Un grupo de cibercriminales, identificado como Elusive Comet, está ejecutando una sofisticada campaña de ingeniería social dirigida a usuarios de criptomonedas, utilizando la función de control remoto de Zoom para tomar el control de dispositivos y robar datos sensibles o fondos digitales.

¿Cómo funciona el ataque de Elusive Comet?

La función de control remoto en Zoom, diseñada para compartir el control de pantalla entre participantes, ha sido manipulada por este grupo para engañar a las víctimas y obtener acceso total a sus sistemas. Según un informe de la firma de ciberseguridad Trail of Bits, esta técnica recuerda al método empleado por el grupo Lazarus en el robo de 1.500 millones de dólares en criptomonedas de Bybit en febrero de 2025.

Citar"ELUSIVE COMET replica estrategias donde los atacantes aprovechan flujos de trabajo legítimos, en lugar de vulnerabilidades técnicas, para comprometer sistemas", explica Trail of Bits.

El esquema: entrevistas falsas en Zoom

La campaña inicia con un mensaje directo en redes sociales, especialmente en X (anteriormente Twitter), o por correo electrónico, donde se invita al objetivo a una supuesta entrevista con Bloomberg Crypto. Los mensajes provienen de cuentas falsas que se hacen pasar por periodistas de Bloomberg y utilizan enlaces legítimos de Calendly y Zoom, lo que añade credibilidad al engaño.

Durante la reunión virtual, el atacante comparte pantalla e inicia una solicitud de control remoto. El truco clave es cambiar el nombre de la pantalla del atacante a "Zoom", lo que hace que la víctima reciba una alerta aparentemente legítima que dice:

"Zoom está solicitando el control remoto de su pantalla".

Si la víctima acepta, el atacante obtiene control total sobre el equipo, permitiéndole:

• Robar datos confidenciales
• Instalar malware
• Iniciar transacciones en criptomonedas
• Implantar puertas traseras persistentes

¿Por qué es tan peligroso este ataque?

El ataque aprovecha la confianza del usuario en las notificaciones de Zoom. Muchas personas están acostumbradas a aprobar solicitudes en la plataforma sin examinar cuidadosamente su origen. Esta falsa sensación de legitimidad es lo que hace que el ataque sea altamente efectivo y difícil de detectar.

Recomendaciones de seguridad

Trail of Bits ha emitido recomendaciones clave para protegerse contra esta campaña de Elusive Comet:

• Eliminar Zoom en entornos críticos: Para organizaciones que gestionan activos digitales sensibles, la mejor defensa es eliminar completamente el cliente de Zoom y utilizar versiones web más seguras o alternativas con mayores controles.
• Configurar perfiles de control de privacidad (PPPC): En sistemas macOS, es posible restringir el acceso a funciones sensibles mediante perfiles de preferencias de privacidad. Esto puede evitar que aplicaciones como Zoom accedan a funciones de accesibilidad utilizadas para el control remoto.
• Formación en ciberseguridad: Capacitar a los empleados sobre los riesgos de ingeniería social, el uso de herramientas de videollamada y el reconocimiento de enlaces maliciosos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha anunciado la resolución de múltiples problemas críticos en Windows Server 2025 y Windows 11 versión 24H2, incluyendo errores que provocaban la congelación de sesiones de Escritorio remoto, pantallas azules, problemas con Windows Hello, y fallos en controladores de dominio.

Congelamiento de sesiones RDP en Windows Server 2025 y Windows 11
Uno de los errores más reportados era el que causaba que las sesiones de Escritorio remoto (RDP) se congelaran tras la conexión en sistemas Windows Server 2025. Según Microsoft, el fallo fue introducido por la actualización de seguridad KB5051987, lanzada el 11 de febrero de 2025. El error provocaba que el mouse y el teclado dejaran de responder, obligando a los usuarios a cerrar y restablecer la conexión.

Este problema ha sido solucionado oficialmente mediante la actualización acumulativa KB5055523, incluida en el Patch Tuesday del 8 de abril. Para los usuarios de Windows 11 24H2, el fallo ya había sido corregido con la actualización opcional KB5052093, publicada el 25 de febrero.

Citar"Recomendamos instalar la última actualización disponible para tu dispositivo, ya que incluye correcciones importantes para la estabilidad del Escritorio remoto", comunicó Microsoft.

Known Issue Rollback para fallos en RDP y RDS

El mes pasado, Microsoft recurrió a su sistema de reversión de problemas conocidos, Known Issue Rollback (KIR), para mitigar otros errores de conexión relacionados con Remote Desktop Services (RDS) y RDP en Windows 11 24H2.

El problema afectaba las conexiones UDP desde clientes Windows 11 24H2 a servidores con Windows Server 2016, generando desconexiones temporales que podían durar hasta 65 segundos. Microsoft ha confirmado que, junto con las actualizaciones acumulativas de abril, se lanzó una solución permanente para estos errores de conectividad RDP, beneficiando tanto a entornos empresariales como a usuarios domésticos.

Pantallas azules y errores de instalación en sistemas con más de 256 núcleos

Microsoft también resolvió un error de larga data que afectaba a sistemas Windows Server 2025 con más de 256 procesadores lógicos, causando fallos de instalación y pantallas azules (BSOD). Este problema fue corregido con la actualización acumulativa KB5046617, incluida en el Patch Tuesday de noviembre.

Fallos con Windows Hello y controladores de dominio tras las actualizaciones de abril

A principios de abril, tras las actualizaciones de seguridad mensuales, algunos usuarios reportaron problemas al iniciar sesión con Windows Hello, tanto en dispositivos cliente como en servidores. Microsoft está investigando estos problemas, que afectan la experiencia de inicio de sesión biométrico y con PIN.

Asimismo, la empresa advirtió sobre un nuevo fallo en Windows Server 2025, donde controladores de dominio (DC) pueden volverse inalcanzables tras un reinicio, lo que impacta negativamente en los servicios dependientes de autenticación y otras aplicaciones críticas del sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google anunció oficialmente que ya no implementará un aviso independiente para las cookies de terceros en el navegador Chrome, una decisión que forma parte de su iniciativa Privacy Sandbox, enfocada en mejorar la privacidad de los usuarios sin afectar la publicidad digital.

Citar"Hemos decidido mantener el enfoque actual, permitiendo a los usuarios gestionar las cookies de terceros desde la configuración de privacidad de Chrome, y no lanzaremos un nuevo aviso separado", declaró Anthony Chavez, vicepresidente de Privacy Sandbox en Google.

Cambios en la estrategia de privacidad de Chrome

En julio de 2024, Google ya había comunicado que abandonaría sus planes originales de eliminar por completo las cookies de seguimiento de terceros. En su lugar, propuso ofrecer una experiencia optimizada para que los usuarios puedan tomar decisiones informadas respecto a su privacidad.

Según la compañía, los comentarios de editores, desarrolladores, reguladores y actores de la industria publicitaria revelaron diversas perspectivas sobre los cambios en la disponibilidad de cookies de terceros. Esta falta de consenso ha llevado a Google a optar por una estrategia más gradual.

Mejoras en el modo incógnito y protección de la IP

Como parte de su nueva hoja de ruta, Google planea reforzar el modo incógnito de Chrome, donde las cookies de terceros ya están bloqueadas por defecto. Además, en el tercer trimestre de 2025, se introducirá una función de protección de la dirección IP que restringirá la exposición de la IP original del usuario en contextos de terceros, con el objetivo de mitigar el seguimiento entre sitios.

Esta nueva funcionalidad ya está disponible como un proyecto de código abierto, lo que permite a la comunidad tecnológica contribuir a su evolución.

Citar"A raíz de esta actualización, reconocemos que las API de Privacy Sandbox pueden desempeñar un papel diferente en el soporte del ecosistema publicitario", agregó Chavez. "Durante los próximos meses, trabajaremos con la industria para recopilar comentarios y compartir una hoja de ruta actualizada".

Chrome frente a Safari y Firefox

Mientras que navegadores como Apple Safari y Mozilla Firefox han bloqueado las cookies de terceros por defecto desde 2020, Google ha enfrentado desafíos adicionales. Su rol como navegador líder, proveedor de publicidad y motor de búsqueda dominante complica la implementación de cambios radicales sin afectar sus propios modelos de negocio.

Crece el escrutinio regulatorio sobre Google en EE. UU.

Este anuncio se da en un contexto donde Google enfrenta una creciente presión regulatoria en Estados Unidos. Dos fallos recientes acusan a la empresa de monopolizar los mercados de búsqueda y publicidad digital, lo que podría tener implicaciones significativas para su estructura corporativa.

En particular, el Departamento de Justicia de EE. UU. ha propuesto, tan recientemente como el mes pasado, medidas que incluyen dividir a Google mediante la venta de su navegador Chrome y la sindicación de sus resultados de búsqueda, con el fin de restaurar la competencia en el mercado de búsquedas en línea.

OpenAI muestra interés en adquirir Chrome

Un dato llamativo revelado por Bloomberg y Reuters es que la compañía de inteligencia artificial OpenAI ha expresado interés en adquirir el navegador Chrome, en caso de que Google se vea obligado a venderlo. La visión de OpenAI sería transformar a Chrome en un navegador web centrado en la inteligencia artificial, ofreciendo a los usuarios una experiencia potenciada por tecnologías emergentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los expertos en ciberseguridad de Darktrace y Cado Security han identificado una sofisticada campaña de malware dirigida a entornos Docker, que utiliza una técnica no documentada previamente para obtener beneficios mediante minería de criptomonedas. A diferencia de las campañas tradicionales de cryptojacking que implementan directamente herramientas como XMRig, esta nueva operación apuesta por métodos alternativos más difíciles de detectar.

El malware identificado no instala directamente un minero de criptomonedas, sino que aprovecha un novedoso servicio Web3 llamado Teneo, una red de infraestructura física descentralizada (DePIN) que permite a los usuarios monetizar datos públicos de redes sociales. Esta monetización se realiza a través de un Nodo Comunitario, el cual otorga Teneo Points como recompensa, los cuales pueden convertirse en $TENEO Tokens.

El nodo como herramienta de scraping distribuido

El nodo actúa como un sistema distribuido de raspado de redes sociales, recolectando información de plataformas como Facebook, X (antes Twitter), Reddit y TikTok. Sin embargo, el análisis de los honeypots de Darktrace muestra que en este caso el nodo no realiza scraping activo, sino que simplemente mantiene una conexión constante mediante WebSocket para acumular puntos en la red Teneo.

La campaña se inicia con una solicitud para desplegar una imagen de contenedor denominada "kazutod/tene:ten", alojada en Docker Hub, que fue subida hace dos meses y ha sido descargada al menos 325 veces. Esta imagen contiene un script Python altamente ofuscado, que requiere 63 iteraciones para desempaquetar el código real. Una vez activado, establece conexión con el dominio teneo[.]pro.

Citar"El script de malware solo envía pings de mantenimiento al WebSocket para ganar Teneo Points. Según la documentación de Teneo, la mayor parte de las recompensas se basa en la frecuencia de los 'latidos' enviados, lo que podría explicar su funcionalidad", informó Darktrace a The Hacker News.

Comparaciones con otras campañas de uso ilícito de recursos

Este tipo de actividad recuerda a otras amenazas que también explotan instancias Docker mal configuradas. Un ejemplo anterior fue el uso del software 9Hits Viewer, utilizado para generar tráfico artificial hacia sitios web con el fin de obtener créditos. Del mismo modo, este ataque también se asemeja al secuestro de proxy o esquemas de compartición de ancho de banda, en los que se descarga software diseñado para monetizar recursos no utilizados del sistema, como la conexión a Internet.

Citar"Aunque XMRig sigue siendo la herramienta más común para el cryptojacking, su alta tasa de detección ha obligado a los atacantes a adoptar nuevas tácticas como esta. Aún está por verse si este método basado en Teneo es más rentable a largo plazo", afirmó Darktrace.

Amenazas paralelas: la botnet RustoBot

En paralelo, los investigadores de Fortinet FortiGuard Labs han descubierto una nueva botnet llamada RustoBot, que se propaga explotando vulnerabilidades conocidas en dispositivos de red como TOTOLINK (CVE-2022-26210 y CVE-2022-26187) y DrayTek (CVE-2024-12987). La botnet se utiliza para lanzar ataques DDoS y tiene como blanco principal al sector tecnológico en países como Japón, Taiwán, Vietnam y México.

Citar"Los dispositivos IoT y routers de red suelen ser puntos finales con defensas limitadas, lo que los convierte en blancos ideales para los cibercriminales. El refuerzo de la autenticación y el monitoreo de endpoints puede reducir significativamente este riesgo", señaló Vincent Li, investigador de Fortinet.

Actualización de estado de la imagen maliciosa

Hasta el momento de esta publicación, la imagen del contenedor malicioso ya no está disponible para descarga en Docker Hub, aunque la cuenta que la alojaba continúa activa.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En los últimos días, YouTube está experimentando errores que afectan la experiencia de usuario en todas sus versiones: móvil, escritorio y navegador. Muchos usuarios han reportado que la plataforma deja de mostrar contenido en la pantalla de inicio, impidiendo el acceso a vídeos recomendados o feeds personalizados, lo que genera gran frustración.

Fallo global: YouTube sin vídeos recomendados

Este problema técnico en YouTube afecta tanto a usuarios con sesión iniciada como a quienes navegan como invitados. Al ingresar a la plataforma, la página de inicio aparece en blanco o, en el mejor de los casos, con unos pocos vídeos visibles. Esta falta de contenido afecta directamente a la navegación y a la experiencia habitual del usuario.

Se trata de una incidencia intermitente, ya que en algunos casos la pantalla carga parcialmente, mientras que en otros, directamente no muestra ningún vídeo. Esto ha generado gran desconcierto, ya que los usuarios no saben cómo proceder para restablecer la funcionalidad normal de la aplicación.

Google reconoce el fallo, pero la solución no llega para todos

Google ha reconocido el error y asegura que ya se ha implementado una solución. Sin embargo, muchos usuarios continúan reportando la persistencia del fallo en sus cuentas. Las respuestas oficiales de la empresa han sido ambiguas y no han despejado del todo las dudas. Mientras algunos internautas indican que el problema se ha resuelto, otros siguen afectados.

Este tipo de errores en YouTube no es nuevo. En ocasiones anteriores ya se han reportado incidencias similares que dejaban a los usuarios sin acceso a contenidos personalizados durante varios días. Lo preocupante es que, al repetirse este tipo de fallos, queda en evidencia cierta vulnerabilidad en la infraestructura de YouTube, especialmente en uno de sus pilares clave: la página de inicio.

Consecuencias para usuarios y creadores de contenido

El impacto de este error no solo afecta a los consumidores habituales de contenido, sino también a los creadores de contenido en YouTube. Al desaparecer los vídeos sugeridos y el feed personalizado, los usuarios tienen que buscar manualmente los vídeos que desean ver. Esta situación reduce la exposición de nuevos vídeos y, por ende, puede provocar una caída en el número de visualizaciones y en los ingresos por publicidad para muchos creadores.

Cuando estos fallos se prolongan, representan una amenaza directa para el ecosistema de monetización de YouTube, y pueden empujar a los usuarios hacia otras plataformas alternativas de vídeo.

YouTube sigue siendo el líder del streaming, pero necesita estabilidad

A pesar de estos errores, YouTube sigue siendo la plataforma de streaming más importante a nivel mundial. En los últimos meses ha recuperado fuerza, con un retorno masivo de creadores de contenido que habían migrado a otras plataformas. Sin embargo, para mantener esa posición de liderazgo, es vital que Google garantice una experiencia de usuario fluida y libre de errores críticos como este.

Cada incidente técnico como el actual no solo afecta la percepción de calidad del servicio, sino que también pone en jaque la confianza tanto de los usuarios como de los creadores.

La importancia de una experiencia estable en YouTube

El reciente fallo en la página de inicio de YouTube es una llamada de atención sobre la necesidad de asegurar una infraestructura estable y fiable. Tanto si consumes contenido como si lo creas, estos errores afectan directamente a la experiencia en la plataforma. Aunque Google ha asegurado que el problema está resuelto, muchos usuarios aún lo padecen. Esperamos que la solución definitiva llegue pronto y que YouTube refuerce su compromiso con una experiencia de usuario sin interrupciones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El Departamento de Justicia de Estados Unidos (DOJ) ha intensificado su ofensiva contra Google, advirtiendo que la empresa podría utilizar su posición dominante en el mercado de búsquedas para monopolizar también el sector de la inteligencia artificial (IA). Esta nueva advertencia se produce en el marco del juicio antimonopolio en curso, que busca frenar las prácticas que han consolidado a Google como actor principal en internet.

El monopolio de Google en las búsquedas y su amenaza en la IA

Google enfrenta un nuevo capítulo en su historial legal: el DOJ ha solicitado al juez Amit Mehta que implemente medidas específicas para impedir que Google aproveche su monopolio en búsquedas para extender su dominio al emergente mercado de la IA generativa. La preocupación principal gira en torno a la integración cada vez más profunda de funciones de IA en productos como el buscador de Google y su chatbot Gemini.

El abogado del DOJ, David Dahlquist, fue claro en su declaración inicial: "El tribunal debe garantizar que Google no utilice su ventaja actual para dominar el futuro de la inteligencia artificial". Además, se mencionó que Google ya está tomando medidas concretas para mantener su liderazgo con Gemini, una de sus apuestas clave en el terreno de la IA.

Empresas tecnológicas afectadas testificarán en el juicio

Empresas como OpenAI, Perplexity AI y otros actores relevantes del sector testificarán para explicar cómo el dominio de Google en las búsquedas afecta directamente a sus negocios. La relación entre búsqueda e inteligencia artificial es cada vez más estrecha, y muchos expertos alertan que el liderazgo de Google podría representar un obstáculo para la innovación y la competencia.

El impacto potencial de este juicio en el futuro de Internet

Medios como Reuters señalan que el resultado de este juicio podría redefinir radicalmente el ecosistema digital actual, especialmente si se logra desbancar a Google como portal de referencia para acceder a la información online. La presión regulatoria también recae en otros gigantes tecnológicos como Meta, aunque en este caso, Google es el foco central.

El DOJ ha dejado claro que es momento de enviar un mensaje contundente: "Es hora de decirles a Google y a todos los demás monopolistas que hay consecuencias cuando se infringen las leyes antimonopolio", subrayó Dahlquist.

Las medidas antimonopolio propuestas contra Google

El gobierno estadounidense, junto con varios fiscales generales estatales, plantea una serie de medidas para restaurar la competencia en el sector digital:

• Obligar a Google a vender Chrome, su navegador web.
• Eliminar acuerdos de exclusividad por los cuales Google paga miles de millones de dólares a fabricantes como Apple para ser el motor de búsqueda predeterminado.
• Licenciar los resultados de búsqueda a competidores más pequeños.
• Impedir a Google pagar a fabricantes de navegadores y smartphones para mantener su posición privilegiada.
• Posibilidad de obligar a vender Android si otras medidas no son efectivas.

La defensa de Google: innovación y sostenibilidad económica

Google ha respondido con firmeza, argumentando que incluir su tecnología de IA en este caso es inapropiado. La compañía asegura que las restricciones propuestas por el DOJ "frenarían la innovación estadounidense en un momento crítico para el desarrollo tecnológico global", según Lee-Anne Mulholland, ejecutiva de Google.

Asimismo, la empresa afirma que dejar de pagar a fabricantes como Mozilla afectaría gravemente la sostenibilidad de esos navegadores, dado que su modelo de negocio depende en gran parte de esos ingresos.

Un conflicto legal de larga data

Este caso judicial no es nuevo: fue presentado en 2020, durante la administración Trump. En 2023, el juez Mehta supervisó un juicio de ocho semanas donde el gobierno alegó que Google consolidó su posición dominante mediante acuerdos que le daban una ventaja competitiva injusta. Se argumentó que, al ser el motor predeterminado, Google acumulaba más datos, perfeccionaba su algoritmo y atraía a más usuarios, cerrando el círculo del monopolio.

Ahora, el DOJ va más allá y propone medidas estructurales para limitar el alcance de Google. Esto incluye impedir los pagos a fabricantes y mantener la posibilidad de desmantelar componentes clave como Android, si se demuestra que su presencia perpetúa la concentración del poder en el ecosistema digital.

El dominio de Google en juego

El juicio que enfrenta Google por prácticas anticompetitivas podría marcar un antes y un después en la regulación tecnológica de EE. UU. La posibilidad de que la empresa extienda su poder al sector de la inteligencia artificial ha encendido las alarmas, y el Departamento de Justicia está decidido a actuar. Si se aprueban las medidas propuestas, podríamos ver una reconfiguración profunda del mercado digital, abriendo paso a una competencia más justa y transparente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Hace casi un año, Microsoft presentó Recall, una innovadora función diseñada para los nuevos Copilot+ PC, prometiendo revolucionar la forma en que usamos nuestros dispositivos. Esta herramienta registra capturas de pantalla de forma constante, convierte texto mediante OCR y crea una base de datos indexada de todo lo que el usuario ve en su pantalla.

Sin embargo, desde su anuncio, Recall ha sido duramente criticado por expertos en ciberseguridad, como Kevin Beaumont, quien advirtió sobre sus implicaciones en materia de privacidad. Ahora, tras una pausa en su desarrollo, Recall regresa con ajustes, pero todavía presenta fallos que generan preocupación.

¿Qué es Recall y por qué ha generado tanta polémica?

Recall funciona capturando automáticamente todo lo que aparece en pantalla, lo que permite a los usuarios buscar cualquier información visualizada anteriormente. Aunque la idea parece útil, muchos expertos han cuestionado su impacto en la privacidad y la seguridad de los datos.

Beaumont denunció que la herramienta fue desarrollada sin la supervisión adecuada de los equipos de seguridad y sin pruebas públicas con la comunidad de insiders. Las críticas en redes sociales fueron inmediatas y severas, comparando la situación con el fallido lanzamiento de Xbox One. Según el experto, Recall se ha convertido en un símbolo de los temores sobre el uso de la inteligencia artificial en la vida cotidiana.

Microsoft implementa mejoras en la seguridad de Recall

Después de las críticas iniciales, Microsoft retrasó el lanzamiento para introducir mejoras sustanciales. Algunas de las nuevas características destacadas por Beaumont incluyen:

• Función opcional: El usuario puede decidir activar Recall durante la configuración inicial, sin presiones ni preselecciones ocultas.
• Base de datos encriptada: Ahora Recall utiliza cifrado para proteger la base de datos SQLite. Las claves se almacenan en un entorno seguro (VBS).
• Filtrado de datos sensibles: La herramienta intenta evitar la indexación de información como tarjetas de crédito.
• Autenticación con Windows Hello: Se requiere configuración biométrica al activar la herramienta.

Estas mejoras buscan incrementar la seguridad en Recall, pero, según Beaumont, no son suficientes.

Vulnerabilidades críticas persisten en Recall

Autenticación engañosa

Aunque Microsoft declara que Recall necesita autenticación biométrica, Beaumont descubrió que basta con conocer el PIN del usuario para acceder al historial completo. En una prueba, su pareja accedió a conversaciones privadas utilizando solo el PIN, sin necesidad de huella o reconocimiento facial.

Filtrado ineficaz de información sensible

Beaumont documentó cómo Recall sigue capturando números de tarjeta de crédito y códigos CVV, incluso con el filtro activo. Recomienda desactivar la función manualmente antes de realizar compras en línea para evitar la exposición de datos.

Inestabilidad y errores de funcionamiento

Durante sus pruebas, el experto encontró que Recall deja de grabar sin motivo aparente. También presenta fallos al filtrar aplicaciones: al excluir Signal, por ejemplo, el sistema bloqueó el navegador Vivaldi.

¿Qué tan peligrosa es Recall para la privacidad?

Beaumont expone varias preocupaciones relacionadas con la privacidad al utilizar Recall:

• Mensajes eliminados accesibles: Recall almacena contenido borrado de apps como Signal, WhatsApp o Teams.
• Grabación de videollamadas: Indexa tanto el vídeo como el audio de apps como Teams o Webex, incluso los subtítulos en vivo.
• Captura de sesiones remotas: Registra sesiones de AnyDesk, Azure Virtual Desktop y otras plataformas de escritorio remoto.
• Análisis visual avanzado: Detecta objetos, texto manuscrito y nombres de libros, incluso si no están escritos explícitamente.
• Contenido autodestructivo: Indexa mensajes y fotos enviados de forma temporal o privada, lo que compromete la confidencialidad.

Impacto en el rendimiento del sistema

Aunque Recall opera en segundo plano, consume muchos recursos. Beaumont observó que la NPU llegaba al 80% de uso, lo que afecta la autonomía del portátil. También detectó un consumo excesivo de RAM al navegar por la interfaz de Recall, que superaba los 1,2 GB.

Durante sesiones de juego, Recall seguía funcionando, afectando el rendimiento y capturando elementos como logotipos o personajes, lo que dificulta su uso en tareas exigentes.

¿Quiénes deberían evitar el uso de Recall?

Según Beaumont, hay perfiles de usuarios para los cuales Recall representa un riesgo grave:

• Personas en situaciones de violencia doméstica o control coercitivo
• Periodistas y fuentes confidenciales
• Grupos vulnerables o perseguidos
• Usuarios políticamente expuestos
• Empresas sin una evaluación de riesgos previa
• Personas que viajan a países donde se restringen las libertades civiles

Recall: una herramienta útil, pero no para todos

Aunque reconoce los esfuerzos de Microsoft para mejorar la seguridad de Recall, Kevin Beaumont insiste en que la herramienta aún no está lista para un despliegue masivo. En su opinión, ni los gamers ni los usuarios promedio la necesitan, y para las empresas representa una nueva fuente de vulnerabilidades legales y de seguridad.

Su propuesta es clara: reorientar Recall como una herramienta de accesibilidad para personas con deterioro cognitivo leve, no como una función predeterminada para todos los usuarios de Windows.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Meta continúa reforzando sus esfuerzos para que los adolescentes usen Instagram de manera segura. Su más reciente estrategia se enfoca en garantizar que los perfiles reflejen la edad real de los usuarios jóvenes. Para lograrlo, la compañía implementará herramientas de inteligencia artificial (IA) capaces de detectar automáticamente si una cuenta pertenece a un menor, aplicando ajustes de privacidad específicos para su grupo de edad.

Verificación de edad en Instagram mediante inteligencia artificial

Desde 2024, Instagram comenzó a usar inteligencia artificial para identificar señales que pudieran indicar que un usuario era menor de edad, incluso si había registrado una edad falsa. Estos sistemas analizan distintos factores como el lenguaje en los mensajes, los patrones de interacción y el comportamiento general en la plataforma.

Cuando se detectan señales de que el usuario es un adolescente, se activan controles adicionales de manera automática. Entre ellos se incluye la conversión del perfil a privado, la restricción de mensajes de desconocidos y la limitación del contenido visible.

Detección proactiva con ajustes automáticos de privacidad

Instagram anunció en su blog oficial que su próximo paso será el uso proactivo de inteligencia artificial para determinar la edad real de los usuarios. Si el sistema detecta que una cuenta, aunque haya declarado una edad de adulto, pertenece en realidad a un adolescente, se aplicará la configuración de privacidad adecuada para menores sin necesidad de intervención manual.

Esta función de verificación de edad con IA comenzará a probarse en Estados Unidos como parte de un programa piloto. El objetivo es identificar a los denominados "adolescentes sospechosos" y asignar automáticamente las configuraciones correspondientes a su rango etario, lo que incluye restricciones de contenido y mejoras en la protección de la privacidad.

Un sistema con margen de error, pero configurable

Instagram ha señalado que, aunque el sistema de detección ha sido diseñado para ser preciso, existe la posibilidad de errores. En estos casos, los usuarios podrán modificar la configuración de su cuenta si consideran que ha sido clasificada de forma incorrecta. La compañía también enfatizó que está trabajando para reducir al mínimo estas fallas y mejorar continuamente sus sistemas de verificación.

Un desafío persistente: adolescentes que falsean su edad

Durante años, Meta ha tenido dificultades para evitar que menores creen cuentas en Instagram utilizando edades falsas. Para hacer frente a este problema, la empresa ha implementado múltiples mecanismos de control basados en análisis de contenido, interacciones, listas de seguidores y mensajes.

Además, desde finales de 2024, Meta exige pruebas adicionales si un usuario menor de 18 años intenta modificar su fecha de nacimiento. Entre estas medidas se incluye el envío de una selfie en formato de video, la verificación con una identificación oficial o el respaldo de contactos cercanos.

Meta propone involucrar a los padres en la verificación

Como parte de sus esfuerzos por proteger a los menores en redes sociales, Meta también plantea una solución complementaria: que los padres verifiquen la edad de sus hijos tanto en el proceso de registro como al momento de descargar aplicaciones desde tiendas digitales. Esta idea fue propuesta por Antigone Davis, vicepresidenta y jefa global de seguridad de Meta, y se perfila como una estrategia adicional para reforzar la seguridad infantil online.

Instagram refuerza su compromiso con la seguridad de los menores

Con estas nuevas herramientas de inteligencia artificial, Meta busca fortalecer la seguridad y privacidad de los adolescentes en Instagram. A medida que evoluciona el entorno digital, la compañía apuesta por la tecnología como aliada para garantizar entornos adecuados a la edad de los usuarios más jóvenes y reducir los riesgos asociados al uso de redes sociales sin supervisión.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Uno de los casos más impactantes de cibercrimen juvenil en el ecosistema cripto tiene como protagonista a Ellis Pinsky, un adolescente que, con solo 15 años, logró robar 562 bitcoins, valorados entonces en más de 24 millones de dólares. Este robo se llevó a cabo mediante una técnica de ingeniería social conocida como SIM swapping, y tuvo como víctima al empresario y referente de las criptomonedas, Michael Terpin.

De Call of Duty al hacking avanzado

La historia de Pinsky comenzó de forma aparentemente inocente. A los 12 años, era un joven entusiasta de los videojuegos, en particular Call of Duty. Pero su curiosidad por la tecnología lo llevó a explorar herramientas más complejas como Wireshark, utilizada para rastrear direcciones IP.

En poco tiempo, Pinsky comenzó a experimentar con ataques DDoS, técnicas de doxxing e incluso inyección SQL en bases de datos. A los 13 años, ya era parte activa de OGUsers, una comunidad de hackers especializada en la compraventa de cuentas valiosas en redes sociales.

Citar"Siempre he sido autodidacta, siempre he sido muy persistente", afirma Pinsky sobre sus inicios.

El descubrimiento del SIM Swapping

En 2016, Ellis descubrió una de las técnicas más potentes y peligrosas del hacking: el SIM swapping. Esta técnica consiste en engañar a empleados de compañías telefónicas para que transfieran el número de una víctima a una tarjeta SIM controlada por el atacante. Con ello, es posible interceptar códigos de autenticación de dos factores, acceder a correos electrónicos y, en algunos casos, a billeteras de criptomonedas.

Fue a través del SIM swapping como Pinsky orquestó uno de los robos más sonados del mundo cripto.

El ataque a Michael Terpin: un robo de 24 millones de dólares en criptomonedas

El 7 de enero de 2018, un usuario conocido como 'Harry' contactó a Pinsky con un objetivo claro: hackear el número de teléfono de un cliente de AT&T. Ese número pertenecía a Michael Terpin, una figura influyente en el universo de las criptodivisas.

Mediante ingeniería social, lograron que empleados de AT&T transfirieran el número de Terpin a una SIM bajo su control. Acto seguido, ambos adolescentes crearon un script automatizado para buscar archivos relacionados con criptomonedas en los correos electrónicos de Terpin.

El archivo clave y el botín digital

Durante el acceso a la cuenta de Outlook de Terpin, encontraron un archivo titulado "Claves". El tiempo era limitado: sabían que la víctima notaría pronto la pérdida de señal. En cuestión de minutos, accedieron a varias wallets.

Aunque una contenía más de 900 millones de dólares en criptoactivos, no lograron desbloquearla. Sin embargo, otra wallet contenía 3 millones de tokens Triggers, valorados en 7 dólares cada uno. Fue su golpe maestro.

Para blanquear el dinero, Pinsky acudió a Twitter preguntando si alguien tenía una cuenta en Binance para cambiar los tokens por Bitcoin. La operación fue masiva, generando comisiones elevadas y una caída del valor de los tokens, pero lograron convertir el botín en 562 bitcoins.

La caída: de hacker a perseguido por la ley

Durante meses, Pinsky vivió con ansiedad, esperando la llegada del FBI. Pero al ver que no ocurría nada, bajó la guardia. Compró un reloj de lujo y escondió 100.000 dólares en efectivo bajo su cama.

El giro llegó cuando el abogado de Terpin envió un correo a la madre de Pinsky en 2018, acusándolo directamente y detallando el robo. Fue un punto de inflexión para el adolescente:

Citar"Fue la primera vez que me di cuenta de que este videojuego en el que he estado viviendo se hizo real", relató.

El proceso legal y la devolución de los fondos

Tras el enfrentamiento legal, Pinsky devolvió los 562 bitcoins, el reloj de lujo y el dinero en efectivo. No obstante, Terpin exigió 71,4 millones de dólares, amparado en la ley RICO, que permite triplicar las indemnizaciones en casos de crimen organizado. Sin embargo, no pudo recuperar más fondos, ya que no se hallaron más activos a nombre del joven.

Sospechas, amenazas y una nueva vida

Terpin siempre sospechó que Pinsky podría haber ocultado dinero proveniente de otros ataques similares. Esta creencia desató situaciones peligrosas, como el allanamiento de la vivienda familiar, donde individuos exigían la devolución del dinero. Como medida de protección, la familia adquirió un rifle de asalto y comenzó a entrenarse.

Hoy en día, Ellis Pinsky intenta rehacer su vida. Actualmente estudia en la universidad y ha fundado Rentr, una aplicación para la compraventa entre particulares.

Citar"Quiero profundamente distanciarme de todas estas cosas. Es tan feo, tan malo, tan asqueroso. No hay nada más que quiero hacer que seguir adelante", declaró.

El caso que marcó un antes y un después en la seguridad cripto

El caso de Ellis Pinsky no solo revela cómo un adolescente con conocimientos avanzados puede vulnerar sistemas complejos, sino también la fragilidad de muchas plataformas frente al SIM swapping. Este ataque demostró que incluso figuras reconocidas como Michael Terpin pueden ser vulnerables si no se aplican capas adicionales de seguridad.

Para empresas y usuarios, la lección es clara: reforzar la autenticación, evitar depender únicamente del número telefónico y mantener las claves de criptoactivos en almacenamiento seguro fuera del alcance digital.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva y sofisticada campaña de phishing avanzado ha llamado la atención de la comunidad de ciberseguridad al aprovechar una combinación de debilidades en los sistemas de Google, específicamente en el uso de DKIM, OAuth y Google Sites, para engañar a los usuarios con correos aparentemente legítimos.

El ataque, descubierto por Nick Johnson, desarrollador principal de Ethereum Name Service (ENS), emplea una técnica conocida como "phishing de repetición DKIM", que permite a los atacantes enviar correos firmados con el sello DKIM de Google, lo que les ayuda a evadir filtros de spam y parecer auténticos para los destinatarios.

Un correo falso que pasa todas las verificaciones

Todo comenzó cuando Johnson recibió un correo electrónico fraudulento con apariencia legítima. El mensaje, que parecía proceder de la dirección No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, notificaba una supuesta citación judicial para obtener acceso a su cuenta. El correo incluso fue categorizado por Gmail junto con otras alertas de seguridad reales, lo que aumentaba su credibilidad.

Lo más alarmante es que el mensaje pasó todas las verificaciones de autenticación, incluyendo DomainKeys Identified Mail (DKIM). Esto significa que, desde la perspectiva del sistema de correo, el mensaje realmente parecía haber sido enviado por Google.

Sin embargo, Johnson detectó algo extraño: el enlace del supuesto "portal de soporte" no dirigía a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, sino a una página en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Aunque sigue siendo un dominio legítimo de Google, este servicio permite a cualquier usuario crear sitios web personalizados, lo que lo convierte en una plataforma atractiva para ataques de phishing alojado en dominios de confianza.

Cómo funciona el ataque de phishing con repetición DKIM

La parte más técnica e ingeniosa del ataque radica en cómo se genera el correo fraudulento que pasa la validación DKIM. Johnson explicó que el atacante:

• Registra un dominio personalizado y crea una cuenta de Google, utilizando una dirección como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.
• Crea una aplicación OAuth en Google Cloud y utiliza como nombre de la app el contenido completo del mensaje de phishing, insertando grandes espacios en blanco para ocultar la notificación de Google al pie del mensaje.
• Concede permisos OAuth a esa cuenta, lo que activa el envío automático de una alerta de seguridad real de Google al correo de la cuenta creada.
• Finalmente, el atacante reenvía ese correo firmado por Google a las víctimas.

Como el correo fue originalmente generado y firmado por Google, la firma DKIM es válida y pasa todas las comprobaciones SPF, DKIM y DMARC. A su vez, al nombrar la cuenta como me@dominio, Gmail presenta el mensaje como si fuera una alerta relacionada con el correo del destinatario.

Encubrimiento perfecto: phishing alojado en Google Sites

El enlace contenido en el correo dirigía a un portal falso que imitaba perfectamente la apariencia del verdadero centro de soporte de Google. A simple vista, la diferencia era mínima: el dominio base era No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, no No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Esta técnica de phishing dentro de dominios legítimos reduce significativamente las probabilidades de que los usuarios identifiquen el engaño.

Johnson describió la página falsa como "un duplicado exacto del verdadero portal de soporte de Google", lo que refuerza la efectividad del ataque.

Ataques similares en otras plataformas: el caso de PayPal

El mismo tipo de táctica ha sido replicado con éxito en otras plataformas, como PayPal. En marzo, una campaña de phishing aprovechó la función de "dirección de regalo" en las cuentas de PayPal para vincular una nueva dirección de correo con un campo de texto adicional donde se colocaba el mensaje fraudulento.

El sistema de PayPal enviaba automáticamente un correo de confirmación a esa dirección, y el atacante simplemente lo reenviaba a una lista de distribución de víctimas. Al igual que en el caso de Google, el mensaje era firmado por los servidores de correo de PayPal, pasando las verificaciones DKIM.

Respuesta de Google y análisis técnico

Johnson informó del problema a Google a través de su programa de reporte de errores. Inicialmente, la compañía respondió que el sistema "estaba funcionando según lo previsto". No obstante, tras una segunda revisión, Google reconoció la debilidad en el proceso y confirmó que está trabajando para implementar mejoras de seguridad en OAuth para mitigar esta clase de abusos.

La empresa EasyDMARC, especializada en autenticación de correo electrónico, también analizó el caso y publicó una explicación técnica detallada del ataque de phishing con repetición DKIM, validando los hallazgos de Johnson y ofreciendo recomendaciones para protegerse.

¿Por qué este ataque es tan efectivo?

El éxito del ataque radica en el uso de servicios legítimos para fines maliciosos. Al originarse en Google, pasar DKIM y usar sitios bajo dominios oficiales como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, los mensajes evaden los filtros de seguridad más comunes y aprovechan la confianza del usuario en marcas reconocidas.

Además, la utilización de elementos como OAuth y la estructura interna de Gmail ayuda a camuflar aún más la estafa, haciendo que incluso usuarios experimentados puedan caer.

Recomendaciones para evitar caer en estos ataques

Para protegerse de esta técnica avanzada de phishing, es importante seguir estas buenas prácticas:

• Verificar siempre la URL completa de cualquier enlace, incluso si proviene de un dominio confiable.
• No confiar únicamente en las verificaciones DKIM o SPF como indicadores de autenticidad.
• Evitar hacer clic en enlaces de correos electrónicos inesperados, incluso si parecen provenir de servicios oficiales.
• Usar extensiones o herramientas de análisis de cabeceras de correo para comprobar el origen real del mensaje.
• Activar la verificación en dos pasos para cuentas sensibles como Gmail y PayPal.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una sofisticada campaña de fraude publicitario digital llamada Scallywag ha sido desmantelada parcialmente tras generar hasta 1.400 millones de solicitudes fraudulentas de anuncios por día. Esta operación global monetizaba sitios de piratería y plataformas de acortamiento de enlaces utilizando complementos de WordPress diseñados específicamente para evadir sistemas de detección y generar ingresos ilegítimos.

El descubrimiento de esta red fue realizado por HUMAN, una reconocida firma de ciberseguridad especializada en detección de bots y fraude en medios digitales. Su investigación reveló una infraestructura formada por 407 dominios que trabajaban de forma coordinada para redirigir a los usuarios a páginas llenas de anuncios falsos, simulando tráfico legítimo para los anunciantes.

Cómo funciona Scallywag: plugins de WordPress y sitios intermediarios

A diferencia de otras campañas de fraude digital, Scallywag opera como un fraude como servicio (FaaS). Su modelo se basa en la distribución de cuatro complementos de WordPress maliciosos que permiten a ciberdelincuentes crear flujos automatizados de ingresos desde sitios con contenido de baja calidad o ilegal. Los plugins identificados son:

• Soralink (2016)
• Yu Idea (2017)
• WPSafeLink (2020)
• Droplink (2022)

Estos complementos han sido utilizados por múltiples actores maliciosos que configuran sus propios esquemas de fraude publicitario. Algunos incluso han subido tutoriales a YouTube explicando cómo instalarlos y utilizarlos, facilitando el acceso a este modelo de monetización fraudulenta.

De los cuatro, Droplink se distribuye gratuitamente, pero obliga a los usuarios a realizar ciertas acciones que generan ingresos a los desarrolladores, como parte de un modelo de afiliación disfrazado.

Monetización de sitios de piratería a través de redirecciones

Scallywag se apoya principalmente en sitios web que ofrecen contenido pirata, como películas, series, videojuegos o software premium. Los visitantes acceden a estos portales buscando enlaces de descarga, y al hacer clic en ellos, son redirigidos a través de una cadena de sitios intermedios cargados con anuncios fraudulentos.

Estos sitios intermediarios están impulsados por los plugins de WordPress de Scallywag, que gestionan el proceso completo de redirección, desde la verificación CAPTCHA hasta temporizadores obligatorios que simulan interacción del usuario. En muchas ocasiones, las páginas intermedias muestran un blog limpio si detectan escaneos automatizados o bots de plataformas publicitarias, en un proceso conocido como encubrimiento.

Este enfoque permite que el contenido malicioso pase desapercibido para los anunciantes legítimos, quienes normalmente bloquean la piratería y los acortadores de URL por los riesgos legales, el fraude publicitario y la seguridad de marca.

Asociación gris con sitios piratas

Cabe destacar que no todos los sitios piratas involucrados en esta red son operados directamente por los creadores de Scallywag. En muchos casos, los administradores de estos sitios forman "asociaciones grises" con los operadores del fraude, cediendo el control de la monetización a cambio de recibir ingresos compartidos.

Este modelo colaborativo ha permitido a Scallywag extender su influencia rápidamente, aprovechando el tráfico masivo que generan los sitios piratas sin asumir directamente su operación ni exposición legal.

La caída de Scallywag: análisis, detección y respuesta

El equipo de HUMAN logró identificar la actividad de Scallywag tras detectar comportamientos inusuales en blogs de WordPress aparentemente legítimos, como picos de impresiones publicitarias, mecanismos de encubrimiento y flujos de tráfico forzado. Utilizando técnicas avanzadas de análisis de tráfico, HUMAN clasificó la red como fraudulenta y colaboró con proveedores de anuncios digitales para bloquear sus solicitudes de oferta.

Gracias a estas acciones, el tráfico fraudulento de Scallywag se redujo en un 95%, provocando una caída masiva en los ingresos generados por la red. Muchos de los actores involucrados abandonaron el esquema y comenzaron a buscar nuevas formas de monetización ilícita.

Persistencia de la amenaza y evolución de los actores

A pesar de la desactivación temporal de su ecosistema, los operadores detrás de Scallywag han demostrado una gran capacidad de adaptación. En respuesta a los bloqueos, intentaron evadir la detección utilizando nuevos dominios, redes de redirección abiertas y técnicas para ocultar el referer real del tráfico.

Si bien HUMAN logró identificar y bloquear estos nuevos intentos, se espera que los responsables continúen desarrollando nuevas variantes o incluso trasladen su operación a otras plataformas CMS o métodos de monetización engañosos.

Recomendaciones para protegerse del fraude publicitario

Las empresas del ecosistema publicitario digital, así como administradores de sitios web, deben tomar medidas preventivas para evitar verse involucrados, directa o indirectamente, en esquemas de fraude como Scallywag:

• Auditar regularmente los complementos de WordPress instalados, evitando extensiones de origen dudoso o poco documentado.
• Monitorear el tráfico de red en busca de patrones sospechosos, como tasas de impresión anómalas o visitas desde acortadores de URL poco conocidos.
• Colaborar con plataformas de detección de fraude como HUMAN para implementar soluciones antifraude avanzadas.
• Evitar monetizar sitios con contenido pirata, ya que estos son objetivos prioritarios para esquemas publicitarios fraudulentos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un reciente informe de la firma de ciberseguridad Trustwave SpiderLabs ha revelado un preocupante aumento en la actividad maliciosa proveniente de direcciones IP asociadas con Proton66, un proveedor ruso de alojamiento a prueba de balas. Esta infraestructura, conocida por facilitar operaciones cibercriminales, ha sido vinculada con esfuerzos masivos de escaneo, ataques de fuerza bruta y explotación activa de vulnerabilidades críticas, afectando a organizaciones a nivel mundial desde enero de 2025.

Los bloques de red 45.135.232.0/24 y 45.140.17.0/24 se destacaron por su alta actividad maliciosa. De acuerdo con los investigadores de seguridad Pawel Knapczyk y Dawid Nesterowicz, muchas de las direcciones IP involucradas no habían sido utilizadas previamente o habían permanecido inactivas por más de dos años, lo que sugiere un resurgimiento controlado por actores sofisticados.

Proton66 y su vínculo con redes de cibercrimen

Proton66 opera bajo el sistema autónomo AS58061 y está relacionado con otro sistema denominado PROSPERO. Según la empresa de seguridad francesa Intrinsec, esta infraestructura está fuertemente vinculada a servicios de alojamiento a prueba de balas conocidos como Securehost y BEARHOST, comúnmente publicitados en foros clandestinos rusos.

Estos servicios son atractivos para los ciberdelincuentes debido a su tolerancia hacia actividades ilegales, como el hosting de servidores C2 (comando y control), páginas de phishing, y la distribución de malware. Algunas familias de malware como GootLoader, SpyNote, XWorm, StrelaStealer y WeaXor han utilizado Proton66 para sus campañas.

Explotación de vulnerabilidades críticas

Durante febrero de 2025, se identificaron ataques provenientes de la IP 193.143.1[.]65 de Proton66 que intentaban explotar vulnerabilidades recientemente descubiertas, entre ellas:

• CVE-2025-0108: omisión de autenticación en Palo Alto Networks PAN-OS
• CVE-2024-41713: validación de entrada deficiente en NuPoint MiCollab NPM
• CVE-2024-10914: inyección de comandos en dispositivos D-Link NAS
• CVE-2024-55591 y CVE-2025-24472: fallas de autenticación en Fortinet FortiOS

Estas dos últimas vulnerabilidades fueron utilizadas por un corredor de acceso inicial conocido como Mora_001, que introdujo una nueva variante de ransomware llamada SuperBlack. Esta amenaza cifra los datos de las víctimas y exige un rescate para su recuperación, siguiendo patrones cada vez más comunes en el panorama de ransomware como servicio (RaaS).

Malware y phishing dirigido a dispositivos Android

Otra táctica ampliamente utilizada por los operadores vinculados a Proton66 incluye el uso de sitios WordPress comprometidos para redirigir a usuarios de Android hacia páginas de phishing. En particular, se identificó la IP 91.212.166[.]21 como origen de scripts maliciosos en JavaScript diseñados para engañar a las víctimas y hacerlas descargar aplicaciones APK infectadas.

Estas campañas simulan páginas de Google Play y están dirigidas principalmente a usuarios que hablan francés, español y griego. Los scripts de redirección están cuidadosamente ofuscados y utilizan servicios como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta e No tienes permitido ver enlaces. Registrate o Entra a tu cuenta para detectar el uso de VPNs, proxies y verificar si el dispositivo es Android antes de ejecutar la redirección.

Ingeniería social y ataques dirigidos

Además del malware móvil, Trustwave identificó un ataque dirigido a usuarios de habla coreana, en el que se utilizó un archivo ZIP alojado en Proton66 que implementa XWorm mediante técnicas de ingeniería social. La infección comienza con un archivo LNK que ejecuta una cadena de comandos PowerShell y Visual Basic, culminando con la descarga de un archivo DLL codificado en Base64 que instala el malware.

De forma paralela, los investigadores detectaron una campaña de phishing por correo electrónico contra usuarios de habla alemana. Esta campaña distribuía StrelaStealer, un ladrón de credenciales que se comunica con la IP 193.143.1[.]205, también alojada en la red de Proton66.

En otro hallazgo importante, se observó actividad relacionada con WeaXor, una variante del ransomware Mallox, la cual se comunicaba con el servidor 193.143.1[.]139, fortaleciendo aún más la conexión de Proton66 con amenazas activas.

Recomendaciones de ciberseguridad

Dada la variedad y peligrosidad de las amenazas asociadas a Proton66, los expertos de Trustwave recomiendan a las organizaciones:

• Bloquear todos los rangos CIDR vinculados a Proton66 (como 45.135.232.0/24, 45.140.17.0/24, 193.143.1.0/24).
• Implementar reglas de firewall específicas para denegar tráfico entrante y saliente desde y hacia direcciones IP maliciosas conocidas.
• Monitorear activamente la red en busca de conexiones sospechosas o no autorizadas hacia infraestructura asociada a alojamiento a prueba de balas.
• Actualizar los sistemas y aplicaciones para mitigar la explotación de vulnerabilidades como las CVE mencionadas anteriormente.

También se sugiere prestar atención a posibles vínculos con otros proveedores como Chang Way Technologies, supuestamente relacionado con Hong Kong, cuya infraestructura también ha sido vinculada a estas amenazas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores en ciberseguridad han identificado tres paquetes maliciosos en el registro npm, diseñados para hacerse pasar por una biblioteca legítima de bots de Telegram para Node.js. Estos paquetes, distribuidos en el ecosistema de JavaScript, contienen puertas traseras SSH y funciones de exfiltración de datos, representando una grave amenaza para la seguridad de desarrolladores y sistemas de producción.

Paquetes npm maliciosos detectados

Los paquetes identificados son:

• node-telegram-utils (132 descargas)
• node-telegram-bots-api (82 descargas)
• node-telegram-util (73 descargas)

Según la empresa de seguridad Socket, especializada en proteger la cadena de suministro de software, estos paquetes imitan la biblioteca legítima node-telegram-bot-api, que acumula más de 100,000 descargas semanales. A pesar de su menor alcance, los paquetes fraudulentos todavía están disponibles para su descarga en npm al momento del análisis.

Citar"Aunque las descargas son limitadas, basta con comprometer un único entorno para permitir el acceso no autorizado a servidores de desarrollo o producción", advirtió Kush Pandya, investigador de seguridad en Socket.

Técnicas utilizadas: Starjacking y persistencia en Linux

Los atacantes emplean una técnica conocida como starjacking para simular popularidad y legitimidad. Este método consiste en vincular el paquete malicioso a un repositorio GitHub de una biblioteca auténtica, aprovechando la falta de validación entre el paquete de npm y su fuente en GitHub. Esto engaña a los desarrolladores al hacer que el paquete parezca confiable.

Además, el análisis reveló que los paquetes están específicamente diseñados para funcionar en sistemas Linux. Una vez ejecutados, agregan dos claves SSH al archivo ~/.ssh/authorized_keys, permitiendo a los atacantes un acceso remoto persistente al sistema comprometido.

Los scripts maliciosos también:

• Recopilan el nombre de usuario y la dirección IP externa del sistema mediante ipinfo[.]io.
• Se conectan a un servidor remoto (solana.validator[.]blog) para validar la infección.
• Mantienen el acceso incluso después de eliminar el paquete, ya que las claves SSH insertadas no se eliminan automáticamente.

Otro caso: paquete malicioso @naderabdi/merchant-advcash

La alerta de Socket también incluye un nuevo paquete malicioso denominado @naderabdi/merchant-advcash, el cual simula ser una integración de Volet (antes Advcash) para aceptar pagos con criptomonedas o moneda fiat. Sin embargo, el código contiene una carga útil oculta que establece un shell inverso a un servidor remoto.

A diferencia de otros paquetes que ejecutan código malicioso durante la instalación, este lo hace en tiempo de ejecución, específicamente después de una transacción de pago exitosa. Esta táctica dificulta la detección mediante herramientas automatizadas, ya que el comportamiento malicioso solo se activa en escenarios muy concretos.

Riesgos para la cadena de suministro y medidas de protección

Estos incidentes refuerzan el creciente riesgo de los ataques a la cadena de suministro de software, particularmente en ecosistemas abiertos como npm. El uso de técnicas de evasión avanzadas, persistencia remota y suplantación de bibliotecas populares convierte a estos paquetes en amenazas sofisticadas.

Los desarrolladores deben:

• Verificar manualmente la autenticidad de los paquetes y sus repositorios vinculados.
• Implementar herramientas de análisis estático y detección de malware en dependencias de terceros.
• Monitorear actividades inusuales tras la instalación de nuevos paquetes npm, especialmente aquellos con pocas descargas o actualizados recientemente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El proyecto LXQt continúa avanzando con el lanzamiento de LXQt 2.2, una nueva versión de este entorno de escritorio ligero basado en Qt. Esta actualización refuerza su compatibilidad con Wayland, mejora componentes clave como el gestor de archivos y el terminal, e introduce ajustes importantes en la gestión energética y la estabilidad del sistema.

LXQt 2.2 y su integración con Wayland

La principal novedad de LXQt 2.2 está en su progresiva adaptación al servidor gráfico Wayland, un paso esencial para el futuro de los entornos de escritorio Linux. En esta versión, la gestión de pantallas se moderniza: ahora los monitores se identifican por nombre en lugar de por número, un cambio necesario porque Wayland no reconoce el concepto tradicional de "pantalla principal".

Este ajuste implica que, al iniciar LXQt 2.2 bajo Wayland por primera vez, los elementos del escritorio se reorganizarán automáticamente. Sin embargo, bajo X11, el comportamiento se mantiene como en versiones anteriores.

Además, se mejora la compatibilidad con compositores Wayland modernos. Aunque LXQt utiliza por defecto el compositor de KDE, la compatibilidad se extiende a otros como Sway o Weston, permitiendo una experiencia más flexible y adaptada a distintos entornos.

Mejoras en herramientas clave: PCManFM-Qt y QTerminal

El gestor de archivos PCManFM-Qt recibe varias actualizaciones importantes en LXQt 2.2:

• Soporte para opciones personalizadas de terminal.
• Renombrado masivo con capacidad para reemplazo de cadenas.
• Mejoras en el menú "Abrir con".
• Cambio rápido de vista mediante atajos de teclado.

Por su parte, QTerminal, el emulador de terminal del entorno, incorpora nuevas funciones como:

• Opciones para ocultar el cursor del ratón.
• Activación del parpadeo del cursor de texto.
• Nueva lógica para manejar el cierre de pestañas o ventanas con procesos activos en ejecución.

Estas mejoras refuerzan la usabilidad del entorno, especialmente para usuarios avanzados y administradores que buscan un entorno ligero pero funcional.

Gestión de energía optimizada

Otro punto destacado en LXQt 2.2 es la evolución de su sistema de gestión energética. El módulo LXQt Power Management ahora admite perfiles de energía mediante herramientas como power-profiles-daemon, permitiendo cambiar fácilmente entre perfiles desde el icono de batería en el panel.

Esta integración facilita la gestión del consumo energético en portátiles, mejorando la autonomía sin comprometer el rendimiento.

Otros cambios relevantes en LXQt 2.2

LXQt 2.2 también introduce diversas mejoras menores pero significativas:

• El panel de LXQt optimiza el comportamiento de arrastrar y soltar en el escritorio.
• Se eliminan mensajes de depuración innecesarios, lo que reduce la carga del sistema.
• Se añade una opción para cambiar el color del texto en comandos personalizados del panel.
• LXQt Session mejora la estabilidad al evitar sesiones simultáneas del mismo usuario.
• Se incorpora un nuevo método D-Bus para lanzar aplicaciones mediante atajos de teclado globales, una función especialmente útil en sesiones Wayland.

LXQt 2.2: ligero, estable y en transición hacia el futuro

En resumen, LXQt 2.2 no presenta una revolución, pero sí representa un avance constante en la evolución de este entorno de escritorio ligero, rápido y basado en Qt. Sus mejoras en compatibilidad con Wayland, en herramientas clave y en estabilidad lo consolidan como una excelente opción para equipos modestos o usuarios que priorizan el rendimiento sin renunciar a la funcionalidad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Tor Browser 14.5 ya está disponible y se posiciona como una de las actualizaciones más relevantes para los usuarios que buscan privacidad y anonimato en línea. Aunque no introduce grandes cambios generales, esta versión destaca por una mejora clave: la llegada de Connection Assist a Android, una función diseñada para facilitar el acceso a la red Tor en entornos con restricciones de censura.

Connection Assist llega a Android con Tor Browser 14.5

La inclusión de Connection Assist en Android representa un paso importante para el ecosistema de navegadores privados móviles. Esta herramienta, lanzada originalmente en 2022 con Tor Browser 11.5 para escritorio, permite una conexión más sencilla a la red Tor. ¿Cómo lo logra? Analiza automáticamente la ubicación del usuario y propone configuraciones de puente específicas para cada país, eliminando la necesidad de configuraciones manuales.

Con la versión 14.5, esta funcionalidad llega al sistema operativo móvil de Google, gracias a una profunda reestructuración del código y una mejor integración del navegador con la red Tor. El resultado no solo mejora la experiencia en Android, sino que acerca ambas versiones —móvil y escritorio— a una paridad funcional más completa.

Ventajas técnicas y mejoras en la arquitectura del navegador

Una de las grandes novedades técnicas de Tor Browser 14.5 es la unificación parcial del backend entre escritorio y móvil. Este cambio permite eliminar código redundante, simplificar el mantenimiento y acelerar el desarrollo de nuevas funciones. Gracias a esto, se abren las puertas a futuras integraciones como el panel de circuitos en Android o incluso una futura transición hacia Arti, la nueva implementación del protocolo Tor en Rust.

Otras novedades de Tor Browser 14.5

Además de la llegada de Connection Assist a Android, Tor Browser 14.5 incluye varias mejoras y correcciones que optimizan su rendimiento y estabilidad:

• Actualización en vivo de los registros de conexión, lo que facilita el diagnóstico de errores y problemas de conectividad.
• Ampliación del soporte de idiomas, permitiendo que más usuarios accedan al navegador en su idioma nativo.
• Corrección de múltiples errores tanto en la versión de escritorio como en Android.
• Mejoras de usabilidad en dispositivos móviles para una navegación más fluida.

La base de esta versión sigue siendo Firefox 128 ESR, lo que garantiza estabilidad y soporte extendido a largo plazo.

Tor y Tails: alianza por la libertad en Internet

En un contexto más amplio, conviene recordar la alianza estratégica entre Tor y Tails, anunciada el año pasado bajo el lema "por la libertad en Internet". Esta colaboración busca fortalecer las herramientas de privacidad y anonimato online, y tiene implicaciones directas en el desarrollo de futuras versiones tanto del navegador como de la distribución Linux especializada en seguridad.

A raíz de este lanzamiento de Tor Browser 14.5, se espera también una nueva versión de Tails en breve, lo que refuerza aún más el compromiso de ambas iniciativas con la privacidad digital.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha identificado una vulnerabilidad crítica de seguridad en Apache Roller, el software de blogs de código abierto basado en Java. Esta falla, catalogada como CVE-2025-24859 y con una puntuación CVSS de 10.0, permite a actores maliciosos mantener acceso no autorizado incluso después de que el usuario haya cambiado su contraseña.

La vulnerabilidad afecta a todas las versiones de Apache Roller hasta la 6.1.4, inclusive. Según el aviso oficial del proyecto, el fallo reside en la gestión incorrecta de sesiones:

Citar"Existe una vulnerabilidad en Apache Roller antes de la versión 6.1.5, donde las sesiones de usuario activas no se invalidan adecuadamente tras un cambio de contraseña. Esto significa que, incluso si un usuario o administrador actualiza la contraseña, las sesiones antiguas siguen activas y pueden ser reutilizadas".

Esta debilidad de seguridad puede ser explotada por ciberdelincuentes para mantener el acceso persistente a la aplicación, incluso si las credenciales fueron cambiadas, lo que incrementa el riesgo de acceso no autorizado y pérdida de datos.

Solución disponible en Apache Roller 6.1.5

El problema se ha corregido en Apache Roller 6.1.5, que introduce una administración centralizada de sesiones. Ahora, todas las sesiones activas se invalidan automáticamente cuando se cambia una contraseña o se desactiva una cuenta de usuario, cerrando así la puerta a accesos persistentes indebidos.

El descubrimiento de esta vulnerabilidad se atribuye al investigador de seguridad Haining Meng, quien notificó de forma responsable a los desarrolladores del proyecto.

Vulnerabilidades recientes en proyectos Apache

Esta revelación se suma a una serie de vulnerabilidades críticas detectadas en proyectos Apache durante 2025:

• CVE-2025-30065 en Apache Parquet: Permite ejecución remota de código en instancias vulnerables.
• CVE-2025-24813 en Apache Tomcat: Ha sido objeto de explotación activa poco después de su publicación.

Recomendaciones para administradores

Se recomienda a todos los administradores de sistemas y desarrolladores que utilicen Apache Roller:

• Actualizar inmediatamente a la versión 6.1.5 o superior.
• Monitorizar las sesiones activas tras cambios de contraseña.
• Implementar controles adicionales de autenticación y gestión de sesiones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo de amenazas persistentes avanzadas (APT) UNC5174, vinculado al gobierno chino, ha sido vinculado a una nueva campaña de ciberespionaje que emplea una variante del malware SNOWLIGHT y una herramienta de código abierto conocida como VShell para comprometer principalmente sistemas Linux, aunque también se ha detectado actividad contra dispositivos macOS.

Herramientas utilizadas: SNOWLIGHT, VShell y GOREVERSE

Según un informe de la empresa de ciberseguridad Sysdig, los actores de amenazas utilizan cada vez más herramientas de código abierto para reducir costos y dificultar la atribución. Este enfoque permite simular ataques de grupos menos sofisticados, lo que complica la detección por parte de analistas de seguridad.

UNC5174, también conocido como Uteus (o Uetus), fue previamente analizado por Mandiant (propiedad de Google) por su explotación de vulnerabilidades en herramientas como Connectwise ScreenConnect y F5 BIG-IP. En estas campañas se empleó el descargador ELF SNOWLIGHT, diseñado para desplegar el túnel Golang llamado GOHEAVY, conectado a la infraestructura C2 basada en SUPERSHELL, un marco de comando y control de uso público.

Además, los ataques utilizaron GOREVERSE, una backdoor SSH escrita en Golang, que permite la conexión remota inversa a sistemas comprometidos.

Explotación de vulnerabilidades y entrega del malware

La Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI) destacó en su informe "Cyber Threat Overview 2024" que UNC5174 o un actor similar ha explotado múltiples vulnerabilidades en dispositivos Ivanti Cloud Service Appliance (CSA), incluyendo:

• CVE-2024-8963
• CVE-2024-9380
• CVE-2024-8190

Estos fallos permitieron la ejecución remota de código y el control total de los sistemas afectados.

En los ataques recientes documentados por Sysdig (enero de 2025), SNOWLIGHT actúa como un gotero que despliega VShell, un troyano de acceso remoto (RAT) ampliamente usado en entornos de habla china. El malware se ejecuta en memoria, sin archivos persistentes, dificultando su detección.

Detalles técnicos: carga útil y persistencia

La secuencia de ataque inicia con la ejecución de un script Bash malicioso ("download_backd.sh"), que instala los binarios de SNOWLIGHT (dnsloger) y Sliver (system_worker). Estos componentes establecen persistencia y conectividad con un servidor de comando y control (C2).

La fase final consiste en la entrega de VShell a través de SNOWLIGHT, usando solicitudes específicamente diseñadas. Una vez desplegado, VShell permite ejecución remota de comandos, carga y descarga de archivos, y control total del sistema comprometido. Se destaca el uso de WebSockets para el tráfico C2, una técnica evasiva que refuerza el sigilo del ataque.

Campañas paralelas y alcance global

Los hallazgos de Sysdig coinciden con nuevas investigaciones de TeamT5, que vinculan a otro grupo de ciberespionaje con nexos chinos con la explotación de vulnerabilidades recientes en Ivanti, incluyendo:

• CVE-2025-0282
• CVE-2025-22457

El malware desplegado en esta campaña fue denominado SPAWNCHIMERA, y afectó a múltiples sectores en al menos 20 países, entre ellos: Austria, Australia, Francia, España, Japón, Corea del Sur, Países Bajos, Singapur, Taiwán, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.

Riesgos para organizaciones y geopolítica cibernética

Tanto SNOWLIGHT como VShell son también capaces de infectar sistemas macOS, como lo demuestra el análisis de archivos subidos a VirusTotal desde China en octubre de 2024, donde se detectó la distribución de VShell como una aplicación falsa de autenticación de Cloudflare.

En paralelo, China ha acusado públicamente a la NSA (Agencia de Seguridad Nacional de EE. UU.) de realizar ataques cibernéticos avanzados contra infraestructuras críticas durante los Juegos Asiáticos de Invierno de 2025. Según el Ministerio de Relaciones Exteriores chino, estas acciones comprometieron información personal, defensa nacional y sectores clave como finanzas y telecomunicaciones.

SNOWLIGHT y VShell aumentan el riesgo de ciberataques a nivel global

La campaña atribuida a UNC5174 demuestra el creciente uso de herramientas de código abierto en operaciones de ciberespionaje, así como la explotación activa de vulnerabilidades en infraestructura crítica. Organizaciones que operan en entornos Linux y macOS deben reforzar sus medidas de detección, aplicar parches de seguridad y monitorear comportamientos anómalos relacionados con SNOWLIGHT, VShell o tráfico WebSocket inusual.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha advertido sobre un nuevo problema de rendimiento en Outlook clásico para Windows, relacionado con un aumento del uso de la CPU mientras se escribe correos electrónicos. Este fallo afecta a usuarios que utilizan versiones recientes del cliente de correo electrónico, generando un consumo anormal de recursos del sistema, incluso con funciones como la revisión ortográfica o los complementos desactivados.

Problema de alto consumo de CPU en Outlook clásico

Desde principios de noviembre, cientos de usuarios comenzaron a reportar en redes sociales y foros como la comunidad oficial de Microsoft que Outlook incrementaba el uso de CPU entre un 30% y 50% al escribir. Esto también conllevaba un mayor consumo de energía, lo cual es especialmente problemático en laptops o equipos de trabajo intensivo.

Microsoft confirmó el problema en un nuevo documento de soporte, explicando que afecta a versiones de Outlook posteriores a la Versión 2406 Build 17726.20126. Este error puede presentarse en los siguientes canales de actualización:

• Current Channel
• Monthly Enterprise Channel
• Insider Channel

Solución temporal: cambiar al canal semestral de Microsoft Office

Mientras Microsoft trabaja en una solución definitiva, recomienda a los usuarios afectados migrar al canal semestral de actualizaciones, que no presenta este fallo. Para hacer este cambio manualmente, puedes modificar el Registro de Windows con los siguientes pasos:

Cómo cambiar al canal semestral en Outlook (Windows)

1. Abre una ventana del Símbolo del sistema como administrador.

2. Escribe o pega el siguiente comando y presiona Enter:

reg add HKLM\Software\Policies\Microsoft\office\16.0\common\officeupdate /v updatebranch /t REG_SZ /d SemiAnnual

3. Luego, abre Outlook > Archivo > Cuenta de Office > Opciones de actualización > Actualizar ahora para aplicar el cambio de canal.

Alternativas para administradores de TI

Los administradores de sistemas pueden aplicar esta configuración en múltiples dispositivos mediante herramientas como:

• Políticas de grupo
• Microsoft Configuration Manager
• Microsoft Intune
• Office Deployment Tool
• Centro de administración de Microsoft 365

Estas opciones permiten gestionar la actualización masiva de equipos en entornos empresariales y evitar que el error de alto uso de CPU en Outlook impacte la productividad.

Otros problemas recientes en Microsoft Outlook y Office

Este fallo se suma a una serie de problemas recientes en Microsoft 365 y Office, como:

• Errores en Outlook al escribir, responder o reenviar correos electrónicos.
• Bloqueos en Word, Excel y Outlook tras las actualizaciones de seguridad de abril de 2025 (Office 2016).
• Problemas de licencias de Microsoft 365 que impedían el acceso a usuarios con suscripciones familiares.
• Fallos en la función "arrastrar y soltar correos" tras la instalación de Windows 24H2.
• Cierres inesperados de Outlook al hacer clic en botones para volver a la versión clásica.

Seguimiento y mejores prácticas

Microsoft está trabajando activamente en una solución para el alto uso de CPU en Outlook para Windows. Hasta entonces, cambiar al canal semestral es la opción más segura para mantener la estabilidad del sistema. Es recomendable que usuarios y administradores de TI mantengan sus sistemas actualizados, revisen las notas oficiales de cada versión y monitoricen el comportamiento del sistema tras cada parche.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ha introducido una nueva función de seguridad en Android que reiniciará automáticamente los dispositivos bloqueados y sin uso tras 72 horas (3 días) de inactividad, restableciendo el sistema a un estado completamente cifrado. Esta medida, incluida en la última actualización de los Servicios de Google Play (v25.14), tiene como objetivo mejorar la protección de datos en Android y dificultar el acceso no autorizado a la información personal del usuario.

¿Cómo funciona el reinicio automático en Android?

La función de reinicio automático por inactividad está disponible en la sección Seguridad y privacidad del sistema. Según las notas de la versión, "el dispositivo se reiniciará automáticamente si permanece bloqueado durante tres días consecutivos", lo que implica que regresará al estado "Antes del primer desbloqueo" (BFU), donde la información permanece cifrada hasta que el usuario lo desbloquee con su PIN o datos biométricos.

Este enfoque busca contrarrestar técnicas forenses utilizadas para extraer datos de dispositivos Android sin consentimiento, especialmente en situaciones donde los teléfonos han sido incautados o robados y se encuentran en el estado "Después del primer desbloqueo" (AFU), en el cual los datos ya están desencriptados y vulnerables.

Una respuesta a amenazas forenses: privacidad reforzada en Android

Organizaciones centradas en la privacidad, como GrapheneOS, ya habían implementado previamente un sistema similar, con reinicios automáticos cada 18 horas. Este método se diseñó para proteger los dispositivos frente a herramientas forenses avanzadas utilizadas por empresas como Cellebrite, que explotan vulnerabilidades en el firmware o en controladores como el USB del kernel de Android.

En enero de 2024, los desarrolladores de GrapheneOS advirtieron sobre estas fallas y destacaron cómo el reinicio automático podía restaurar la protección cifrada de los datos, limitando así el acceso físico prolongado a la información personal.

Aunque Google adopta un intervalo más largo (72 horas en lugar de 18), esta nueva función aún representa una mejora importante en la seguridad de Android frente a intentos de extracción de datos físicos.

Recomendaciones adicionales para mejorar la seguridad en Android

Para maximizar la seguridad de los dispositivos Android, se recomienda:

• Desactivar la transferencia de datos USB cuando el dispositivo esté bloqueado.
• Mantener el sistema y las aplicaciones siempre actualizados.
• Instalar la versión más reciente de los Servicios de Google Play (v25.14) desde Google Play Store, aunque la disponibilidad podría variar según el dispositivo y la región.
• Verificar manualmente las actualizaciones de seguridad desde:
• Configuración > Seguridad y privacidad > Sistema y actualizaciones > Actualización del sistema de Google Play.

En conclusión, esta nueva medida de reinicio automático en Android tras 72 horas de inactividad refuerza significativamente la protección de los datos personales ante accesos físicos no autorizados. Con esta actualización, Google da un paso importante en su estrategia de fortalecer la ciberseguridad móvil frente a amenazas forenses y vulnerabilidades críticas del sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo troyano de acceso remoto (RAT) denominado ResolverRAT ha sido identificado como parte de una campaña global de ciberataques dirigidos a organizaciones del sector salud y farmacéutico. Este malware se distribuye activamente a través de correos electrónicos de phishing diseñados para engañar a los usuarios mediante supuestas notificaciones legales o reclamaciones por violación de derechos de autor, personalizadas según el idioma del país objetivo.

Distribución y vector de ataque

Los mensajes de phishing incluyen un enlace que descarga un ejecutable aparentemente legítimo (hpreader.exe). Este archivo se utiliza para inyectar ResolverRAT directamente en la memoria del sistema mediante una técnica conocida como carga reflexiva de DLL (DLL reflective loading), lo que dificulta su detección por soluciones antivirus tradicionales.

El descubrimiento de este malware fue realizado por Morphisec, que lo identificó utilizando la misma infraestructura de phishing documentada en investigaciones recientes de Check Point y Cisco Talos. Sin embargo, mientras esos informes se centraron en otros ladrones de información como Rhadamanthys y Lumma, ResolverRAT no había sido analizado previamente en profundidad.

Características técnicas de ResolverRAT

ResolverRAT representa una amenaza avanzada debido a su capacidad para ejecutarse completamente en memoria, sin tocar el disco, lo que lo convierte en un malware altamente evasivo. Utiliza eventos .NET ResourceResolve para cargar ensamblados maliciosos sin llamadas evidentes a APIs del sistema operativo, evadiendo herramientas de seguridad basadas en la monitorización de llamadas Win32 API y operaciones del sistema de archivos.

Citar"Este secuestro de resolución de recursos representa una evolución avanzada del malware, permitiendo la ejecución dentro de la memoria administrada y eludiendo los métodos tradicionales de detección", destaca Morphisec.

Además, ResolverRAT incorpora una máquina de estados ofuscada para complicar el análisis estático, incluyendo mecanismos para detectar entornos sandbox y herramientas de depuración mediante técnicas de fingerprinting.

Persistencia y evasión

El malware establece persistencia mediante la creación de múltiples entradas en el Registro de Windows, utilizando claves ofuscadas con XOR en hasta 20 ubicaciones distintas. También se replica en directorios clave del sistema como Inicio, Archivos de programa y LocalAppData para garantizar su reejecución tras reinicios del sistema.

Para evitar su detección, ResolverRAT utiliza intervalos aleatorios de beaconing (comunicaciones con el servidor de comando y control) y maneja cada comando en subprocesos independientes, lo que mejora su robustez operativa al permitir la ejecución paralela de tareas.

Exfiltración de datos y resiliencia en redes

Una de las funcionalidades más destacadas de ResolverRAT es su capacidad para la exfiltración de datos de forma fragmentada. Los archivos mayores a 1 MB se dividen en fragmentos de 16 KB, lo que permite mezclar el tráfico malicioso con tráfico legítimo, reduciendo las posibilidades de detección por parte de los sistemas de monitoreo de red.

Antes de enviar cada fragmento, el malware comprueba si el socket está disponible para evitar errores en redes inestables. En caso de fallo, el sistema puede reanudar la transferencia desde el último fragmento exitoso, demostrando una alta tolerancia a fallos.

Campaña global en múltiples idiomas

Morphisec ha detectado campañas activas de ResolverRAT en varios idiomas, incluidos italiano, checo, hindi, turco, portugués e indonesio, lo que indica una capacidad operativa global y una posible expansión futura a otros países y sectores.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta