearon un robot volador que se asemeja a un abejorro. Los mismos ingenieros de la Universidad de California en Berkeley también desarrollaron un robot "cucaracha" que puede sobrevivir después de ser pisado.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16

Noticias Informáticas / Bug de WinRAR abre la puerta a ejecución remota de código

Junio 24, 2025, 12:42:27 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad recientemente descubierta en WinRAR de RARLAB, la herramienta de compresión de larga trayectoria para Windows, ha expuesto a millones de usuarios a una grave falla Path Traversal que podría provocar la ejecución remota de código (RCE).

Identificada como CVE-2025-6218 y con una calificación CVSS de 7.8, esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario en el equipo de la víctima simplemente al obligarla a abrir un archivo comprimido especialmente diseñado.

"Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de WinRAR de RARLAB", advierte el aviso de ZeroDayInitiative.

La raíz del problema reside en cómo WinRAR procesa las rutas dentro de los archivos comprimidos. La falla reside en una validación insuficiente al extraer las entradas del archivo, concretamente en la imposibilidad de depurar correctamente los valores de las rutas creadas.

Al incluir secuencias de recorrido de directorio (como ../) en la ruta de un archivo, un atacante puede provocar que WinRAR extraiga archivos a ubicaciones inesperadas en el sistema de la víctima.

"La falla específica se encuentra en el manejo de las rutas de archivo dentro de los archivos comprimidos. Una ruta de archivo manipulada puede provocar que el proceso acceda a directorios no deseados", explica el aviso.

Una vez que el atacante escribe con éxito un archivo en un directorio sensible, como una carpeta de inicio o una ruta ejecutable del sistema, puede desencadenar la ejecución de código arbitrario cuando la víctima abre o reinicia el sistema.

Esta vulnerabilidad requiere una pequeña pero peligrosa interacción del usuario. Para explotarla, los atacantes deben convencer a la víctima de que abra un archivo comprimido malicioso, un escenario que se logra fácilmente mediante phishing, malvertising o descargas no autorizadas.

La carga maliciosa suele camuflarse como un archivo comprimido legítimo, ocultando el exploit dentro de contenido aparentemente inofensivo.

RARLAB respondió rápidamente al descubrimiento y la falla se ha solucionado en WinRAR 7.12 Beta 1. Se recomienda encarecidamente a los usuarios que actualicen su sistema inmediatamente para garantizar la protección contra esta y otras vulnerabilidades potencialmente no reveladas.

Fuente:
ZeroDayInitiative
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía:
SecurityOnline
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17

Noticias Informáticas / Malware en Google Play y la App Store de Apple roba fotos y criptomonedas

Junio 24, 2025, 12:39:54 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo malware móvil que roba criptomonedas, llamado SparkKitty, se encontró en aplicaciones de Google Play y la App Store de Apple, y está dirigido a dispositivos Android e iOS.

Este malware es una posible evolución de SparkCat, descubierto por Kaspersky en enero. SparkCat utilizaba reconocimiento óptico de caracteres (OCR) para robar frases de recuperación de monederos de criptomonedas de imágenes guardadas en dispositivos infectados.

Al instalar monederos de criptomonedas, el proceso indica a los usuarios que anoten la frase de recuperación y la guarden en un lugar seguro y sin conexión.

El acceso a esta frase semilla puede utilizarse para restaurar un monedero de criptomonedas y sus activos almacenados en otro dispositivo, lo que los convierte en un objetivo valioso para los cibercriminales.

Aunque tomar una captura de pantalla de la frase semilla nunca es buena idea, algunas personas lo hacen por comodidad.

Un informe de Kaspersky afirma que el nuevo malware SparkKitty roba indiscriminadamente todas las imágenes de la galería de fotos de un dispositivo infectado.

Si bien Kaspersky cree que el malware apunta a las frases semilla de billeteras criptográficas, los datos robados también podrían usarse para otros fines maliciosos, como la extorsión, si las imágenes contienen contenido confidencial.

El malware SparkKitty

La campaña SparkKitty lleva activa al menos desde febrero de 2024, propagándose tanto en las tiendas de aplicaciones oficiales de Google y Apple como en plataformas no oficiales.

SparkKitty en Apple App Store

Las aplicaciones maliciosas identificadas por Kaspersky son 币coin, disponible en la App Store de Apple, y SOEX, disponible en Google Play. Ambas habían sido eliminadas al momento de escribir este artículo.

SOEX es una aplicación de mensajería con funciones de intercambio de criptomonedas, con más de 10 000 descargas a través de la tienda oficial de aplicaciones de Android.

The malware app en Google Play

Kaspersky también descubrió clones modificados de TikTok que incorporan tiendas de criptomonedas en línea falsas, aplicaciones de juegos de azar, juegos con temática para adultos y aplicaciones de casino que contienen SparkKitty, distribuidas a través de canales no oficiales.

Aplicación clon de TikTok instalada a través de un perfil de iOS

En iOS, SparkKitty se integra como frameworks falsos (AFNetworking.framework, libswiftDarwin.dylib) y, en ocasiones, se distribuye a través de perfiles de aprovisionamiento empresarial.

En Android, el malware se integra en aplicaciones Java/Kotlin, algunas de las cuales utilizan módulos maliciosos Xposed/LSPosed.

El framework malicioso utiliza el método Objective-C '+load' para ejecutar automáticamente su código al iniciar la aplicación en iOS. Se realiza una comprobación de configuración leyendo las claves del archivo Info.plist de la aplicación; la ejecución solo se realiza si los valores coinciden con las cadenas esperadas.

En Android, el malware se activa al iniciar la aplicación o al realizar acciones específicas del usuario, como abrir un tipo de pantalla específico. Tras la activación, recupera y descifra un archivo de configuración remoto mediante AES-256 (modo ECB) para obtener las URL C2.

En iOS, el malware solicita acceso a la galería de fotos, mientras que, en Android, la aplicación maliciosa solicita al usuario permisos de almacenamiento para acceder a las imágenes.

Si se concede permiso en iOS, el malware monitorea la galería para detectar cambios y extrae cualquier imagen nueva o no cargada previamente.

Código de exfiltración de imágenes en la variante iOS

En Android, el malware sube imágenes de la galería, junto con identificadores de dispositivo y metadatos. Kaspersky encontró algunas versiones de SparkKitty que utilizan el OCR de Google ML Kit para detectar y subir únicamente imágenes con texto.

Exfiltración de imágenes en Android

SparkKitty es otro ejemplo de malware que se infiltra en las tiendas de aplicaciones oficiales, lo que pone de manifiesto una vez más que los usuarios no deben confiar ciegamente en el software que se distribuye en canales de distribución verificados.

Todas las aplicaciones deben ser examinadas minuciosamente para detectar indicios de fraude, como reseñas falsas, editores con antecedentes o historiales dudosos, bajas descargas combinadas con un alto número de reseñas positivas, etc.

Durante la instalación, las solicitudes de almacenamiento de acceso a la galería deben considerarse sospechosas y denegarse si no están relacionadas con la funcionalidad principal de la aplicación.

En iOS, evite instalar perfiles de configuración o certificados a menos que provengan de una fuente confiable. En Android, active Google Play Protect en la configuración y realice análisis completos del dispositivo con regularidad.

En definitiva, quienes poseen criptomonedas no deben guardar imágenes de las frases semilla de su monedero en sus dispositivos móviles, ya que ahora son blanco activo del malware. En su lugar, guárdelas sin conexión en un lugar seguro.

BleepingComputer se ha puesto en contacto con Apple y Google para solicitar comentarios sobre cómo estas aplicaciones se introdujeron en sus tiendas de aplicaciones.

"La aplicación denunciada ha sido eliminada de Google Play y su desarrollador ha sido baneado", informó Google a BleepingComputer.

"Los usuarios de Android están protegidos automáticamente contra esta aplicación, independientemente de la fuente de descarga, gracias a Google Play Protect, que está activado por defecto en los dispositivos Android con los Servicios de Google Play".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18

Noticias Informáticas / Putin autoriza app de mensajería estatal para combatir a WhatsApp y Telegram

Junio 24, 2025, 12:35:58 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

MOSCÚ, 24 de junio (Reuters) - El presidente ruso, Vladimir Putin, firmó el martes una ley que autoriza el desarrollo de una aplicación de mensajería estatal integrada con los servicios gubernamentales, en un esfuerzo por reducir la dependencia de plataformas como WhatsApp y Telegram. Rusia lleva mucho tiempo buscando establecer lo que denomina soberanía digital mediante la promoción de servicios locales. Su afán por reemplazar las plataformas tecnológicas extranjeras se agudizó tras la retirada de algunas empresas occidentales del mercado ruso tras la invasión de Ucrania por parte de Moscú en febrero de 2022.

Los legisladores rusos afirman que la aplicación estatal tendrá funciones que plataformas como Telegram y WhatsApp no tienen. Los críticos afirman que el hecho de que Rusia ejerza control estatal sobre ella supone riesgos para la privacidad y las libertades personales.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Mikhail Klimarev, director de la Sociedad de Protección de Internet, un grupo ruso de derechos digitales, declaró a principios de este mes que esperaba que Rusia redujera la velocidad de WhatsApp y Telegram para animar a los usuarios a cambiarse a la nueva aplicación.

Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19

Noticias Informáticas / WhatsApp está prohibido en los dispositivos de la Cámara de Representantes de US

Junio 24, 2025, 12:35:06 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

WASHINGTON, 23 de junio (Reuters) - El servicio de mensajería WhatsApp de Meta Platforms ha sido prohibido en todos los dispositivos de la Cámara de Representantes de EE. UU., según un memorando enviado a todo el personal de la Cámara el lunes.

El aviso indica que la Oficina de Ciberseguridad ha considerado que WhatsApp representa un alto riesgo para los usuarios debido a la falta de transparencia en la protección de sus datos, la ausencia de cifrado de datos almacenados y los posibles riesgos de seguridad que conlleva su uso.

El memorando, emitido por el director administrativo, recomendaba el uso de otras aplicaciones de mensajería, como la plataforma Teams de Microsoft Corp, Wickr de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Signal, y iMessage y FaceTime de Apple.

Meta expresó su total desacuerdo con la medida, según declaró un portavoz de la compañía, señalando que la plataforma ofrece un mayor nivel de seguridad que las demás aplicaciones aprobadas.

En enero, un funcionario de WhatsApp afirmó que la empresa israelí de software espía Paragon Solutions había atacado a decenas de sus usuarios, incluidos periodistas y miembros de la sociedad civil.

La Cámara de Representantes ha prohibido otras aplicaciones en los dispositivos del personal en el pasado, incluyendo la aplicación de vídeos cortos TikTok en 2022, debido a problemas de seguridad.

Fuente:
Reuters
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20

Noticias Informáticas / Descubren fallas críticas de Linux que permiten exploits de acceso root

Junio 19, 2025, 12:43:35 AM

Se han descubierto dos nuevas vulnerabilidades en componentes de Linux ampliamente implementados que podrían permitir a usuarios sin privilegios obtener acceso root en distribuciones populares.

La primera es una falla de escalada de privilegios locales (LPE), identificada como CVE-2025-6018, que afecta la configuración PAM en openSUSE Leap 15 y SUSE Linux Enterprise 15.

Esta configuración incorrecta permite que cualquier sesión local, incluidas las realizadas a través de SSH, se considere como si el usuario estuviera físicamente presente. Este estado, conocido como "allow_active", otorga acceso a ciertas operaciones privilegiadas normalmente reservadas para los usuarios del equipo.

La segunda vulnerabilidad, CVE-2025-6019, reside en libblockdev y puede activarse mediante el demonio udisks, instalado por defecto en casi todas las distribuciones de Linux. Una vez que un usuario obtiene el estado "allow_active", esta falla permite el acceso root completo.

Combinadas, estas dos vulnerabilidades crean una ruta directa y sencilla desde el acceso sin privilegios hasta el acceso root.

Cadena de exploits afecta a múltiples distribuciones

El demonio udisks y su backend libblockdev se utilizan para administrar discos y dispositivos de almacenamiento. Por diseño, otorgan más privilegios a los usuarios marcados como "activos". La vulnerabilidad PAM subvierte este modelo de confianza, convirtiendo las sesiones rutinarias en riesgos de seguridad.

Esta cadena de exploits es especialmente peligrosa porque no requiere software adicional ni acceso físico, solo un inicio de sesión SSH funcional en un sistema vulnerable.

La Unidad de Investigación de Amenazas de Qualys (TRU) ha demostrado con éxito esta cadena de exploits en Ubuntu, Debian, Fedora y openSUSE Leap 15. Su importancia radica en la facilidad con la que los atacantes pueden pasar de una sesión SSH estándar a privilegios root completos utilizando únicamente los componentes instalados por defecto.

"No se requiere nada exótico", afirmaron los investigadores de la TRU.

"Cada enlace está preinstalado en las distribuciones de Linux más populares y sus compilaciones de servidor".

Los principales riesgos incluyen:

Control total de los sistemas afectados

Evasión de herramientas de detección de endpoints

Instalación de puertas traseras persistentes

Comprometimiento de toda la flota mediante movimiento lateral

Mitigación y recomendaciones

Se insta a los equipos de seguridad a parchear ambas vulnerabilidades de inmediato.

Además, se recomienda:

Modificar la regla predeterminada de polkit para org.freedesktop.udisks2.modify-device

Cambiar la configuración de allow_active de sí a auth_admin

Seguir las recomendaciones de los proveedores para SUSE, Ubuntu y otros.

No actuar con rapidez puede dejar flotas enteras expuestas a ataques. El acceso root otorgado mediante este exploit permite persistencia indetectable y ataques entre sistemas, lo que aumenta el riesgo para la infraestructura empresarial.

Fuente:
InfoSecurity
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Páginas1 2 3 ... 219