Tor Browser 14.5 ya está disponible y se posiciona como una de las actualizaciones más relevantes para los usuarios que buscan privacidad y anonimato en línea. Aunque no introduce grandes cambios generales, esta versión destaca por una mejora clave: la llegada de Connection Assist a Android, una función diseñada para facilitar el acceso a la red Tor en entornos con restricciones de censura.

Connection Assist llega a Android con Tor Browser 14.5

La inclusión de Connection Assist en Android representa un paso importante para el ecosistema de navegadores privados móviles. Esta herramienta, lanzada originalmente en 2022 con Tor Browser 11.5 para escritorio, permite una conexión más sencilla a la red Tor. ¿Cómo lo logra? Analiza automáticamente la ubicación del usuario y propone configuraciones de puente específicas para cada país, eliminando la necesidad de configuraciones manuales.

Con la versión 14.5, esta funcionalidad llega al sistema operativo móvil de Google, gracias a una profunda reestructuración del código y una mejor integración del navegador con la red Tor. El resultado no solo mejora la experiencia en Android, sino que acerca ambas versiones —móvil y escritorio— a una paridad funcional más completa.

Ventajas técnicas y mejoras en la arquitectura del navegador

Una de las grandes novedades técnicas de Tor Browser 14.5 es la unificación parcial del backend entre escritorio y móvil. Este cambio permite eliminar código redundante, simplificar el mantenimiento y acelerar el desarrollo de nuevas funciones. Gracias a esto, se abren las puertas a futuras integraciones como el panel de circuitos en Android o incluso una futura transición hacia Arti, la nueva implementación del protocolo Tor en Rust.

Otras novedades de Tor Browser 14.5

Además de la llegada de Connection Assist a Android, Tor Browser 14.5 incluye varias mejoras y correcciones que optimizan su rendimiento y estabilidad:

• Actualización en vivo de los registros de conexión, lo que facilita el diagnóstico de errores y problemas de conectividad.
• Ampliación del soporte de idiomas, permitiendo que más usuarios accedan al navegador en su idioma nativo.
• Corrección de múltiples errores tanto en la versión de escritorio como en Android.
• Mejoras de usabilidad en dispositivos móviles para una navegación más fluida.

La base de esta versión sigue siendo Firefox 128 ESR, lo que garantiza estabilidad y soporte extendido a largo plazo.

Tor y Tails: alianza por la libertad en Internet

En un contexto más amplio, conviene recordar la alianza estratégica entre Tor y Tails, anunciada el año pasado bajo el lema "por la libertad en Internet". Esta colaboración busca fortalecer las herramientas de privacidad y anonimato online, y tiene implicaciones directas en el desarrollo de futuras versiones tanto del navegador como de la distribución Linux especializada en seguridad.

A raíz de este lanzamiento de Tor Browser 14.5, se espera también una nueva versión de Tails en breve, lo que refuerza aún más el compromiso de ambas iniciativas con la privacidad digital.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha identificado una vulnerabilidad crítica de seguridad en Apache Roller, el software de blogs de código abierto basado en Java. Esta falla, catalogada como CVE-2025-24859 y con una puntuación CVSS de 10.0, permite a actores maliciosos mantener acceso no autorizado incluso después de que el usuario haya cambiado su contraseña.

La vulnerabilidad afecta a todas las versiones de Apache Roller hasta la 6.1.4, inclusive. Según el aviso oficial del proyecto, el fallo reside en la gestión incorrecta de sesiones:

Citar"Existe una vulnerabilidad en Apache Roller antes de la versión 6.1.5, donde las sesiones de usuario activas no se invalidan adecuadamente tras un cambio de contraseña. Esto significa que, incluso si un usuario o administrador actualiza la contraseña, las sesiones antiguas siguen activas y pueden ser reutilizadas".

Esta debilidad de seguridad puede ser explotada por ciberdelincuentes para mantener el acceso persistente a la aplicación, incluso si las credenciales fueron cambiadas, lo que incrementa el riesgo de acceso no autorizado y pérdida de datos.

Solución disponible en Apache Roller 6.1.5

El problema se ha corregido en Apache Roller 6.1.5, que introduce una administración centralizada de sesiones. Ahora, todas las sesiones activas se invalidan automáticamente cuando se cambia una contraseña o se desactiva una cuenta de usuario, cerrando así la puerta a accesos persistentes indebidos.

El descubrimiento de esta vulnerabilidad se atribuye al investigador de seguridad Haining Meng, quien notificó de forma responsable a los desarrolladores del proyecto.

Vulnerabilidades recientes en proyectos Apache

Esta revelación se suma a una serie de vulnerabilidades críticas detectadas en proyectos Apache durante 2025:

• CVE-2025-30065 en Apache Parquet: Permite ejecución remota de código en instancias vulnerables.
• CVE-2025-24813 en Apache Tomcat: Ha sido objeto de explotación activa poco después de su publicación.

Recomendaciones para administradores

Se recomienda a todos los administradores de sistemas y desarrolladores que utilicen Apache Roller:

• Actualizar inmediatamente a la versión 6.1.5 o superior.
• Monitorizar las sesiones activas tras cambios de contraseña.
• Implementar controles adicionales de autenticación y gestión de sesiones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo de amenazas persistentes avanzadas (APT) UNC5174, vinculado al gobierno chino, ha sido vinculado a una nueva campaña de ciberespionaje que emplea una variante del malware SNOWLIGHT y una herramienta de código abierto conocida como VShell para comprometer principalmente sistemas Linux, aunque también se ha detectado actividad contra dispositivos macOS.

Herramientas utilizadas: SNOWLIGHT, VShell y GOREVERSE

Según un informe de la empresa de ciberseguridad Sysdig, los actores de amenazas utilizan cada vez más herramientas de código abierto para reducir costos y dificultar la atribución. Este enfoque permite simular ataques de grupos menos sofisticados, lo que complica la detección por parte de analistas de seguridad.

UNC5174, también conocido como Uteus (o Uetus), fue previamente analizado por Mandiant (propiedad de Google) por su explotación de vulnerabilidades en herramientas como Connectwise ScreenConnect y F5 BIG-IP. En estas campañas se empleó el descargador ELF SNOWLIGHT, diseñado para desplegar el túnel Golang llamado GOHEAVY, conectado a la infraestructura C2 basada en SUPERSHELL, un marco de comando y control de uso público.

Además, los ataques utilizaron GOREVERSE, una backdoor SSH escrita en Golang, que permite la conexión remota inversa a sistemas comprometidos.

Explotación de vulnerabilidades y entrega del malware

La Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI) destacó en su informe "Cyber Threat Overview 2024" que UNC5174 o un actor similar ha explotado múltiples vulnerabilidades en dispositivos Ivanti Cloud Service Appliance (CSA), incluyendo:

• CVE-2024-8963
• CVE-2024-9380
• CVE-2024-8190

Estos fallos permitieron la ejecución remota de código y el control total de los sistemas afectados.

En los ataques recientes documentados por Sysdig (enero de 2025), SNOWLIGHT actúa como un gotero que despliega VShell, un troyano de acceso remoto (RAT) ampliamente usado en entornos de habla china. El malware se ejecuta en memoria, sin archivos persistentes, dificultando su detección.

Detalles técnicos: carga útil y persistencia

La secuencia de ataque inicia con la ejecución de un script Bash malicioso ("download_backd.sh"), que instala los binarios de SNOWLIGHT (dnsloger) y Sliver (system_worker). Estos componentes establecen persistencia y conectividad con un servidor de comando y control (C2).

La fase final consiste en la entrega de VShell a través de SNOWLIGHT, usando solicitudes específicamente diseñadas. Una vez desplegado, VShell permite ejecución remota de comandos, carga y descarga de archivos, y control total del sistema comprometido. Se destaca el uso de WebSockets para el tráfico C2, una técnica evasiva que refuerza el sigilo del ataque.

Campañas paralelas y alcance global

Los hallazgos de Sysdig coinciden con nuevas investigaciones de TeamT5, que vinculan a otro grupo de ciberespionaje con nexos chinos con la explotación de vulnerabilidades recientes en Ivanti, incluyendo:

• CVE-2025-0282
• CVE-2025-22457

El malware desplegado en esta campaña fue denominado SPAWNCHIMERA, y afectó a múltiples sectores en al menos 20 países, entre ellos: Austria, Australia, Francia, España, Japón, Corea del Sur, Países Bajos, Singapur, Taiwán, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.

Riesgos para organizaciones y geopolítica cibernética

Tanto SNOWLIGHT como VShell son también capaces de infectar sistemas macOS, como lo demuestra el análisis de archivos subidos a VirusTotal desde China en octubre de 2024, donde se detectó la distribución de VShell como una aplicación falsa de autenticación de Cloudflare.

En paralelo, China ha acusado públicamente a la NSA (Agencia de Seguridad Nacional de EE. UU.) de realizar ataques cibernéticos avanzados contra infraestructuras críticas durante los Juegos Asiáticos de Invierno de 2025. Según el Ministerio de Relaciones Exteriores chino, estas acciones comprometieron información personal, defensa nacional y sectores clave como finanzas y telecomunicaciones.

SNOWLIGHT y VShell aumentan el riesgo de ciberataques a nivel global

La campaña atribuida a UNC5174 demuestra el creciente uso de herramientas de código abierto en operaciones de ciberespionaje, así como la explotación activa de vulnerabilidades en infraestructura crítica. Organizaciones que operan en entornos Linux y macOS deben reforzar sus medidas de detección, aplicar parches de seguridad y monitorear comportamientos anómalos relacionados con SNOWLIGHT, VShell o tráfico WebSocket inusual.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha advertido sobre un nuevo problema de rendimiento en Outlook clásico para Windows, relacionado con un aumento del uso de la CPU mientras se escribe correos electrónicos. Este fallo afecta a usuarios que utilizan versiones recientes del cliente de correo electrónico, generando un consumo anormal de recursos del sistema, incluso con funciones como la revisión ortográfica o los complementos desactivados.

Problema de alto consumo de CPU en Outlook clásico

Desde principios de noviembre, cientos de usuarios comenzaron a reportar en redes sociales y foros como la comunidad oficial de Microsoft que Outlook incrementaba el uso de CPU entre un 30% y 50% al escribir. Esto también conllevaba un mayor consumo de energía, lo cual es especialmente problemático en laptops o equipos de trabajo intensivo.

Microsoft confirmó el problema en un nuevo documento de soporte, explicando que afecta a versiones de Outlook posteriores a la Versión 2406 Build 17726.20126. Este error puede presentarse en los siguientes canales de actualización:

• Current Channel
• Monthly Enterprise Channel
• Insider Channel

Solución temporal: cambiar al canal semestral de Microsoft Office

Mientras Microsoft trabaja en una solución definitiva, recomienda a los usuarios afectados migrar al canal semestral de actualizaciones, que no presenta este fallo. Para hacer este cambio manualmente, puedes modificar el Registro de Windows con los siguientes pasos:

Cómo cambiar al canal semestral en Outlook (Windows)

1. Abre una ventana del Símbolo del sistema como administrador.

2. Escribe o pega el siguiente comando y presiona Enter:

reg add HKLM\Software\Policies\Microsoft\office\16.0\common\officeupdate /v updatebranch /t REG_SZ /d SemiAnnual

3. Luego, abre Outlook > Archivo > Cuenta de Office > Opciones de actualización > Actualizar ahora para aplicar el cambio de canal.

Alternativas para administradores de TI

Los administradores de sistemas pueden aplicar esta configuración en múltiples dispositivos mediante herramientas como:

• Políticas de grupo
• Microsoft Configuration Manager
• Microsoft Intune
• Office Deployment Tool
• Centro de administración de Microsoft 365

Estas opciones permiten gestionar la actualización masiva de equipos en entornos empresariales y evitar que el error de alto uso de CPU en Outlook impacte la productividad.

Otros problemas recientes en Microsoft Outlook y Office

Este fallo se suma a una serie de problemas recientes en Microsoft 365 y Office, como:

• Errores en Outlook al escribir, responder o reenviar correos electrónicos.
• Bloqueos en Word, Excel y Outlook tras las actualizaciones de seguridad de abril de 2025 (Office 2016).
• Problemas de licencias de Microsoft 365 que impedían el acceso a usuarios con suscripciones familiares.
• Fallos en la función "arrastrar y soltar correos" tras la instalación de Windows 24H2.
• Cierres inesperados de Outlook al hacer clic en botones para volver a la versión clásica.

Seguimiento y mejores prácticas

Microsoft está trabajando activamente en una solución para el alto uso de CPU en Outlook para Windows. Hasta entonces, cambiar al canal semestral es la opción más segura para mantener la estabilidad del sistema. Es recomendable que usuarios y administradores de TI mantengan sus sistemas actualizados, revisen las notas oficiales de cada versión y monitoricen el comportamiento del sistema tras cada parche.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ha introducido una nueva función de seguridad en Android que reiniciará automáticamente los dispositivos bloqueados y sin uso tras 72 horas (3 días) de inactividad, restableciendo el sistema a un estado completamente cifrado. Esta medida, incluida en la última actualización de los Servicios de Google Play (v25.14), tiene como objetivo mejorar la protección de datos en Android y dificultar el acceso no autorizado a la información personal del usuario.

¿Cómo funciona el reinicio automático en Android?

La función de reinicio automático por inactividad está disponible en la sección Seguridad y privacidad del sistema. Según las notas de la versión, "el dispositivo se reiniciará automáticamente si permanece bloqueado durante tres días consecutivos", lo que implica que regresará al estado "Antes del primer desbloqueo" (BFU), donde la información permanece cifrada hasta que el usuario lo desbloquee con su PIN o datos biométricos.

Este enfoque busca contrarrestar técnicas forenses utilizadas para extraer datos de dispositivos Android sin consentimiento, especialmente en situaciones donde los teléfonos han sido incautados o robados y se encuentran en el estado "Después del primer desbloqueo" (AFU), en el cual los datos ya están desencriptados y vulnerables.

Una respuesta a amenazas forenses: privacidad reforzada en Android

Organizaciones centradas en la privacidad, como GrapheneOS, ya habían implementado previamente un sistema similar, con reinicios automáticos cada 18 horas. Este método se diseñó para proteger los dispositivos frente a herramientas forenses avanzadas utilizadas por empresas como Cellebrite, que explotan vulnerabilidades en el firmware o en controladores como el USB del kernel de Android.

En enero de 2024, los desarrolladores de GrapheneOS advirtieron sobre estas fallas y destacaron cómo el reinicio automático podía restaurar la protección cifrada de los datos, limitando así el acceso físico prolongado a la información personal.

Aunque Google adopta un intervalo más largo (72 horas en lugar de 18), esta nueva función aún representa una mejora importante en la seguridad de Android frente a intentos de extracción de datos físicos.

Recomendaciones adicionales para mejorar la seguridad en Android

Para maximizar la seguridad de los dispositivos Android, se recomienda:

• Desactivar la transferencia de datos USB cuando el dispositivo esté bloqueado.
• Mantener el sistema y las aplicaciones siempre actualizados.
• Instalar la versión más reciente de los Servicios de Google Play (v25.14) desde Google Play Store, aunque la disponibilidad podría variar según el dispositivo y la región.
• Verificar manualmente las actualizaciones de seguridad desde:
• Configuración > Seguridad y privacidad > Sistema y actualizaciones > Actualización del sistema de Google Play.

En conclusión, esta nueva medida de reinicio automático en Android tras 72 horas de inactividad refuerza significativamente la protección de los datos personales ante accesos físicos no autorizados. Con esta actualización, Google da un paso importante en su estrategia de fortalecer la ciberseguridad móvil frente a amenazas forenses y vulnerabilidades críticas del sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo troyano de acceso remoto (RAT) denominado ResolverRAT ha sido identificado como parte de una campaña global de ciberataques dirigidos a organizaciones del sector salud y farmacéutico. Este malware se distribuye activamente a través de correos electrónicos de phishing diseñados para engañar a los usuarios mediante supuestas notificaciones legales o reclamaciones por violación de derechos de autor, personalizadas según el idioma del país objetivo.

Distribución y vector de ataque

Los mensajes de phishing incluyen un enlace que descarga un ejecutable aparentemente legítimo (hpreader.exe). Este archivo se utiliza para inyectar ResolverRAT directamente en la memoria del sistema mediante una técnica conocida como carga reflexiva de DLL (DLL reflective loading), lo que dificulta su detección por soluciones antivirus tradicionales.

El descubrimiento de este malware fue realizado por Morphisec, que lo identificó utilizando la misma infraestructura de phishing documentada en investigaciones recientes de Check Point y Cisco Talos. Sin embargo, mientras esos informes se centraron en otros ladrones de información como Rhadamanthys y Lumma, ResolverRAT no había sido analizado previamente en profundidad.

Características técnicas de ResolverRAT

ResolverRAT representa una amenaza avanzada debido a su capacidad para ejecutarse completamente en memoria, sin tocar el disco, lo que lo convierte en un malware altamente evasivo. Utiliza eventos .NET ResourceResolve para cargar ensamblados maliciosos sin llamadas evidentes a APIs del sistema operativo, evadiendo herramientas de seguridad basadas en la monitorización de llamadas Win32 API y operaciones del sistema de archivos.

Citar"Este secuestro de resolución de recursos representa una evolución avanzada del malware, permitiendo la ejecución dentro de la memoria administrada y eludiendo los métodos tradicionales de detección", destaca Morphisec.

Además, ResolverRAT incorpora una máquina de estados ofuscada para complicar el análisis estático, incluyendo mecanismos para detectar entornos sandbox y herramientas de depuración mediante técnicas de fingerprinting.

Persistencia y evasión

El malware establece persistencia mediante la creación de múltiples entradas en el Registro de Windows, utilizando claves ofuscadas con XOR en hasta 20 ubicaciones distintas. También se replica en directorios clave del sistema como Inicio, Archivos de programa y LocalAppData para garantizar su reejecución tras reinicios del sistema.

Para evitar su detección, ResolverRAT utiliza intervalos aleatorios de beaconing (comunicaciones con el servidor de comando y control) y maneja cada comando en subprocesos independientes, lo que mejora su robustez operativa al permitir la ejecución paralela de tareas.

Exfiltración de datos y resiliencia en redes

Una de las funcionalidades más destacadas de ResolverRAT es su capacidad para la exfiltración de datos de forma fragmentada. Los archivos mayores a 1 MB se dividen en fragmentos de 16 KB, lo que permite mezclar el tráfico malicioso con tráfico legítimo, reduciendo las posibilidades de detección por parte de los sistemas de monitoreo de red.

Antes de enviar cada fragmento, el malware comprueba si el socket está disponible para evitar errores en redes inestables. En caso de fallo, el sistema puede reanudar la transferencia desde el último fragmento exitoso, demostrando una alta tolerancia a fallos.

Campaña global en múltiples idiomas

Morphisec ha detectado campañas activas de ResolverRAT en varios idiomas, incluidos italiano, checo, hindi, turco, portugués e indonesio, lo que indica una capacidad operativa global y una posible expansión futura a otros países y sectores.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El CA/Browser Forum ha aprobado una iniciativa clave que transformará la gestión de los certificados SSL/TLS. La nueva normativa, que entrará en vigor gradualmente durante los próximos cuatro años, reducirá la vida útil de los certificados digitales de los actuales 398 días a solo 47 días en 2029.

¿Qué es el CA/Browser Forum?

El CA/Browser Forum es una alianza internacional compuesta por autoridades de certificación (CA) como DigiCert y GlobalSign, y los principales proveedores de navegadores web, entre ellos Google, Apple, Mozilla y Microsoft. Su objetivo es definir y mantener los estándares de seguridad para los certificados digitales utilizados en Internet, esenciales para proteger las comunicaciones a través del protocolo HTTPS.

Apple lidera la propuesta de reducción de validez

La iniciativa fue originalmente propuesta por Apple y rápidamente respaldada por Sectigo, el equipo de Google Chrome y Mozilla. El plan consiste en reducir progresivamente la duración de los certificados SSL/TLS para mejorar la seguridad de la web y fomentar la automatización en la renovación de certificados.

El cronograma aprobado por el foro es el siguiente:

• 15 de marzo de 2026: la validez del certificado y la validación de control de dominio (DCV) se reduce a 200 días.
• 15 de marzo de 2027: se acorta aún más a 100 días.
• 15 de marzo de 2029: la validez se limitará a 47 días, y el DCV a solo 10 días.

¿Por qué reducir la vida útil de los certificados TLS?

El objetivo de este cambio es minimizar los riesgos asociados con certificados obsoletos, algoritmos criptográficos desactualizados y credenciales comprometidas. Además, la rotación frecuente reduce la posibilidad de que los certificados caducados permanezcan activos en sitios web, lo que mejora la seguridad del ecosistema digital.

También se busca impulsar el uso de sistemas automatizados de renovación de certificados, como los que ofrecen Let's Encrypt, proveedores de nube o autoridades de certificación compatibles con el protocolo ACME. Esta automatización facilitará el cumplimiento de los nuevos requisitos, especialmente para las organizaciones que gestionan múltiples dominios.

¿Qué son los certificados SSL/TLS?

Los certificados SSL/TLS son archivos digitales fundamentales para la ciberseguridad en línea. Permiten cifrar la conexión entre un navegador y un servidor web, protegiendo datos sensibles como contraseñas, números de tarjetas de crédito o información personal. Además, verifican la autenticidad del sitio web y garantizan la integridad de los datos transmitidos.

Cuando un certificado caduca sin ser renovado, los navegadores advierten al usuario de que su conexión no es segura, lo cual afecta la confianza del visitante y puede tener consecuencias negativas para la reputación del sitio.

¿Qué impacto tendrá esta medida?

Aunque esta reducción representa un desafío operativo para muchas organizaciones —especialmente aquellas que aún no han implementado la automatización—, se espera que la transición gradual facilite la adopción de prácticas más seguras y eficientes. La medida también obligará a una revalidación más frecuente, lo que fortalecerá la verificación de identidad de los solicitantes y aumentará la resiliencia del ecosistema de certificados digitales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La ciberseguridad evoluciona constantemente ante nuevas amenazas y ataques cada vez más sofisticados. Empresas y profesionales del sector necesitan herramientas que les permitan anticiparse, detectar vulnerabilidades y responder con rapidez. En este escenario, HackerGPT se posiciona como una solución innovadora que transforma la forma de trabajar de los hackers éticos y expertos en seguridad informática.

¿Qué es HackerGPT y para qué sirve?

HackerGPT es una herramienta de inteligencia artificial aplicada a la ciberseguridad, diseñada para asistir en pruebas de penetración, análisis de vulnerabilidades y respuesta ante incidentes. Utiliza modelos avanzados como GPT-3 y GPT-4, capaces de interpretar y resolver consultas complejas relacionadas con la seguridad digital.

Principales funciones de HackerGPT:

• Soporte en tiempo real: responde preguntas sobre ciberseguridad, hacking ético y resolución de problemas.
• Automatización de tareas: genera scripts, analiza código y detecta vulnerabilidades en sistemas y redes.
• Aprendizaje continuo: se actualiza constantemente con nuevas amenazas y técnicas de ataque.

Además, la versión 2.0 de HackerGPT está disponible como proyecto de código abierto en GitHub, lo que permite a la comunidad contribuir a su desarrollo y adaptarlo a distintas necesidades.

Beneficios de usar HackerGPT en ciberseguridad

El uso de inteligencia artificial en ciberseguridad permite ganar eficiencia, precisión y adaptabilidad. Estos son algunos de los principales beneficios de integrar HackerGPT en tus operaciones:

1. Ahorro de tiempo y mayor productividad

HackerGPT reduce significativamente el tiempo necesario para realizar análisis de seguridad, generar informes técnicos o ejecutar tareas de prueba de penetración, acelerando los procesos sin sacrificar calidad.

2. Mayor precisión en la detección de amenazas

Al analizar grandes volúmenes de datos, HackerGPT minimiza errores humanos y mejora la detección de vulnerabilidades y brechas de seguridad.

3. Ideal para formación en hacking ético

Es una herramienta perfecta tanto para profesionales como para estudiantes que quieran practicar escenarios de ciberseguridad sin necesidad de infraestructura compleja.

4. Acceso sencillo y sin requisitos técnicos

Al ser una solución basada en IA, no necesita hardware especializado ni instalaciones complicadas. Se accede fácilmente desde el navegador y se adapta a los cambios del sector.

¿Es seguro y ético usar HackerGPT?

Una de las preocupaciones más comunes sobre las herramientas de inteligencia artificial en ciberseguridad es su posible uso indebido. HackerGPT ha sido desarrollado con un enfoque claramente ético y legal.

• No promueve actividades maliciosas: está diseñado para uso profesional y formativo, orientado a mejorar la seguridad de sistemas, no para ciberataques.
• Cumple con normativas de seguridad informática: se ajusta a estándares y buenas prácticas reconocidas por la comunidad internacional de ciberseguridad.

HackerGPT: una herramienta clave para el futuro de la ciberseguridad

Con su enfoque en el hacking ético, la automatización de procesos y su disponibilidad como proyecto open source, HackerGPT representa un gran avance para profesionales del sector. Si trabajas en seguridad informática, análisis de vulnerabilidades o pruebas de penetración, esta herramienta puede ayudarte a mejorar tu eficiencia, reducir riesgos y reforzar la protección de infraestructuras digitales.

La integración de la IA en ciberseguridad es una tendencia imparable, y HackerGPT demuestra que la tecnología puede ser el mejor aliado para defenderse en un entorno digital cada vez más complejo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El cierre definitivo de Skype ha comenzado a generar controversia, y no solo por el fin de una de las aplicaciones de mensajería más icónicas del siglo XXI. Lo que realmente está molestando a muchos usuarios es que Microsoft no está devolviendo el saldo que algunos aún tienen en sus cuentas. La situación está escalando, y ya hay quienes están reclamando públicamente.

El cierre de Skype afecta a miles de usuarios en todo el mundo

Aunque el cierre de Skype no sorprendió a muchos, algunos sectores de la comunidad, especialmente personas mayores que aún utilizaban la aplicación por su facilidad de uso, han expresado su descontento. Pero el verdadero problema no está solo en la desaparición de la plataforma, sino en que los usuarios no podrán recuperar su dinero.

El caso de Karen Griffin: una usuaria afectada por el saldo retenido

Una de las voces más visibles es la de Karen Griffin, una ciudadana estadounidense que usaba Skype desde 2009. Durante años, Karen aprovechó la plataforma para realizar llamadas internacionales económicas a su amiga en Italia y para mantenerse en contacto con su hijo cuando vivía en el extranjero.

Ahora, con el anuncio del cierre de Skype en mayo, Karen ha descubierto que no puede retirar el saldo que le quedaba en su cuenta. Según relata, Microsoft no ofrece la opción de reembolso, y su único aviso fue que el saldo podía utilizarse hasta el 5 de mayo. Para Karen, esta no es una solución justa ni práctica.

Microsoft no reembolsa el dinero en Skype: solo permite gastarlo

La política oficial de Microsoft deja claro que no habrá reembolsos por el saldo no utilizado en Skype. En su lugar, ofrece dos opciones para usar el dinero restante:

• Realizar llamadas online antes de la fecha límite.
• Utilizar el saldo en Microsoft Teams, la nueva herramienta de comunicación que reemplazará a Skype.

Sin embargo, muchos usuarios, como Karen, no están interesados en migrar forzosamente a Microsoft Teams solo para gastar un saldo que ya habían cargado con otro propósito.

El problema del saldo atrapado en Skype

En el caso de Karen, el saldo bloqueado asciende a 24,74 dólares, unos 20 euros al cambio. Aunque puede parecer una cantidad pequeña, lo preocupante es el principio: los usuarios pierden control sobre su propio dinero.

Además, hay muchas personas en la misma situación, y la cifra total de saldo retenido podría ser considerable. Microsoft no ha revelado cuántos fondos no serán reembolsados, lo que ha generado aún más dudas entre la comunidad.

Microsoft apuesta por Teams, pero los usuarios piden reembolsos

La intención de Microsoft con este movimiento es clara: empujar a los usuarios hacia Microsoft Teams. No obstante, obligar a adoptar una nueva plataforma para recuperar el saldo de Skype no parece la estrategia más acertada, sobre todo para quienes no tienen interés en usar Teams.

Karen, por ejemplo, menciona que ya paga más de 100 dólares anuales por su suscripción a Microsoft Office y considera injusto que la empresa le retenga una cantidad que ella considera suya.

¿Podría cambiar Microsoft su postura?

Aunque de momento Microsoft insiste en que no habrá devoluciones, el creciente número de quejas podría provocar una reconsideración de su política. Ofrecer reembolsos sería una forma eficaz de reducir las críticas y evitar problemas de reputación justo en un momento en que la compañía busca consolidar su ecosistema de aplicaciones.

El adiós definitivo a Skype: una era que llega a su fin

Con más de dos décadas de historia, Skype fue pionera en las comunicaciones por voz y video a través de internet. Su desaparición marca el final de una era para millones de usuarios, especialmente para aquellos que la utilizaron como herramienta de comunicación internacional asequible.

Microsoft cierra un capítulo importante, pero deja una herida abierta entre quienes sienten que su dinero ha quedado atrapado sin posibilidad de recuperarlo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La nueva versión OpenSSH 10.0 ya está disponible con importantes mejoras en seguridad, eficiencia del sistema y criptografía post-cuántica. Este lanzamiento marca un hito en el fortalecimiento de las comunicaciones seguras, anticipando los desafíos que traerá la computación cuántica y reforzando las buenas prácticas en infraestructura crítica.

Como una de las soluciones SSH más utilizadas globalmente, OpenSSH continúa su evolución para adaptarse a las amenazas emergentes y mantener su liderazgo en ciberseguridad.

OpenSSH 10.0 refuerza la seguridad con criptografía post-cuántica

Uno de los cambios más relevantes en OpenSSH 10.0 es la adopción por defecto de un algoritmo híbrido post-cuántico para el intercambio de claves:
mlkem768x25519-sha256. Esta combinación une la robustez del esquema ML-KEM, aprobado por el NIST, con la eficiencia de X25519, asegurando resistencia contra ataques cuánticos sin perder rendimiento en sistemas actuales.

Además, se elimina por completo el soporte para DSA (Digital Signature Algorithm), un algoritmo obsoleto y vulnerable que, aunque ya no se recomendaba, aún era compatible en versiones anteriores. Esta decisión mejora significativamente la postura de seguridad del sistema.

Rediseño de la autenticación: nuevo binario sshd-auth

OpenSSH 10.0 introduce una separación crítica en su arquitectura de autenticación mediante la creación de un nuevo binario: sshd-auth. Este cambio permite ejecutar el proceso de autenticación en un entorno aislado, reduciendo la superficie de ataque antes de que el usuario sea autenticado.

Además, una vez completado su propósito, el nuevo binario se descarga de la memoria, lo que mejora el uso de recursos sin comprometer la seguridad.

Soporte experimental para FIDO2 y verificación de blobs de atestación

La versión 10.0 amplía el soporte para tokens de autenticación FIDO2, incorporando nuevas funcionalidades como la verificación de blobs de atestación. Aunque estas características aún son experimentales y no se instalan por defecto, representan un paso clave hacia una autenticación más robusta y estandarizada.

OpenSSH también estrena una herramienta de línea de comandos para verificar blobs FIDO2, disponible en los repositorios internos del proyecto.

Mejoras en configuración y personalización de usuarios

Otra novedad destacada de OpenSSH 10.0 es la mayor flexibilidad en las configuraciones específicas por usuario. Ahora es posible definir criterios de coincidencia más precisos, permitiendo establecer reglas detalladas sobre cuándo y cómo aplicar ciertas configuraciones en SSH o SFTP.

Esta funcionalidad representa un avance respecto a versiones anteriores, como OpenSSH 9.0, y facilita la gestión de entornos con políticas diferenciadas por usuario o contexto.

Optimización en algoritmos de cifrado y rendimiento

OpenSSH 10.0 mejora el rendimiento criptográfico priorizando el uso de AES-GCM sobre AES-CTR, un cambio que proporciona mejor seguridad sin afectar la velocidad de conexión. Sin embargo, el cifrado ChaCha20/Poly1305 se mantiene como opción preferida para sistemas sin aceleración por hardware AES, gracias a su excelente rendimiento en entornos limitados.

Cambios técnicos y mejoras en la arquitectura de código

La nueva versión también implementa mejoras en la gestión de sesiones, detección de tipo de sesión activa y organización modular del código. Se han optimizado los archivos de parámetros criptográficos (moduli), lo que facilita futuras auditorías y actualizaciones.

Estas optimizaciones no solo mejoran la portabilidad del código, sino que también garantizan una base más sólida para el mantenimiento y evolución del proyecto.

Corrección de errores y mejoras de usabilidad

OpenSSH 10.0 incluye una serie de correcciones importantes de seguridad y funcionalidad, entre ellas:

• Solución al fallo de DisableForwarding, que no desactivaba correctamente el reenvío de X11 y del agente SSH.
• Mejoras en la interfaz de usuario y en la aplicación de configuraciones específicas.
• Ajustes que aseguran una experiencia más coherente y estable en entornos de producción.

OpenSSH sigue liderando la seguridad en comunicaciones remotas

Con esta versión, OpenSSH consolida su papel como herramienta esencial para proteger la infraestructura digital. Al adoptar algoritmos criptográficos post-cuánticos, eliminar tecnologías obsoletas y reforzar su arquitectura, el proyecto se prepara para un futuro en el que la seguridad frente a ataques cuánticos será crítica.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El equipo de desarrollo de IPFire, el reconocido firewall de código abierto basado en Linux, ha lanzado la actualización Core 193 de la versión 2.29, una mejora clave orientada a reforzar la seguridad informática frente a amenazas actuales y futuras. Esta versión destaca por introducir soporte para criptografía poscuántica en conexiones VPN IPsec, además de múltiples actualizaciones técnicas que optimizan el rendimiento y la fiabilidad del sistema.

Avance en ciberseguridad: soporte para criptografía poscuántica en IPFire

Con el auge de la computación cuántica y su potencial para vulnerar la criptografía tradicional, IPFire 2.29 Core 193 se posiciona a la vanguardia al integrar criptografía poscuántica en sus túneles VPN IPsec. En concreto, se ha incorporado el algoritmo ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism), diseñado para resistir ataques de futuros ordenadores cuánticos.

Esta función se activa por defecto en todos los túneles IPsec nuevos. Además, se mantiene compatibilidad con algoritmos modernos aprobados por el NIST, como Curve448, Curve25519, RSA-4096 y RSA-3072. Los usuarios con túneles existentes pueden adoptar esta nueva tecnología desde la configuración avanzada, reforzando la protección de sus redes frente a posibles ciberataques.

Eliminación de AES-128 y revisión de algoritmos criptográficos

Como parte de su enfoque proactivo en seguridad de red, IPFire ha realizado una revisión profunda de los algoritmos de cifrado predeterminados. A partir de esta versión, se prioriza el uso de AES-256 (modos GCM y CBC) y ChaCha20-Poly1305, mientras que AES-128 ha sido eliminado por considerarse menos seguro frente a opciones más robustas.

Este cambio no afecta el rendimiento, ya que la mayoría del hardware moderno ofrece aceleración para operaciones con AES, lo que permite que AES-256 funcione con eficiencia sin comprometer la seguridad.

Mejoras técnicas en el sistema base: rendimiento y compatibilidad

IPFire 2.29 Core Update 193 incluye importantes actualizaciones a nivel de sistema operativo:

• glibc 2.41 y GNU Binutils 2.44, que permiten compilar código más eficiente y adaptado al hardware reciente.
• Nuevos firmware y microcódigos para mitigar vulnerabilidades como INTEL-SA-01213, protegiendo la integridad del sistema incluso a nivel bajo.
• Optimizaciones en el rendimiento general, manteniendo un entorno ágil y confiable para redes empresariales.

Seguridad DNS mejorada y corrección de errores críticos

Entre las novedades más destacadas en servicios de red, se incluye soporte nativo para DNS-over-TLS, reforzando la privacidad en las consultas DNS al evitar interceptaciones o manipulaciones por terceros.

También se ha corregido un error que impedía la renovación de certificados IPsec por un número de serie incorrecto, lo que podría representar un problema en entornos empresariales donde la disponibilidad es crítica.

Cambios visuales y experiencia de usuario

IPFire sigue mejorando su interfaz de usuario, especialmente en la sección de grupos de cortafuegos, gracias a la colaboración de miembros activos de la comunidad como Stephen Cuka. Estas mejoras facilitan la gestión de reglas y ofrecen una experiencia más clara e intuitiva para los administradores de red.

Además, se ha retirado la antigua lista de bloqueo de comandos y servidores C2 proporcionada por No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, ya que ha sido discontinuada, reduciendo así la dependencia de fuentes externas obsoletas.

Paquetes actualizados y compatibilidad con tecnologías modernas

Con el fin de mantener la compatibilidad y ofrecer nuevas funciones, IPFire ha actualizado varios paquetes clave:

• Apache 2.4.63
• StrongSwan 6.0.0
• Squid 6.13
• Complementos como HAProxy 3.1.2, Git 2.48.1 y Samba 4.21.4

Estas actualizaciones no solo mejoran la funcionalidad, sino que también corrigen errores y aseguran la estabilidad en entornos de producción.

Comunidad activa y software de código abierto

El equipo de IPFire ha agradecido a su comunidad global de usuarios y desarrolladores, cuya participación activa ha sido esencial para lanzar una versión tan completa. Como es habitual en los proyectos de software libre, las contribuciones en forma de código, informes de errores y soporte entre pares han fortalecido la evolución del proyecto.

Descarga y recomendaciones finales

IPFire 2.29 Core Update 193 ya está disponible para su descarga desde el sitio oficial del proyecto. Se ofrecen imágenes en formato ISO y USB para facilitar su instalación. Se recomienda actualizar lo antes posible para aprovechar las mejoras de seguridad, rendimiento y compatibilidad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Palo Alto Networks ha detectado un aumento en los intentos de inicio de sesión por fuerza bruta dirigidos a las puertas de enlace PAN-OS GlobalProtect, pocos días después de que investigadores de ciberseguridad alertaran sobre actividad sospechosa de escaneo de credenciales en estos dispositivos.

Ataques de fuerza bruta contra GlobalProtect: Lo que sabemos

Un portavoz de Palo Alto Networks confirmó a The Hacker News que sus equipos han identificado intentos de ataque relacionados con credenciales comprometidas, aunque hasta el momento no hay evidencia de que se esté explotando una vulnerabilidad específica.

Citar"Nuestros equipos están observando evidencia de actividad consistente con ataques relacionados con contraseñas, como intentos de inicio de sesión por fuerza bruta, lo que no indica la explotación de una vulnerabilidad", señaló la compañía.
"Continuamos monitoreando activamente esta situación y analizando la actividad reportada para determinar su impacto potencial e identificar si son necesarias mitigaciones".

El hallazgo se produce luego de que la empresa de inteligencia de amenazas GreyNoise advirtiera sobre un incremento en los intentos de escaneo de inicio de sesión dirigidos a PAN-OS GlobalProtect, sugiriendo un posible esfuerzo coordinado para comprometer sistemas expuestos.

Patrón de ataque y ubicaciones afectadas

Según GreyNoise, la actividad maliciosa comenzó el 17 de marzo de 2025, alcanzando un pico de 23,958 direcciones IP únicas antes de disminuir a finales del mes pasado.

Los ataques han afectado principalmente sistemas en:

✅ Estados Unidos
✅ Reino Unido
✅ Irlanda
✅ Rusia
✅ Singapur

Actualmente, no se ha identificado al actor de amenazas detrás de estos ataques, pero las tácticas sugieren un intento de descubrir credenciales débiles y acceder a redes corporativas protegidas por GlobalProtect.

Medidas de seguridad recomendadas para usuarios de PAN-OS GlobalProtect

Dado el aumento de la actividad maliciosa, Palo Alto Networks recomienda a los clientes implementar las siguientes medidas de seguridad:

1️⃣ Actualizar a la última versión de PAN-OS para protegerse contra vulnerabilidades conocidas.
2️⃣ Activar la autenticación multifactor (MFA) para mitigar el riesgo de acceso no autorizado.
3️⃣ Configurar GlobalProtect para facilitar notificaciones de MFA y alertar sobre intentos de inicio de sesión sospechosos.
4️⃣ Implementar políticas de seguridad que detecten y bloqueen ataques de fuerza bruta.
5️⃣ Limitar la exposición innecesaria a Internet, restringiendo el acceso a GlobalProtect solo a direcciones IP autorizadas.

En conclusion, el aumento de ataques de fuerza bruta contra GlobalProtect demuestra la importancia de fortalecer la seguridad de credenciales y accesos en entornos corporativos. Los administradores de sistemas deben actuar de inmediato, aplicando actualizaciones y reforzando sus políticas de autenticación para mitigar riesgos de intrusión.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una grave falla de seguridad en OttoKit (anteriormente SureTriggers) ha sido explotada activamente pocas horas después de su divulgación pública. Esta vulnerabilidad, identificada como CVE-2025-3102 y con una puntuación CVSS de 8.1, permite a los atacantes crear cuentas de administrador en sitios WordPress vulnerables y tomar control total de ellos.

Detalles de la vulnerabilidad CVE-2025-3102

El investigador István Márton de Wordfence explicó que el fallo se debe a un error de omisión de autenticación en el plugin SureTriggers: All-in-One Automation Platform para WordPress, presente en todas las versiones hasta la 1.0.78.

¿Cómo funciona el ataque?

• La vulnerabilidad ocurre porque el complemento no verifica correctamente el valor "secret_key" en la función "authenticate_user".
• Si el plugin está instalado y activado, pero sin una clave API configurada, un atacante no autenticado puede explotar el fallo y crear cuentas de administrador.
• Con acceso de administrador, los atacantes pueden:
• Subir plugins maliciosos.
• Modificar el sitio para inyectar malware o spam.
• Redirigir visitantes a sitios fraudulentos.

Ataques en curso y direcciones IP involucradas

El investigador de seguridad Michael Mazzolini (alias mikemyers) descubrió y reportó la vulnerabilidad el 13 de marzo de 2025, y el problema fue corregido en la versión 1.0.79 del plugin, lanzada el 3 de abril de 2025.

Sin embargo, según Patchstack, los atacantes ya están explotando activamente la vulnerabilidad, creando cuentas de administrador falsas con el nombre "xtw1838783bc".

Los intentos de ataque se han originado desde las siguientes direcciones IP:

• 2a01:e5c0:3167::2 (IPv6)
• 89.169.15.201 (IPv4)

Dado que los nombres de usuario y contraseñas generados son aleatorios, se espera que los atacantes sigan variando sus estrategias para evitar detección.

¿Quiénes están en riesgo?

Aunque OttoKit cuenta con más de 100,000 instalaciones activas, no todos los sitios son vulnerables. El ataque solo es posible si el complemento está instalado y activado pero no configurado con una clave API.

Cómo proteger tu sitio WordPress

Dado que la vulnerabilidad está siendo activamente explotada, se recomienda a los propietarios de sitios WordPress que utilicen este plugin que:

• Actualicen inmediatamente a la versión 1.0.79 de OttoKit.
• Verifiquen si hay cuentas de administrador sospechosas y eliminen cualquier cuenta no autorizada.
• Monitoreen su sitio en busca de actividades inusuales o cambios no autorizados.
• Bloqueen las direcciones IP maliciosas si es posible.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha confirmado que la actualización de seguridad de Windows de abril de 2025 está creando una nueva carpeta "inetpub" en los sistemas de los usuarios, incluso si Internet Information Services (IIS) no está instalado. La compañía ha advertido que esta carpeta no debe eliminarse, ya que forma parte de los cambios implementados para mejorar la seguridad.

¿Qué es la carpeta "inetpub" y por qué aparece en Windows?

La carpeta "inetpub" es utilizada por Internet Information Services (IIS), una plataforma de servidor web de Microsoft que permite alojar sitios web y aplicaciones web. Normalmente, esta carpeta solo se crea cuando IIS se habilita manualmente a través de las Características de Windows.

Sin embargo, tras la instalación de la actualización acumulativa de abril de 2025, usuarios de Windows 10 y Windows 11 han reportado la aparición de una carpeta C:\inetpub, aun cuando IIS no estaba instalado.

Investigaciones realizadas por BleepingComputer confirmaron que esta carpeta es creada por la actualización con la cuenta SYSTEM, lo que sugiere que Microsoft la ha implementado con fines específicos de seguridad.

¿Se puede eliminar la carpeta "inetpub" en Windows 10 y 11?

Aunque eliminar la carpeta no causó problemas inmediatos en pruebas realizadas, Microsoft advierte que no debe ser eliminada, ya que forma parte de medidas de seguridad mejoradas.

Además, varios usuarios han informado que las actualizaciones acumulativas de abril no se instalan correctamente si la carpeta C:\inetpub ya existe antes de la implementación.

Relación con la vulnerabilidad CVE-2025-21204

Microsoft ha actualizado su aviso de seguridad sobre una vulnerabilidad de elevación de privilegios en la activación de procesos de Windows, identificada como CVE-2025-21204.

¿Cómo afecta esta vulnerabilidad?
Este fallo de seguridad se debe a un problema de resolución de enlaces incorrecto en la pila de Windows Update, lo que podría permitir que atacantes locales con bajos privilegios escalen permisos y manipulen archivos en la máquina víctima utilizando la cuenta del sistema NT AUTHORITY.

Microsoft no ha explicado exactamente cómo la carpeta inetpub contribuye a la seguridad del sistema, pero ha asegurado que es parte de las medidas de protección implementadas en esta actualización.

 ¿Qué deben hacer los usuarios?

Si has notado la carpeta C:\inetpub tras instalar la actualización de abril de 2025, no la elimines. Microsoft ha confirmado que su presencia es intencional y que su eliminación podría afectar futuras actualizaciones.

Estaremos atentos a cualquier actualización de Microsoft sobre el propósito exacto de esta carpeta y cómo influye en la seguridad del sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ha comenzado a implementar Veo 2, su innovadora herramienta de inteligencia artificial (IA) para la generación de videos, diseñada para competir con Sora de OpenAI. Este avanzado generador de videos con IA ya está disponible en acceso anticipado para algunos usuarios en los Estados Unidos.

Veo 2: IA avanzada para la creación de videos

Durante el evento Cloud Next 2024, Google confirmó que Veo 2 está listo para producción y que su despliegue continuará progresivamente. Esta herramienta permite a los creadores generar videos realistas a partir de indicaciones escritas, bocetos o imágenes de referencia, ofreciendo resultados con una calidad sorprendente.

Uno de los primeros usuarios en acceder a Veo 2 lo utilizó para convertir un boceto en una animación fluida, demostrando el potencial de la IA para crear contenido visual atractivo. A diferencia de otras herramientas de inteligencia artificial, Veo 2 permite procesar tanto instrucciones simples como complejas, mejorando la precisión y coherencia en los videos generados.

Características y limitaciones de Veo 2

Actualmente, Veo 2 es capaz de generar videos con una resolución de 720p a 24 fotogramas por segundo (fps), lo que garantiza una calidad aceptable para contenido digital. Sin embargo, existen algunas limitaciones clave:

Duración máxima de 8 segundos por clip, lo que restringe su uso en producciones más largas.

Costo de 0,35 dólares por segundo de video generado, lo que implica una inversión para quienes deseen experimentar con esta tecnología.

¿Cómo acceder a Veo 2?

Si estás interesado en probar Veo 2, puedes hacerlo a través de Google AI Studio, aunque el acceso aún es limitado. Si no te encuentras en EE. UU., es posible que necesites una VPN para desbloquear la función y explorar sus capacidades.

¿Veo 2 llegará a Gemini?

Según reportes de BleepingComputer, Google planea integrar las funciones de Veo 2 en su modelo de IA Gemini, aunque no ha anunciado una fecha específica para esta actualización.

Este avance representa un paso significativo en la evolución de la inteligencia artificial aplicada a la generación de contenido audiovisual, brindando a creadores y profesionales del video una herramienta poderosa para innovar en sus proyectos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han identificado un parche incompleto para la vulnerabilidad CVE-2024-0132 en NVIDIA Container Toolkit, lo que deja expuestos datos confidenciales y permite ataques de escape de contenedores en sistemas Linux con Docker.

Detalles de la vulnerabilidad CVE-2025-23359

📌 Clasificación: Vulnerabilidad de tiempo de verificación y tiempo de uso (TOCTOU).
📌 Puntuación CVSS: 9.0 (crítica).
📌 Versión afectada: NVIDIA Container Toolkit 1.17.4.
📌 Condición de explotación: La opción allow-cuda-compat-libs-from-container debe estar activada.

Impacto:

• Permite a los atacantes escalar privilegios y ejecutar código con permisos de root en el host.
• Puede explotarse para acceder al sistema de archivos del host.
• Afecta entornos Docker en Linux, generando riesgos adicionales.

Fallos en la mitigación de NVIDIA y nuevo riesgo de denegación de servicio (DoS)

En septiembre de 2024, NVIDIA lanzó un parche para CVE-2024-0132, pero un análisis reciente de Trend Micro y Wiz reveló que la corrección es incompleta, permitiendo aún la explotación del fallo.

Además, los investigadores han descubierto un problema de rendimiento que podría llevar a una denegación de servicio (DoS) en máquinas host con Docker en Linux.

Cómo ocurre el problema de DoS en Docker:

✔️ Se crean múltiples montajes con bind-propagation=shared.
✔️ No se eliminan las entradas en la tabla de montaje de Linux tras la finalización del contenedor.
✔️ Esto provoca un crecimiento incontrolado de la tabla de montaje, agotando los descriptores de archivos (fd).
✔️ Resultado: Docker deja de funcionar y los usuarios pierden acceso al sistema host, incluso a través de SSH.

Recomendaciones para mitigar los riesgos

Para reducir el impacto de estas vulnerabilidades en NVIDIA Container Toolkit y Docker en Linux, se recomienda:

🔹 Supervisar la tabla de montaje de Linux para detectar crecimientos anormales.
🔹 Restringir el acceso a la API de Docker solo a personal autorizado.
🔹 Aplicar políticas de control de acceso sólidas para evitar la ejecución de código malicioso.
🔹 Auditar regularmente los enlaces entre el sistema de archivos del contenedor y el host, los montajes de volumen y las conexiones de socket.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo de ciberespionaje Gamaredon (también conocido como Shuckworm), vinculado a Rusia, ha llevado a cabo un ciberataque dirigido contra una misión militar extranjera en Ucrania. El objetivo era desplegar una versión mejorada del malware GammaSteel, un peligroso ladrón de información.

Detalles del ataque de Gamaredon

🔍 Objetivo: Misión militar de un país occidental en Ucrania.
📅 Fecha de detección: 26 de febrero de 2025.
🛠� Vector de infección: Unidad extraíble infectada, según el informe de Symantec Threat Hunter.

El ataque comenzó con la manipulación del Registro de Windows, utilizando mshta.exe para ejecutar una cadena de infección en varias etapas.

Fases del ataque y funcionamiento del malware

1️⃣ Infección inicial:

• Se crea un valor en el Registro de Windows (UserAssist).
• Se ejecuta mshta.exe desde explorer.exe para iniciar la cadena de infección.

2️⃣ Carga maliciosa:

Se descargan y ejecutan dos archivos clave:

• NTUSER.DAT.TMContainer000000000000000000001.regtrans-ms

• Se conecta a servidores C2 (comando y control) mediante plataformas legítimas como Teletype, Telegram y Telegraph.
• NTUSER.DAT.TMContainer000000000000000000002.regtrans-ms
• Infecta unidades extraíbles y redes compartidas creando accesos directos maliciosos.

3️⃣ Ejecución de comandos y robo de información:

📅 1 de marzo de 2025:

• Se activa un script de PowerShell que exfiltra metadatos y descarga una carga útil codificada en Base64.
• Se conectan a un C2 codificado de forma rígida para obtener nuevos scripts de PowerShell.

4️⃣ Funciones avanzadas de espionaje:

• Captura pantallas del sistema.
• Ejecuta el comando systeminfo para recopilar información del sistema.
• Identifica software de seguridad en ejecución.
• Escanea archivos y carpetas en el Escritorio y Documentos.
• Exfiltra archivos con extensiones específicas mediante la versión mejorada de GammaSteel.

Aumento de la sofisticación de Shuckworm

🔎 Aunque Gamaredon es menos sofisticado que otros actores de amenazas rusos, Symantec destaca su enfoque implacable en objetivos ucranianos.

💡 Estrategias utilizadas para evadir detección:
✔️ Modificaciones constantes en su código malicioso.
✔️ Ofuscación avanzada del malware.
✔️ Uso de servicios web legítimos para dificultar su identificación.

En fin, el ciberataque de Gamaredon refuerza la creciente amenaza de grupos de ciberespionaje vinculados a Rusia. La evolución de GammaSteel demuestra un esfuerzo continuo por mejorar sus tácticas de evasión y persistencia.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Flipper Devices, la empresa detrás del popular Flipper Zero, ha presentado BUSY Bar, una innovadora herramienta de productividad de código abierto diseñada para minimizar distracciones y mejorar la concentración de personas con TDAH (Trastorno por Déficit de Atención e Hiperactividad).

¿Qué es BUSY Bar y cómo ayuda a las personas con TDAH?

El TDAH puede dificultar la concentración, aumentar la desorganización y generar impulsividad. BUSY Bar está diseñado para reducir las interrupciones y ayudar a las personas con este trastorno a enfocarse mediante bloques de trabajo cronometrados.

Este dispositivo integra:


✅ Pantalla LED para mostrar estados de enfoque.
✅ Botones fidget para canalizar la inquietud.
✅ Temporizador Pomodoro para sesiones de trabajo estructuradas.
✅ Sincronización con la app BUSY (iOS y Android) para silenciar notificaciones.
✅ Integración con Apple y Google Home para controlar la iluminación, música y dispositivos inteligentes.

Cuando se activa el Modo OCUPADO, BUSY Bar bloquea llamadas, transmisiones en vivo y programas, mostrando un mensaje de ocupado personalizado con un temporizador de cuenta regresiva. Todas las notificaciones se silencian automáticamente, evitando interrupciones mientras el usuario trabaja.

Beneficios de BUSY Bar para la productividad y concentración

Según Pavel Zhovner, CEO de Flipper Devices, la misión de BUSY Bar es crear una herramienta personalizable y práctica para mantener el enfoque.

"El cambio de contexto consume mucha energía. Si te interrumpen mientras escribes un correo o te concentras en una tarea, es difícil recuperar la atención. BUSY Bar ayuda a minimizar distracciones y gestionar interrupciones, permitiéndote mantenerte en la zona".

Lanzamiento y precio de BUSY Bar

• Preventa abierta en el sitio web oficial por $249.
• Campaña en Kickstarter próximamente, con ofertas especiales y ventajas exclusivas.
• Primeras unidades listas para envío antes de fin de año.

Este es el segundo dispositivo de hardware de Flipper Devices, tras el éxito de Flipper Zero, que ha vendido más de 500,000 unidades y generado más de $100 millones en ingresos desde 2020.

En fin, BUSY Bar se perfila como una solución innovadora para mejorar la productividad y concentración, especialmente en personas con TDAH. Su integración con dispositivos inteligentes y su enfoque en la reducción de distracciones lo convierten en una herramienta clave para optimizar el rendimiento diario.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Meta ha alertado a los usuarios de WhatsApp para Windows sobre una grave vulnerabilidad de seguridad identificada como CVE-2025-30401. Este fallo permite a los atacantes ejecutar código malicioso en dispositivos Windows mediante el envío de archivos alterados.

¿En qué consiste la vulnerabilidad CVE-2025-30401?

El problema, clasificado como un fallo de suplantación de identidad, afectó a todas las versiones de WhatsApp antes de la actualización 2.2450.6. Meta explicó que la vulnerabilidad permitía a WhatsApp mostrar archivos adjuntos según su tipo MIME, pero abría los archivos según su extensión de nombre, lo que podía llevar a la ejecución inadvertida de código malicioso.

WhatsApp 2.2450.6: la actualización de seguridad recomendada

Meta ha solucionado este problema con la última versión WhatsApp 2.2450.6. La compañía recomienda actualizar de inmediato para evitar posibles ataques.

Este fallo fue detectado por un investigador externo a través del programa de recompensas por errores (Bug Bounty) de Meta. Hasta el momento, no hay evidencia de que haya sido explotado en la naturaleza.

Historial de vulnerabilidades en WhatsApp

Esta no es la primera vez que WhatsApp se enfrenta a problemas de seguridad graves:

• Julio de 2024: Se corrigió un fallo similar que permitía la ejecución automática de archivos Python y PHP en Windows.
• Ataques de spyware: Investigadores del Citizen Lab de la Universidad de Toronto reportaron un ataque de día cero y cero clic que instalaba el spyware Graphite de Paragon en dispositivos vulnerables.
• Enero de 2025: WhatsApp notificó a 90 usuarios de Android en más de 24 países que habían sido atacados con spyware de Paragon.
• NSO Group y Pegasus: Documentos judiciales revelaron que el grupo israelí NSO explotó vulnerabilidades de WhatsApp para distribuir el spyware Pegasus, atacando al menos 1.400 dispositivos.

¿Cómo proteger tu WhatsApp en Windows?

Para evitar riesgos, es fundamental:

✅ Actualizar WhatsApp a la versión 2.2450.6 o superior.
✅ Evitar abrir archivos sospechosos o enviados por contactos desconocidos.
✅ Mantener actualizado el sistema operativo Windows y el software de seguridad.

Las amenazas a WhatsApp y la ciberseguridad continúan evolucionando. Mantente informado y protege tu privacidad con actualizaciones constantes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cisco ha instado a los administradores a actualizar de inmediato la vulnerabilidad crítica en Cisco Smart Licensing Utility (CSLU), que expone una cuenta de administrador de puerta trasera actualmente utilizada en ataques cibernéticos.

¿Qué es Cisco Smart Licensing Utility (CSLU)?

CSLU es una aplicación de Windows diseñada para gestionar licencias y productos sin necesidad de conectarse a la plataforma en la nube Cisco Smart Software Manager.

Detalles de la vulnerabilidad CVE-2024-20439

Esta vulnerabilidad, identificada como CVE-2024-20439, fue parcheada en septiembre de 2024. Se trata de una credencial de usuario estática no documentada que otorga a atacantes no autenticados acceso remoto con privilegios de administrador a través de la API de CSLU.

• Afecta únicamente a versiones vulnerables de CSLU.
• Solo puede explotarse si el usuario inicia la aplicación (no se ejecuta en segundo plano por defecto).

El investigador de amenazas de Aruba, Nicholas Starke, llevó a cabo ingeniería inversa de la vulnerabilidad dos semanas después del lanzamiento del parche y publicó detalles técnicos, incluida la contraseña decodificada.

Ataques en curso y advertencia de Cisco

En marzo de 2025, Cisco PSIRT detectó intentos de explotación activa de esta vulnerabilidad. La compañía enfatiza la importancia de actualizar a la versión corregida para prevenir ataques.

Explotación encadenada con CVE-2024-20440

Investigaciones adicionales del Instituto de Tecnología SANS, dirigidas por Johannes Ullrich, han identificado que los atacantes combinan CVE-2024-20439 con otra vulnerabilidad crítica, CVE-2024-20440. Esta segunda falla permite a atacantes no autenticados acceder a archivos de registro con información confidencial, incluidas credenciales de API, mediante solicitudes HTTP maliciosas.

• En marzo de 2025, Ullrich detectó campañas activas explotando ambas vulnerabilidades.
• La combinación de estos ataques incrementa significativamente el riesgo de acceso no autorizado y robo de datos.

Recomendaciones y medidas de seguridad

El Centro de Seguridad Cibernética y de Infraestructura (CISA) de EE.UU. ha agregado CVE-2024-20439 a su catálogo de vulnerabilidades explotadas conocidas. Las agencias federales deben actualizar sus sistemas antes del 21 de abril de 2025 para mitigar el riesgo de ataques.

Cisco ha eliminado anteriormente credenciales codificadas en otros productos como:

• IOS XE
• Wide Area Application Services (WAAS)
• Digital Network Architecture (DNA) Center
• Emergency Responder

La vulnerabilidad en Cisco Smart Licensing Utility representa un riesgo significativo para las organizaciones que aún no han aplicado los parches de seguridad. Se recomienda encarecidamente actualizar de inmediato y revisar configuraciones de seguridad para prevenir accesos no autorizados. Mantener el software actualizado y monitorear actividad sospechosa es clave para fortalecer la ciberseguridad empresarial.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El 11 de marzo de 2025, las autoridades alemanas cerraron Kidflix, una de las mayores plataformas de la web oscura utilizadas para alojar, compartir y transmitir material de abuso sexual infantil (CSAM). Este operativo fue parte de la Operación Stream, una acción conjunta internacional encabezada por la Policía Criminal Estatal de Baviera (Bayerisches Landeskriminalamt) y la Oficina Central de Baviera para el Enjuiciamiento de la Ciberdelincuencia (ZCB).

¿Qué es la Operación Stream?

Iniciada en 2022, la Operación Stream ha sido clave en la lucha contra la distribución de CSAM en la dark web. La investigación ha resultado en:

• 79 detenciones
• 1.393 sospechosos identificados
• Más de 3.000 dispositivos electrónicos incautados (del 10 al 23 de marzo de 2025)

El Centro Europeo de Ciberdelincuencia (EC3) de Europol también participó en la operación, analizando miles de vídeos para recopilar pruebas y apoyar la investigación.

Impacto del cierre de Kidflix

Entre abril de 2022 y marzo de 2025, 1,8 millones de usuarios accedieron a Kidflix. El 11 de marzo, las autoridades incautaron los servidores, que almacenaban aproximadamente 72.000 vídeos en ese momento. Además, se identificó que algunos de los detenidos no solo consumían y compartían contenido, sino que también abusaban activamente de menores.

Citar"La información sobre los sospechosos se ha compartido con autoridades de 35 países, quienes han realizado advertencias oficiales", informó la Policía Nacional holandesa.

El cruce de datos con bases de Europol reveló que muchos de los implicados ya eran delincuentes reincidentes, demostrando la gravedad del problema.

Kidflix: Funcionamiento y Monetización en la Dark Web

Desde su lanzamiento en 2021, Kidflix alojó más de 91.000 vídeos únicos, con un tiempo total de reproducción de 6.288 horas. Se estima que se subían 3,5 vídeos nuevos por hora, muchos de ellos desconocidos para las fuerzas del orden.

A diferencia de otras plataformas similares, Kidflix permitía a los usuarios no solo descargar contenido, sino también transmitirlo en streaming. Los delincuentes utilizaban criptomonedas para realizar pagos, las cuales se convertían en tokens dentro del sistema.

Citar"Los usuarios podían ganar tokens al subir contenido, verificar títulos y descripciones, y categorizar videos. Estos tokens luego se usaban para acceder a material de mayor calidad", detalló Europol.

Cada video estaba disponible en múltiples versiones (baja, media y alta calidad), permitiendo a los usuarios pagar una tarifa para desbloquear las versiones de mayor resolución.

Relación con la Operación Cumberland y la Lucha Contra el CSAM


En febrero de 2025, otra operación internacional, la Operación Cumberland, llevó a la detención de 25 sospechosos vinculados a la distribución de material de abuso sexual infantil generado por IA. Durante el operativo:

• Se identificaron 273 presuntos miembros de esta red criminal.
• Se incautaron 173 dispositivos electrónicos.

Europol ha impulsado diversas iniciativas para combatir este delito, incluyendo Stop Child Abuse – Trace An Object, que permite a la ciudadanía aportar información para identificar objetos relacionados con investigaciones en curso. Por su parte, la Policía Federal Australiana lanzó su propia versión de esta iniciativa en 2021, enfocándose en la región de Asia-Pacífico.

En conclusión, el cierre de Kidflix y la Operación Stream representan un gran avance en la lucha contra el CSAM en la web oscura. Sin embargo, la constante evolución de las plataformas ilícitas y la aparición de nuevas tecnologías, como la IA generativa, plantean desafíos adicionales para las autoridades. La cooperación internacional sigue siendo clave para identificar y procesar a los responsables, así como para proteger a las víctimas de estos crímenes atroces.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores en ciberseguridad han revelado detalles sobre ImageRunner, una vulnerabilidad de escalada de privilegios en Google Cloud Platform (GCP) Cloud Run que podría haber permitido a atacantes acceder a imágenes de contenedores privadas e inyectar código malicioso.

¿Cómo funcionaba ImageRunner?

La vulnerabilidad permitía que ciertas identidades con permisos de edición en revisiones de Cloud Run abusaran de sus privilegios para extraer imágenes privadas de Google Artifact Registry y Google Container Registry dentro de la misma cuenta.

Según Liv Matan, investigadora de seguridad en Tenable, este fallo ya ha sido corregido por Google a partir del 28 de enero de 2025, tras una divulgación responsable.

¿Qué es Google Cloud Run y por qué era vulnerable?

Google Cloud Run es un servicio sin servidor que ejecuta aplicaciones en contenedores de manera escalable. Para su implementación, las imágenes de los contenedores se extraen de Artifact Registry o Docker Hub.

El problema radicaba en que algunas identidades con permisos de edición en revisiones de Cloud Run podían modificar servicios y forzar la implementación de imágenes privadas, aunque no tuvieran permisos explícitos en el registro de contenedores.

Cada vez que se crea o actualiza un servicio en Cloud Run:

• Se genera una nueva revisión.
• Se utiliza una cuenta de agente de servicio para extraer las imágenes necesarias.

Si un atacante conseguía los permisos run.services.update e iam.serviceAccounts.actAs, podía modificar un servicio y forzar la extracción de imágenes privadas, accediendo a datos sensibles y, potencialmente, inyectando código malicioso para:

• Exfiltrar datos confidenciales.
• Robar secretos almacenados en contenedores.
• Abrir un shell inverso para tomar el control del sistema.

Parche de seguridad y mitigación

Google ha lanzado una actualización que ahora requiere permisos explícitos para acceder a imágenes de contenedores al crear o actualizar servicios de Cloud Run. En su comunicado, la empresa indicó que:

Citar"La entidad principal (cuenta de usuario o servicio) que crea o actualiza un recurso de Cloud Run ahora necesita permiso explícito para acceder a las imágenes de contenedor".

Para garantizar la seguridad, Google recomienda asignar el rol roles/artifactregistry.reader en IAM a cualquier entidad que necesite acceder a imágenes de contenedores.

ImageRunner y los riesgos en servicios en la nube

Tenable describe ImageRunner como un caso de Jenga, un fenómeno donde la interconexión de servicios en la nube puede hacer que vulnerabilidades en un servicio se propaguen a otros.

Citar"Los proveedores de la nube construyen sus servicios sobre otros existentes. Si un servicio es atacado, los demás que dependen de él heredan el riesgo", explicó Matan.

Esto abre nuevas oportunidades para la escalada de privilegios, generando riesgos ocultos que pueden ser explotados por atacantes avanzados.

Relación con vulnerabilidades en Azure

La revelación de ImageRunner ocurre poco después de que Praetorian expusiera diversas formas en que atacantes con privilegios bajos pueden comprometer máquinas virtuales en Azure para escalar privilegios:

• Ejecutar comandos en una máquina virtual con identidad administrada administrativa.
• Iniciar sesión en una máquina virtual con identidad administrada administrativa.
• Adjuntar una identidad administrada administrativa a una máquina virtual existente y ejecutar comandos.
• Crear una nueva máquina virtual, adjuntarle una identidad administrada existente y ejecutar comandos con permisos elevados.

Según los investigadores de seguridad Andrew Chang y Elgin Lee, una vez que un atacante obtiene el rol de propietario de una suscripción de Azure, puede utilizar su acceso para escalar privilegios dentro de Entra ID, comprometiendo aún más la seguridad de la nube.

En conclusión, las vulnerabilidades como ImageRunner resaltan los riesgos de permisos mal configurados en entornos en la nube. Tanto en Google Cloud como en Azure, la seguridad debe enfocarse en:

• Control estricto de permisos IAM.
• Auditoría regular de accesos y configuraciones.
• Uso de roles mínimos necesarios para cada entidad.

Dado el creciente número de ataques en la nube, las organizaciones deben reforzar sus estrategias de seguridad para mitigar riesgos y evitar posibles brechas de datos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores en ciberseguridad han identificado una botnet de minería de criptomonedas de propagación automática llamada Outlaw (también conocida como Dota), conocida por atacar servidores SSH con credenciales débiles.

¿Qué es Outlaw y cómo funciona?


Outlaw es un malware para Linux que emplea ataques de fuerza bruta SSH, técnicas de minería de criptomonedas y capacidades de gusano para infectar sistemas y mantener el control sobre ellos. De acuerdo con un informe de Elastic Security Labs, este malware sigue activo y evolucionando.

Outlaw no solo se refiere al malware, sino también al grupo de hackers detrás de esta campaña. Se cree que este colectivo tiene origen rumano y comparte el panorama del cryptojacking con otros grupos como 8220, Keksec (Kek Security), Kinsing y TeamTNT.

Métodos de ataque y persistencia

Activo desde 2018, Outlaw compromete servidores SSH mediante ataques de fuerza bruta y, una vez dentro, asegura persistencia agregando claves SSH propias en el archivo authorized_keys. Además, los atacantes emplean un proceso de infección en múltiples etapas:

• Uso de un script de shell (tddwrt7s.sh) para descargar y descomprimir un paquete (dota3.tar.gz).
• Ejecución de un minero de criptomonedas y eliminación de rastros de ataques previos.
• Interrupción de procesos competidores, garantizando el uso exclusivo de los recursos del sistema.

Autopropagación y vulnerabilidades explotadas

Uno de los componentes más peligrosos de Outlaw es BLITZ, un módulo que permite la propagación automática del malware a través del escaneo de sistemas vulnerables con servicios SSH expuestos. Este módulo emplea técnicas de fuerza bruta, obteniendo listas de objetivos desde un servidor de comando y control (C2) para expandir la infección.

Algunas variantes del ataque también explotan vulnerabilidades en sistemas Linux y Unix, incluyendo CVE-2016-8655 y CVE-2016-5195 (Dirty COW), además de comprometer dispositivos con credenciales Telnet débiles.

Control remoto y minería eficiente

Outlaw utiliza SHELLBOT, una herramienta que permite el control remoto a través de IRC, facilitando la ejecución de comandos arbitrarios, descarga de cargas útiles adicionales, ataques DDoS, robo de credenciales y exfiltración de datos sensibles.

Para optimizar su operación minera, el malware analiza la CPU del sistema infectado y activa páginas de memoria enormes en todos los núcleos del procesador. También emplea un binario denominado kswap01 para garantizar comunicaciones persistentes con la infraestructura del atacante.

En conclusión, a pesar de utilizar técnicas relativamente simples como fuerza bruta SSH, manipulación de claves SSH y persistencia basada en cron, Outlaw sigue siendo una amenaza activa. Este malware despliega mineros XMRig modificados, utiliza IRC para C2 e integra scripts públicos para evadir detecciones y asegurar su permanencia en los sistemas infectados.

La continua evolución de Outlaw y su capacidad de autopropagación lo convierten en una amenaza persistente dentro del ecosistema de la minería ilícita de criptomonedas. Las organizaciones deben fortalecer sus medidas de seguridad en servidores SSH, aplicar parches de seguridad y utilizar soluciones avanzadas de detección para mitigar riesgos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Unidad de Investigación de Amenazas (TRU) de Acronis ha identificado una nueva cadena de ciberamenazas, caracterizada por el uso de malware sofisticado y técnicas avanzadas de ofuscación. Este análisis detalla un proceso de infección de varias etapas que involucra Visual Basic Script (VBS), archivos por lotes y PowerShell, con el objetivo final de implementar amenazas como DCRat y Rhadamanthys Infostealer.

Fase inicial: phishing con archivo adjunto malicioso

El ataque comienza con un correo electrónico de phishing que incluye un archivo adjunto RAR titulado "Citación por embargo de cuenta". Este nombre engañoso busca incitar a los usuarios a abrir el archivo. Una vez extraído, revela un script VBS altamente ofuscado, que da inicio a una cadena de entrega de malware.

Estrategia de entrega de malware en varias etapas

• Ejecución de VBS: Genera un archivo por lotes (BAT) y transfiere el control.
• Ejecución de BAT: Construye una cadena codificada en Base64 y la ejecuta a través de PowerShell.
• PowerShell: Decodifica y carga un ejecutable .NET en memoria mediante la técnica RunPE, evitando la detección tradicional.

La carga maliciosa está protegida con un empaquetador .NET personalizado y contiene datos cifrados, descifrados con XOR (0x78), una técnica común en criptografía.

Riesgos y evasión de detección

El despliegue de DCRat y Rhadamanthys Infostealer mediante esta cadena de ataque representa una amenaza crítica para la seguridad de los sistemas. La combinación de lenguajes de scripting y técnicas de ofuscación permite evadir las soluciones de seguridad convencionales, facilitando el robo de datos y el acceso no autorizado.

Soluciones de seguridad para mitigar ataques avanzados

Para combatir estas amenazas, es esencial una estrategia de seguridad multicapa, que incluya:

• Filtrado de correos electrónicos para bloquear archivos adjuntos sospechosos.
• Análisis heurístico y de comportamiento para detectar actividad maliciosa.
• Monitoreo de scripts y carga en memoria para evitar ejecuciones no autorizadas.

La Unidad de Investigación de Amenazas de Acronis trabaja constantemente en el desarrollo de soluciones avanzadas como Acronis Advanced Security + Extended Detection and Response (XDR). Esta tecnología emplea protección en tiempo real y emuladores de scripts para detectar y neutralizar amenazas como DCRat, Rhadamanthys y Remcos antes de que comprometan los sistemas.

Curiosa inclusión de citas filosóficas en el malware


Durante el análisis de PowerShell, se encontraron citas de Friedrich Nietzsche insertadas en el código, posiblemente para distraer a los analistas. Entre ellas:

• "Siempre hay algo de locura en el amor. Pero también siempre hay alguna razón en la locura".
• "En los individuos, la locura es rara; pero en grupos, partidos, naciones y épocas, es la regla".
• "En el cielo, faltan todas las personas interesantes".

A pesar de estas distracciones, la TRU de Acronis logró desofuscar y analizar con éxito el código malicioso, proporcionando una comprensión completa de esta nueva amenaza.

En conclusión, el análisis detallado de DCRat por parte de Acronis TRU pone de manifiesto la creciente sofisticación de los ciberataques modernos. Con el uso de tecnologías avanzadas de detección y respuesta, es posible mitigar estas amenazas antes de que comprometan infraestructuras críticas.

Para una protección efectiva, las organizaciones deben adoptar soluciones de seguridad multicapa y mantenerse actualizadas sobre las técnicas emergentes en ciberseguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un incremento significativo en la actividad de escaneo ha puesto en alerta a los expertos en ciberseguridad. Se ha detectado un gran volumen de intentos dirigidos a los portales de inicio de sesión GlobalProtect de Palo Alto Networks, lo que podría indicar un ataque inminente o la explotación de una vulnerabilidad crítica.

Escaneo masivo detectado por GreyNoise

La firma de monitoreo de amenazas GreyNoise ha identificado más de 24.000 direcciones IP de origen involucradas en esta actividad sospechosa. El punto máximo se alcanzó el 17 de marzo de 2025, con 20.000 direcciones IP únicas escaneando en un solo día, y la actividad continuó a un nivel elevado hasta el 26 de marzo.

De estas direcciones IP:

• 23.800 han sido catalogadas como "sospechosas".
• 154 fueron confirmadas como "maliciosas".

Estos datos evidencian la posibilidad de un ataque planificado o una evaluación preliminar de vulnerabilidades en los sistemas objetivo.

Origen del escaneo y patrones detectados

Los intentos de escaneo provienen mayormente de Estados Unidos y Canadá, con los servidores objetivo concentrados en Estados Unidos y otros países.

GreyNoise ha identificado un patrón consistente en los últimos 18 a 24 meses, donde actividades de escaneo como esta preceden la divulgación de vulnerabilidades de 2 a 4 semanas después. Según Bob Rudis, vicepresidente de Ciencia de Datos de GreyNoise, esta táctica sugiere un intento de reconocimiento previo a una explotación dirigida.

Relación con otras amenazas y campañas previas

El 26 de marzo de 2025, también se detectó un aumento en la actividad de escaneo relacionada con un rastreador PAN-OS, con 2.580 IP involucradas. Este evento guarda similitudes con la campaña de espionaje atribuida al grupo de hackers 'ArcaneDoor', investigada por Cisco Talos hace un año, y que afectó dispositivos periféricos.

Recomendaciones para administradores de Palo Alto Networks

Ante esta situación, los expertos en ciberseguridad recomiendan:

• Revisar los registros desde mediados de marzo para detectar accesos sospechosos.
• Buscar signos de compromiso en los sistemas afectados.
• Fortalecer la seguridad de los portales de inicio de sesión GlobalProtect.

• Bloquear direcciones IP maliciosas, siguiendo el listado compartido en el informe de GreyNoise.

BleepingComputer ha solicitado comentarios a Palo Alto Networks y actualizará esta información en caso de recibir una respuesta.

Mantente alerta ante este posible ataque cibernético y refuerza la seguridad de tu red para evitar riesgos potenciales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los ciberdelincuentes están explotando el directorio "mu-plugins" en sitios de WordPress para ocultar código malicioso y garantizar acceso remoto persistente, redirigiendo a los visitantes a sitios fraudulentos.

¿Qué es "mu-plugins" y por qué es un objetivo para el malware?

Los "mu-plugins" (Must-Use Plugins) son plugins ubicados en el directorio especial wp-content/mu-plugins que WordPress ejecuta automáticamente sin necesidad de activación manual. Esto los convierte en un objetivo ideal para los atacantes, ya que no aparecen en la interfaz estándar de administración de plugins, dificultando su detección.

Según el investigador de Sucuri, Puja Srivastava, "este enfoque representa una tendencia preocupante, ya que los mu-plugins no figuran en la interfaz estándar de WordPress, lo que los hace menos perceptibles y más fáciles de ignorar durante los controles de seguridad".

Tipos de código malicioso detectado en "mu-plugins"

Sucuri identificó tres tipos de código PHP malicioso dentro de este directorio:

• wp-content/mu-plugins/redirect.php: Redirige a los usuarios a sitios maliciosos externos.
• wp-content/mu-plugins/index.php: Funciona como un shell web para ejecutar código remoto desde GitHub.
• wp-content/mu-plugins/custom-js-loader.php: Inyecta spam y reemplaza imágenes con contenido explícito para manipular el SEO y secuestrar enlaces.

El archivo redirect.php se hace pasar por una actualización de navegador para engañar a los usuarios y distribuir malware capaz de robar datos o lanzar ataques adicionales. Además, los scripts maliciosos identifican si el visitante es un bot para evitar la detección por los motores de búsqueda.

Tendencias en ataques a WordPress

Los sitios de WordPress comprometidos también son utilizados para tácticas como ClickFix, que engaña a los usuarios haciéndoles ejecutar comandos maliciosos de PowerShell en Windows bajo la apariencia de una verificación de Google reCAPTCHA o Cloudflare CAPTCHA. Esta técnica se ha utilizado para distribuir el malware Lumma Stealer.

Otra estrategia común es la inyección de JavaScript malicioso, que puede redirigir a los usuarios a dominios peligrosos o actuar como un skimmer para robar información financiera en formularios de pago.

Vulnerabilidades explotadas en WordPress en 2024

Según un informe de Patchstack, los actores de amenazas han explotado varias vulnerabilidades críticas en WordPress este año:

• CVE-2024-27956 (CVSS 9.9): Ejecución de SQL arbitraria en WordPress Automatic Plugin.
• CVE-2024-25600 (CVSS 10.0): Ejecución remota de código en el tema Bricks.
• CVE-2024-8353 (CVSS 10.0): Inyección de objetos PHP en el complemento GiveWP.
• CVE-2024-4345 (CVSS 10.0): Carga de archivos arbitrarios en Startklar Elementor Addons.

¿Cómo proteger tu sitio de WordPress?

Para reducir el riesgo de estos ataques, se recomienda:

• Actualizar plugins y temas regularmente.
• Auditar el código en busca de malware.
• Utilizar contraseñas seguras y autenticación en dos pasos.
• Implementar un firewall de aplicaciones web (WAF) para bloquear tráfico malicioso.
• Revisar regularmente el directorio mu-plugins en busca de archivos sospechosos.

En conclusión, el uso de "mu-plugins" para ocultar malware representa una amenaza emergente en WordPress. Mantener la seguridad del sitio es esencial para evitar infecciones y garantizar la integridad de los datos y la experiencia del usuario.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) ha identificado un nuevo malware avanzado llamado RESURGE, utilizado en la explotación de una vulnerabilidad recientemente parcheada en Ivanti Connect Secure (ICS).

¿Qué es RESURGE y cómo afecta a Ivanti?

RESURGE es una evolución de SPAWNCHIMERA, un malware previamente identificado, pero con nuevas capacidades que lo hacen aún más peligroso. Según CISA, RESURGE actúa como rootkit, dropper, puerta trasera, bootkit, proxy y tunelizador.

El malware aprovecha la vulnerabilidad CVE-2025-0282, un desbordamiento de búfer basado en pila que afecta a Ivanti Connect Secure, Policy Secure y ZTA Gateways, permitiendo la ejecución remota de código.

Las versiones vulnerables incluyen:

• Ivanti Connect Secure antes de la versión 22.7R2.5
• Ivanti Policy Secure antes de la versión 22.7R1.2
• Ivanti Neurons para pasarelas ZTA anteriores a la versión 22.7R2.3

Conexión con el ecosistema de malware SPAWN

Investigaciones de Mandiant (Google) indican que la vulnerabilidad CVE-2025-0282 ha sido aprovechada para desplegar SPAWN, un ecosistema de malware que incluye variantes como SPAWNANT, SPAWNMOLE y SPAWNSNAIL. Se cree que este conjunto de herramientas está vinculado a UNC5337, un grupo de ciberespionaje asociado con China.

El mes pasado, JPCERT/CC informó que la vulnerabilidad había sido utilizada para propagar SPAWNCHIMERA, una versión más sofisticada del malware. Esta variante unifica los módulos previos e introduce mecanismos avanzados de comunicación a través de sockets de dominio UNIX.

Curiosamente, SPAWNCHIMERA también contenía un mecanismo para parchear CVE-2025-0282, evitando que otros atacantes explotaran la misma vulnerabilidad.

Nuevas capacidades de RESURGE

CISA ha identificado tres nuevos comandos en RESURGE que amplían su funcionalidad:

• Insertarse en "ld.so.preload", manipular archivos y configurar un web shell.
• Uso de web shells para capturar credenciales, crear cuentas, restablecer contraseñas y escalar privilegios.
• Copiar el web shell en el disco de arranque de Ivanti, manipulando la imagen de arranque.

Adicionalmente, CISA ha hallado otros dos artefactos en dispositivos ICS comprometidos:

• SPAWNSLOTH ("liblogblock.so"), que manipula registros del sistema.
• Un binario ELF de 64 bits personalizado ("dsmain"), que extrae una imagen del kernel comprometida.

Implicaciones y medidas de mitigación

La vulnerabilidad CVE-2025-0282 también ha sido explotada como día cero por otro grupo de amenazas vinculado a China, rastreado como Silk Typhoon (antes Hafnium), según Microsoft.

Ante estos hallazgos, se recomienda encarecidamente a las organizaciones actualizar sus dispositivos Ivanti a la última versión y tomar medidas adicionales de seguridad, como:
✅ Restablecer credenciales de cuentas con y sin privilegios.
✅ Rotar contraseñas de usuarios del dominio y cuentas locales.
✅ Revisar y modificar políticas de acceso para restringir privilegios en dispositivos afectados.
✅ Monitorear actividad inusual en cuentas y sistemas críticos.

El constante refinamiento de este malware indica que los atacantes están evolucionando sus tácticas, por lo que es esencial adoptar una estrategia proactiva de ciberseguridad y aplicar parches de seguridad de inmediato.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo malware bancario para Android, denominado Crocodilus, engaña a los usuarios para que proporcionen la frase semilla de su billetera de criptomonedas a través de una falsa advertencia sobre la necesidad de hacer una copia de seguridad.

Cómo funciona Crocodilus

Crocodilus no solo roba credenciales financieras, sino que también tiene capacidades avanzadas para tomar el control total del dispositivo, recolectar datos y ejecutar comandos de manera remota.

Según los investigadores de ThreatFabric, este malware se distribuye mediante un dropper propietario que evade las protecciones de seguridad de Android 13 y versiones posteriores. Este dropper instala el malware sin activar Play Protect y esquiva las restricciones del Servicio de Accesibilidad de Android.

Lo que hace único a Crocodilus es su uso de ingeniería social. Mediante una superposición de pantalla, advierte falsamente a las víctimas que deben hacer una copia de seguridad de su clave de billetera en la configuración dentro de las próximas 12 horas, o perderán el acceso.

"Este truco de ingeniería social guía a la víctima para que navegue hasta su frase semilla, permitiendo que Crocodilus la capture mediante su Registrador de Accesibilidad", explican los investigadores de ThreatFabric. Con esta información, los atacantes pueden tomar el control de la billetera y vaciar los fondos.

Países afectados y método de distribución

Las primeras infecciones de Crocodilus se detectaron en España y Turquía, atacando tanto a billeteras de criptomonedas como a cuentas bancarias locales. Los mensajes de depuración sugieren que el malware podría tener origen turco.

El vector de infección exacto no está claro, pero se cree que las víctimas descargan droppers desde:

• Sitios web maliciosos
• Falsas promociones en redes sociales o SMS
• Tiendas de aplicaciones de terceros

Funcionalidades avanzadas del malware

Una vez activo, Crocodilus abusa del Servicio de Accesibilidad para obtener control del dispositivo, permitiendo:

• Superposiciones falsas sobre apps bancarias y de criptomonedas para robar credenciales.
• Captura de pantalla de Google Authenticator para obtener códigos 2FA.
• Control total del dispositivo mediante comandos remotos.

El malware admite 23 comandos maliciosos, entre ellos:

• Habilitar el desvío de llamadas
• Iniciar aplicaciones específicas
• Enviar SMS masivos a contactos
• Solicitar privilegios de administrador de dispositivos
• Bloquear la pantalla del dispositivo
• Silenciar el sonido o mostrar una superposición negra para ocultar actividad

Además, Crocodilus tiene funcionalidades de Troyano de Acceso Remoto (RAT), permitiendo que sus operadores naveguen por la interfaz, realicen gestos de deslizamiento y manipulen el dispositivo a distancia.

Cómo protegerse de Crocodilus

Aunque actualmente Crocodilus parece estar limitado a España y Turquía, su capacidad para expandirse a más países y aplicaciones es alta. Para evitar ser víctima de este malware, se recomienda:
✅ No descargar APK fuera de Google Play.
✅ Mantener Play Protect activado en todo momento.
✅ Evitar hacer clic en enlaces sospechosos recibidos por SMS o redes sociales.
✅ Revisar los permisos otorgados a las aplicaciones y deshabilitar accesos innecesarios.

Dado su potencial peligro, es crucial que los usuarios de Android adopten buenas prácticas de seguridad para proteger sus dispositivos y credenciales financieras.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha comenzado a probar Quick Machine Recovery, una nueva herramienta de Windows 11 diseñada para corregir automáticamente errores en controladores y configuraciones que impiden que el sistema operativo arranque correctamente.

Una solución para errores críticos en Windows 11

Quick Machine Recovery forma parte de la Iniciativa de Resiliencia de Windows, un esfuerzo de Microsoft para mejorar la estabilidad del sistema y minimizar el tiempo de inactividad. Gracias a herramientas automatizadas, este sistema puede detectar, diagnosticar y corregir fallas críticas sin intervención manual.

Cuando un error impide que Windows 11 se inicie, los dispositivos pueden quedar atrapados en el Entorno de Recuperación de Windows (Windows RE), lo que obliga a los equipos de TI a invertir tiempo en la solución manual de problemas. Con Quick Machine Recovery, Microsoft podrá desplegar correcciones remotas para restaurar el sistema rápidamente sin intervención del usuario.

Cómo funciona Quick Machine Recovery

Microsoft lanzó esta herramienta en el Windows Insider Preview Beta Channel, permitiendo a los Insiders probarla. Una vez habilitada, si un controlador o cambio en la configuración provoca fallos de inicio, el sistema accederá automáticamente a Windows RE y ejecutará Quick Machine Recovery.

La herramienta se conecta a Internet mediante Ethernet o Wi-Fi, enviando los datos de bloqueo a los servidores de Microsoft. A partir del análisis, se pueden aplicar correcciones remotas, como eliminación de controladores problemáticos, actualización de configuraciones o reversión de cambios que impidan el arranque.

Respuesta a fallos globales como el caso CrowdStrike

Quick Machine Recovery surge tras incidentes como la actualización defectuosa de CrowdStrike, que en julio de 2024 generó fallos masivos en millones de dispositivos Windows, causando pantallas azules de la muerte (BSOD) y bucles de reinicio. En esa ocasión, los administradores tuvieron que acceder manualmente a Windows RE o modo seguro para eliminar el controlador problemático.

Con Quick Machine Recovery, Microsoft podría haber desplegado una solución automatizada, evitando el proceso manual y restaurando la operatividad de los equipos de forma rápida y eficiente.

Disponibilidad y personalización

Microsoft ha anunciado que esta función se habilitará por defecto en Windows 11 Home. Para Windows 11 Pro y Enterprise, los administradores podrán personalizar su funcionamiento mediante RemoteRemediation, CSP o a través de reagentc.exe en el propio dispositivo.

Además, la herramienta podrá preconfigurarse con credenciales de red para facilitar la implementación de correcciones y definir la frecuencia con la que los dispositivos afectados se comunican con los servidores de Microsoft en busca de soluciones.

En los próximos días, Microsoft lanzará un paquete de corrección de prueba, permitiendo a los Insiders experimentar en vivo esta nueva funcionalidad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un sofisticado malware para Android, identificado previamente en ataques contra personal militar indio, ha resurgido en una nueva campaña que apunta a usuarios en Taiwán, ocultándose en aplicaciones de chat fraudulentas.

PJobRAT: Robo de Datos en Dispositivos Android

"PJobRAT puede robar mensajes SMS, contactos telefónicos, información del dispositivo y aplicaciones, así como documentos y archivos multimedia de dispositivos Android infectados", señaló Pankaj Kohli, investigador de seguridad en Sophos.

Este malware, documentado por primera vez en 2021, ha sido utilizado para atacar objetivos militares en la India. Sus versiones más recientes han sido disfrazadas como aplicaciones de citas y mensajería instantánea, buscando engañar a sus víctimas. Se cree que su actividad maliciosa se remonta al menos a finales de 2019.

Conexiones con amenazas persistentes avanzadas (APT)

En noviembre de 2021, Meta atribuyó el uso de PJobRAT y Mayhem a SideCopy, un actor de amenazas vinculado con Pakistán y posible subgrupo de Transparent Tribe. Este grupo realizó ataques dirigidos contra personas en Afganistán con vínculos gubernamentales, militares y de seguridad.

"Los atacantes crearon perfiles falsos de mujeres jóvenes para atraer a sus objetivos con engaños románticos, convenciéndolos de hacer clic en enlaces maliciosos o descargar aplicaciones de chat infectadas", indicó Meta.

Funcionalidades avanzadas de PJobRAT

PJobRAT cuenta con capacidades avanzadas para la recolección de datos:

• Acceso a contactos, registros de llamadas y mensajes SMS.
• Ubicación en tiempo real y acceso a archivos multimedia.
• Uso de permisos de accesibilidad para extraer contenido en pantalla.

Campaña reciente: ataques dirigidos a Taiwán

Datos de telemetría de Sophos revelan que la más reciente campaña de PJobRAT se centró en usuarios taiwaneses de Android. Se disfrazó como aplicaciones de chat llamadas SangaalLite y CChat, disponibles para descarga desde sitios web de WordPress. La actividad maliciosa se registró desde enero de 2023 hasta octubre de 2024, con un número reducido de infecciones, lo que sugiere una estrategia de ataque altamente selectiva.

Algunas aplicaciones identificadas incluyen:

• org.complexy.hard
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
• sa.aangal.lite
• net.over.simple

Si bien se desconoce cómo los atacantes persuadieron a las víctimas para descargar estas aplicaciones, se sospecha el uso de técnicas de ingeniería social. Una vez instaladas, las apps solicitan permisos intrusivos para recopilar información y ejecutarse en segundo plano sin interrupción.

Nuevas capacidades del malware


A diferencia de versiones anteriores, PJobRAT ha evolucionado con funcionalidades adicionales:

• Ejecución de comandos de shell: Permite el robo de chats de WhatsApp y el control remoto del dispositivo.
• Doble mecanismo de C2: Utiliza HTTP para enviar datos robados y Firebase Cloud Messaging (FCM) para ejecutar comandos maliciosos.

En fin, a pesar de la aparente interrupción de esta campaña en octubre de 2024, la evolución de PJobRAT demuestra cómo los ciberdelincuentes reconfiguran sus ataques, refinando su malware y adaptando sus estrategias para futuros ataques dirigidos.

Recomendaciones:

• Evitar descargar aplicaciones fuera de Google Play Store.
• Revisar los permisos de las aplicaciones instaladas.
• Utilizar soluciones de seguridad móvil para detectar amenazas.

La ciberseguridad en dispositivos Android sigue siendo un desafío clave, y los usuarios deben estar alerta ante amenazas persistentes como PJobRAT.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores en ciberseguridad han identificado un nuevo malware sofisticado llamado CoffeeLoader, diseñado para descargar y ejecutar cargas útiles secundarias mientras evade las soluciones de seguridad. Según Zscaler ThreatLabz, este malware comparte similitudes con SmokeLoader, otro conocido cargador de malware.

Técnicas avanzadas de evasión

Brett Stone-Gross, director senior de inteligencia de amenazas en Zscaler, explicó que CoffeeLoader utiliza múltiples técnicas para evitar la detección por soluciones de seguridad como antivirus (AV) y Endpoint Detection and Response (EDR). Estas incluyen:

• Uso de un empaquetador especializado que aprovecha la GPU para dificultar el análisis.
• Suplantación de la pila de llamadas para ocultar el origen de las funciones ejecutadas.
• Ofuscación del sueño para evadir monitoreo de comportamiento.
• Empleo de Windows Fibers para alterar la ejecución del código.

Desde su aparición en septiembre de 2024, CoffeeLoader ha integrado un algoritmo de generación de dominios (DGA) como mecanismo de respaldo en caso de que los servidores de comando y control (C2) sean inaccesibles.

Método de infección y persistencia

La infección comienza con un dropper que ejecuta una DLL empaquetada por Armoury (ArmouryAIOSDK.dll o ArmouryA.dll) con privilegios elevados. Si el dropper no cuenta con permisos suficientes, intentará eludir el Control de Cuentas de Usuario (UAC).

Para mantener la persistencia en el sistema, CoffeeLoader crea una tarea programada que se ejecuta al iniciar sesión o cada 10 minutos. Posteriormente, un stager carga el módulo principal, que implementa avanzadas técnicas de evasión.

Objetivo y vínculos con SmokeLoader

El propósito final de CoffeeLoader es conectarse a un servidor C2 a través de HTTPS para recibir y ejecutar comandos maliciosos, como la inyección de shellcode de Rhadamanthys.

Zscaler encontró similitudes en el código entre CoffeeLoader y SmokeLoader, lo que sugiere que este nuevo malware podría ser su evolución tras la caída de su infraestructura en 2023. Sin embargo, la relación exacta entre ambas amenazas aún no está confirmada.

Campañas de distribución de malware relacionadas

El descubrimiento de CoffeeLoader coincide con otras amenazas recientes, como:

• Phishing masivo: Seqrite Labs detectó una campaña de correo electrónico malicioso diseñada para propagar el malware Snake Keylogger, capaz de robar credenciales y otra información sensible.
• Ataques a criptotraders: Un grupo de ciberdelincuentes ha utilizado publicaciones en Reddit para engañar a usuarios con versiones pirateadas de TradingView, distribuyendo malware como Lumma y Atomic en sistemas Windows y macOS.

Este avance resalta la creciente sofisticación de las amenazas cibernéticas y la importancia de implementar estrategias robustas de ciberseguridad para proteger sistemas y datos sensibles.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se han descubierto tres vulnerabilidades en las restricciones de espacios de nombres de usuario sin privilegios en Ubuntu Linux, lo que podría permitir a atacantes locales explotar fallos en el kernel. Estos problemas afectan a Ubuntu 23.10 y 24.04, donde estas restricciones están habilitadas por defecto.

Los espacios de nombres de usuario en Linux permiten actuar como root dentro de un entorno aislado sin privilegios en el sistema host. Ubuntu introdujo restricciones basadas en AppArmor en la versión 23.10 y las activó por defecto en la versión 24.04 para minimizar riesgos. Sin embargo, investigadores de Qualys han identificado tres métodos para eludir estas protecciones.

Métodos de elusión de seguridad en Ubuntu

• Explotación mediante aa-exec: Algunos perfiles de AppArmor, como trinity, chrome o flatpak, permiten la creación de espacios de nombres sin restricciones. Un atacante puede utilizar el comando unshare a través de aa-exec en estos perfiles para aumentar sus privilegios.
• Uso de busybox: El shell de busybox, instalado por defecto en Ubuntu, opera bajo un perfil de AppArmor permisivo que permite la creación de espacios de nombres. Al ejecutarlo con unshare, un usuario sin privilegios puede obtener capacidades administrativas completas.
• Abuso de LD_PRELOAD: Mediante la inyección de una biblioteca compartida personalizada en un proceso confiable (como Nautilus), un atacante puede crear un espacio de nombres privilegiado, evitando las restricciones de AppArmor.

Estas omisiones facilitan la explotación de vulnerabilidades en el kernel, aunque por sí solas no permiten el control total del sistema.

Respuesta y mitigaciones de Canonical

Canonical ha reconocido los hallazgos de Qualys, señalando que no los consideran vulnerabilidades críticas, sino limitaciones de un mecanismo de defensa en profundidad. Por ello, las mejoras en AppArmor se implementarán según el cronograma habitual y no como parches de seguridad urgentes.

Para mitigar estos riesgos, Canonical recomienda:

• Habilitar kernel.apparmor_restrict_unprivileged_unconfined=1 para bloquear el abuso de aa-exec.
• Deshabilitar perfiles amplios de AppArmor para busybox y Nautilus.
• Aplicar un perfil más restrictivo de bwrap en aplicaciones que dependen de espacios de nombres.
• Utilizar aa-status para identificar y deshabilitar otros perfiles de riesgo.

Estas medidas pueden reducir el impacto de estas omisiones de seguridad en Ubuntu Linux. Se recomienda a los administradores aplicar las mitigaciones lo antes posible para evitar posibles ataques.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha resuelto un problema en el nuevo cliente de correo electrónico de Outlook para Windows que provocaba bloqueos al hacer clic en el botón "Ir a Outlook clásico". La compañía confirmó que esta falla, que impedía abrir el artículo de soporte sobre la descarga de la versión clásica, ya ha sido corregida.

El error, reportado inicialmente el 12 de marzo, cerraba la aplicación de manera inesperada si el Outlook clásico no estaba instalado en el sistema. Microsoft recomienda que los usuarios que deseen seguir utilizando la versión clásica descarguen el cliente independiente de Outlook o lo instalen a través de Microsoft Store. Para cuentas profesionales o educativas, se sugiere contactar al administrador de TI.

Otros problemas recientes en Outlook

El mes pasado, Microsoft solucionó otro error que afectaba la función de arrastrar y soltar correos electrónicos después de las actualizaciones de Windows 24H2. Además, ha abordado fallos que causaban bloqueos en las aplicaciones de Outlook y Microsoft 365 en sistemas Windows Server 2016 y 2019, así como errores que provocaban cierres inesperados al escribir, responder o reenviar correos.

En diciembre, Microsoft anunció que la nueva aplicación de escritorio de Microsoft 365 incluirá automáticamente el nuevo Outlook, junto con el cliente clásico. Además, recomendó a los administradores modificar sus configuraciones para evitar la instalación del nuevo cliente en entornos donde no sea necesario.

Forzando la instalación del nuevo Outlook en Windows 10

En enero de 2025, Microsoft comenzará a instalar automáticamente el nuevo Outlook en dispositivos con Windows 10 tras la actualización KB5050081. Este cambio, anunciado a principios de enero, se aplicará de manera general tras la actualización de seguridad de febrero de 2025.

Para más detalles sobre cómo evitar la transición al nuevo Outlook y gestionar otras configuraciones, visita el sitio web de soporte de Microsoft.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

LibreOffice 25.2. Esta nueva versión se centra en mejorar la estabilidad, corregir errores y optimizar la compatibilidad con diversos formatos de documentos.

A continuación, te detallamos todas las novedades y mejoras de LibreOffice 25.2.2.

Novedades de LibreOffice 25.2.2

✅ Corrección de 83 errores para mejorar la fiabilidad en todas sus aplicaciones.
✅ Mejor compatibilidad con archivos DOCX, XLSX, PPTX y PDF.
✅ Optimización del procesamiento de texto y de la interfaz de usuario.
✅ Mejoras en la edición de documentos largos, evitando fallos de representación.
✅ Correcciones en la versión para Mac con Apple Silicon.

📅 Próxima actualización: LibreOffice 25.2.3, prevista para finales de abril o mayo de 2025.

Nueva Función de Privacidad: Eliminación de Datos Personales

Desde la llegada de la serie LibreOffice 25.2, se ha incorporado una función de privacidad que elimina automáticamente datos personales de los documentos. Esta herramienta ayuda a proteger la información sensible al compartir archivos.

Los datos eliminados incluyen:

• Nombre del autor y ediciones previas.
• Tiempo de edición y marcas de cambios rastreados.
• Nombres de impresoras y configuraciones de impresión.
• Metadatos relacionados con comentarios y anotaciones.

Esta funcionalidad es especialmente útil para usuarios y empresas que manejan documentos confidenciales.

Descarga y Disponibilidad

¿Cómo actualizar LibreOffice 25.2.2?

• Disponible para descarga gratuita en el sitio oficial de The Document Foundation.
• Archivos binarios compatibles con sistemas DEB y RPM para GNU/Linux.
• Usuarios de distribuciones Linux pueden esperar la actualización en los repositorios oficiales.

* LibreOffice 25.2 recibirá siete actualizaciones de mantenimiento hasta el 30 de noviembre de 2025.

LibreOffice Enterprise para Empresas

The Document Foundation recuerda que LibreOffice se ofrece en su edición comunitaria, mantenida por voluntarios. Para entornos empresariales, recomiendan LibreOffice Enterprise, que cuenta con soporte técnico especializado y asistencia de socios del ecosistema.

LibreOffice 25.2.2 sigue fortaleciendo su estabilidad, compatibilidad y privacidad, asegurando una mejor experiencia de uso para usuarios individuales y empresas. Se recomienda actualizar lo antes posible para aprovechar todas sus mejoras.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En el mundo de Linux, las distribuciones de rescate juegan un papel esencial. No son sistemas operativos de uso diario, pero pueden ser la solución en situaciones críticas. Ya sea para recuperar datos, diagnosticar fallos, reparar particiones o acceder a sistemas inoperativos, estas herramientas son imprescindibles para administradores de sistemas y entusiastas de la tecnología.

En los últimos días, tres de las mejores distribuciones de rescate, SystemRescue, Finnix y Rescuezilla, han lanzado nuevas versiones con mejoras clave. A continuación, te contamos sus novedades.

SystemRescue 12: Mayor Compatibilidad y Mejoras en GRUB

SystemRescue es una de las distribuciones más completas y longevas, basada en Arch Linux. Se centra en ofrecer un entorno potente y ligero para el mantenimiento y recuperación de sistemas Linux y Windows.

Novedades en SystemRescue 12:

✅ Actualización del kernel a Linux 6.12.19 LTS.
✅ Soporte para bcachefs, con herramientas de sistema de archivos y compatibilidad en GParted.
✅ Corrección de errores en GRUB para evitar problemas de visualización (#399).

 Actualización de herramientas esenciales:

• GParted 1.7.0
• nwipe 0.38
• dump 0.4b49

Finnix 250: Ligero, Rápido y Compatible con Más Hardware

Finnix es una distribución de rescate minimalista, diseñada para ejecutarse completamente en RAM, lo que garantiza velocidad y eficiencia. Está enfocada en administradores de sistemas y ofrece amplia compatibilidad de hardware.

Novedades en Finnix 250:

✅ Kernel actualizado a Linux 6.12 (Debian 6.12.17-1).
✅ Mejoras en sesiones SSH y nuevos paquetes como util-linux-extra.
✅ Eliminación de herramientas asociadas a ReiserFS, ya sin soporte en el kernel.
✅ Optimización de initramfs y mejor visualización en htop para equipos con múltiples núcleos.

Rescuezilla 2.6: Clonación y Recuperación de Discos Simplificada

Rescuezilla es una distribución basada en Ubuntu, diseñada para facilitar la clonación, restauración y transferencia de discos mediante una interfaz gráfica sencilla. Es una de las mejores alternativas a Clonezilla, ideal para usuarios sin experiencia avanzada.

Novedades en Rescuezilla 2.6:

✅ Compatibilidad mejorada con UEFI, con actualización del paquete shim Secure Boot 1.58.
✅ Corrección de errores como el fallo "SBAT self-check failed" y problemas con Rufus al crear USBs de arranque.
✅ Actualización de la base a Ubuntu 24.10 (Oracular).

Mejora en herramientas esenciales:

• Partclone 0.3.33
• Memtest86+ 7.00
• Integración de nuevas traducciones a varios idiomas.

Si necesitas una herramienta para recuperación y mantenimiento de sistemas, cualquiera de estas distribuciones es una excelente opción:

🔹 SystemRescue: Ideal para tareas avanzadas de recuperación en Linux y Windows.

🔹 Finnix: Perfecta para administradores de sistemas que buscan una herramienta ligera y rápida.

🔹 Rescuezilla: La mejor opción si prefieres una solución gráfica y fácil de usar para clonación y recuperación de discos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

A pesar de que Oracle niega haber sufrido una violación de seguridad en sus servidores de inicio de sesión SSO federados, varias empresas han confirmado la autenticidad de los datos filtrados. De acuerdo con BleepingComputer, un actor de amenazas conocido como "rose87168" asegura haber comprometido los servidores de Oracle Cloud, obteniendo credenciales y contraseñas cifradas de 6 millones de usuarios.

Detalles de la Supuesta Violación en Oracle Cloud

La semana pasada, rose87168 afirmó haber accedido a los servidores de Oracle Cloud y puso a la venta datos de autenticación, incluyendo:

✅ Credenciales SSO y LDAP cifradas
✅ Base de datos con información de usuarios
✅ Lista de 140,621 dominios de empresas y agencias gubernamentales

El actor de amenazas también aseguró que las contraseñas robadas podrían descifrarse utilizando información de los archivos filtrados. Para respaldar su afirmación, publicó en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta un archivo de texto alojado en el servidor "login.us2.oraclecloud.com", sugiriendo que tenía la capacidad de crear archivos en los servidores de Oracle.

Oracle Niega la Brecha de Seguridad

A pesar de la evidencia compartida, Oracle niega categóricamente cualquier vulnerabilidad en sus sistemas:

Citar"No ha habido ninguna violación de Oracle Cloud. Las credenciales publicadas no son para Oracle Cloud. Ningún cliente de Oracle Cloud experimentó una violación o perdió datos", declaró la empresa a BleepingComputer.

Sin embargo, esta declaración contradice los hallazgos de BleepingComputer, que recibió muestras adicionales de los datos filtrados y contactó a empresas afectadas, las cuales confirmaron la autenticidad de la información.

Pruebas y Comunicaciones del Actor de Amenazas

El actor de amenazas compartió correos electrónicos con BleepingComputer, en los cuales afirma haber contactado a Oracle para notificar la vulnerabilidad. En uno de estos correos, dirigidos al equipo de seguridad de Oracle ([email protected]), se menciona lo siguiente:

"He indagado en la infraestructura de su panel de control en la nube y encontré una vulnerabilidad masiva que me ha dado acceso completo a la información de 6 millones de usuarios".

Además, se reveló un intercambio de correos con una supuesta dirección de Oracle en ProtonMail, en la que se menciona que Oracle habría solicitado continuar la comunicación a través de un canal externo.

Vulnerabilidad en Oracle Fusion Middleware: Posible Punto de Entrada

La empresa de ciberseguridad Cloudsek identificó una URL en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta que muestra que el servidor "login.us2.oraclecloud.com" ejecutaba Oracle Fusion Middleware 11g hasta el 17 de febrero de 2025. Este software contiene una vulnerabilidad crítica, rastreada como CVE-2021-35587, que permite a atacantes no autenticados comprometer Oracle Access Manager.

El actor de amenazas afirmó que utilizó esta vulnerabilidad para acceder a los servidores de Oracle. Tras la publicación de estos hallazgos, Oracle desconectó el servidor afectado.

En fin, aunque Oracle insiste en que no ha habido una brecha de seguridad, la evidencia compartida por investigadores y empresas afectadas sugiere lo contrario. La falta de respuestas por parte de Oracle y la eliminación del servidor comprometido aumentan las dudas sobre la transparencia del incidente.

Recomendación: Empresas y usuarios de Oracle Cloud deben reforzar la seguridad de sus credenciales, habilitar autenticación multifactor (MFA) y monitorear cualquier actividad sospechosa en sus cuentas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han identificado 46 vulnerabilidades críticas en inversores solares de Sungrow, Growatt y SMA, tres de los principales fabricantes del sector. Estas fallas podrían ser explotadas por atacantes para tomar control de dispositivos, ejecutar código de forma remota y comprometer plataformas en la nube, lo que representa una amenaza seria para la estabilidad de la red eléctrica y la privacidad de los usuarios.

Impacto de las Vulnerabilidades en Inversores Fotovoltaicos

Las fallas de seguridad detectadas permiten:

• Acceso no autorizado a plataformas en la nube
• Ejecución remota de código (RCE)
• Toma de control de dispositivos
• Divulgación de información confidencial

Posibles daños físicos y denegación de servicio

Un ataque bien coordinado podría afectar redes eléctricas mediante la manipulación de la generación y demanda de energía, generando cortes o desestabilización del suministro eléctrico.

Detalles Técnicos de las Vulnerabilidades

SMA: Ejecución Remota de Código en SunnyPortal

De las 46 vulnerabilidades detectadas, CVE-2025-0731 afecta específicamente a los productos de SMA. Esta falla permitiría a un atacante ejecutar código malicioso en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, la plataforma de monitoreo de sistemas fotovoltaicos de la empresa, mediante la carga de archivos ASPX en el servidor web.

Growatt: Secuestro de Inversores a Través del Backend en la Nube

Los inversores de Growatt son particularmente vulnerables, ya que los atacantes pueden explotarlos sin necesidad de acceso físico, accediendo directamente desde la nube:

• Enumeración de usuarios sin autenticación mediante una API expuesta.
• Secuestro de cuentas explotando vulnerabilidades IDOR (referencias directas a objetos inseguras).
• Robo de credenciales mediante inyección de código JavaScript a través de vulnerabilidades XSS almacenadas.
• Toma de control del inversor, permitiendo activar o desactivar el dispositivo de forma remota.

Sungrow: Explotación de Múltiples Componentes Vulnerables

El secuestro de inversores Sungrow es más complejo debido a múltiples fallos en la arquitectura del proveedor:

• CVE-2024-50685, CVE-2024-50693 y CVE-2024-50686: Permiten obtener números de serie de los dongles de comunicación desde el backend.
• CVE-2024-50692: Uso de credenciales MQTT codificadas, lo que permite el control remoto del inversor.
• CVE-2024-50694, CVE-2024-50695 y CVE-2024-50698: Vulnerabilidades de desbordamiento de pila, que permiten ejecución remota de código en dongles conectados.

Ataques Masivos y Riesgos para la Red Eléctrica

Si un atacante compromete una flota de inversores, podría lanzar ataques a gran escala contra la red eléctrica. La manipulación coordinada de múltiples dispositivos podría:

• Reducir la generación de energía durante horas pico, provocando inestabilidad en la red.
• Afectar infraestructuras críticas, aumentando el riesgo de apagones masivos.
• Convertir los inversores en una botnet, utilizada para ataques distribuidos de denegación de servicio (DDoS).

En conclusión, las vulnerabilidades en los inversores solares de Sungrow, Growatt y SMA representan un riesgo significativo para la seguridad energética y cibernética. Se recomienda a los usuarios y empresas que implementen actualizaciones de seguridad, refuercen las configuraciones de acceso y monitoreen sus dispositivos para mitigar posibles ataques.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cloudflare ha anunciado que a partir de ahora solo aceptará conexiones HTTPS seguras en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, eliminando por completo el acceso a través de HTTP. Esta medida refuerza la seguridad al evitar que las solicitudes de API se envíen sin cifrado, reduciendo el riesgo de exposición de información confidencial en redes inseguras.

¿Por qué Cloudflare ha eliminado HTTP en su API?

Anteriormente, la API de Cloudflare permitía el acceso tanto mediante HTTP (sin cifrar) como HTTPS (cifrado), redirigiendo o rechazando las solicitudes HTTP. Sin embargo, incluso cuando una conexión HTTP era rechazada, datos sensibles como claves API o tokens podían quedar expuestos antes de que el servidor cerrara la conexión.

Esta vulnerabilidad era especialmente crítica en redes Wi-Fi públicas o compartidas, donde los ataques de hombre en el medio (MitM) son más comunes. Con esta actualización, todas las conexiones HTTP serán bloqueadas en la capa de transporte, garantizando que la comunicación con la API siempre se realice a través de HTTPS.

Impacto del cambio en los desarrolladores y sistemas automatizados

El cambio afecta a todos los usuarios que aún empleaban HTTP en la API de Cloudflare, incluyendo:

• Scripts, bots y herramientas automatizadas que usaban HTTP.
• Sistemas heredados y dispositivos IoT que no soportan HTTPS o tienen configuraciones incorrectas.
• Clientes automatizados y aplicaciones de bajo nivel que aún dependen de conexiones sin cifrar.

A partir de ahora, cualquier intento de conexión HTTP será completamente rechazado, sin recibir una respuesta HTTP 403 Forbidden. Solo las conexiones HTTPS serán permitidas.

Cloudflare refuerza la seguridad en toda su infraestructura

Para los clientes que administran sitios web a través de Cloudflare, la compañía planea lanzar una opción gratuita a finales de año que permitirá desactivar el tráfico HTTP de forma segura.

Los datos internos de Cloudflare muestran que, aunque la mayoría del tráfico ya es seguro, un 2,4% de todo el tráfico en Internet aún se realiza mediante HTTP inseguro. En el caso del tráfico automatizado, la cifra asciende a un preocupante 17%.

Cómo verificar el impacto del cambio en tu entorno

Los clientes de Cloudflare pueden monitorear el tráfico HTTP frente a HTTPS en su panel de control, navegando a:

Análisis y registros > Tráfico servido a través de SSL

Esto les permitirá evaluar cómo este cambio afectará a sus sistemas antes de optar por participar en la desactivación total del tráfico HTTP.

En fin, con esta medida, Cloudflare fortalece la seguridad de su API y reduce los riesgos de exposición de datos en conexiones inseguras. La adopción total de HTTPS garantiza una comunicación cifrada desde el inicio, protegiendo tanto a desarrolladores como a empresas que dependen de sus servicios. Si aún utilizas HTTP en tu integración con Cloudflare, ahora es el momento de actualizar tus sistemas para evitar interrupciones en el servicio.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Calibre 8.0 ya está disponible y llega con mejoras significativas para la administración de libros electrónicos. Esta popular aplicación de código abierto, utilizada por millones de lectores digitales, incorpora nuevas funcionalidades que optimizan la compatibilidad con dispositivos de lectura, la conversión de formatos y la navegación dentro de los eBooks.

Novedades principales de Calibre 8.0

Mayor compatibilidad con Kobo

Uno de los cambios más destacados en Calibre 8.0 es la mejora en el soporte para dispositivos Kobo. Ahora, los usuarios pueden gestionar archivos en formato KEPUB sin necesidad de conversiones manuales. Además, cualquier archivo EPUB transferido a un lector Kobo se convertirá automáticamente a KEPUB, garantizando una experiencia de lectura más fluida y compatible.

Gestión de carpetas como dispositivos USB

Otra novedad importante es la posibilidad de tratar carpetas como unidades de almacenamiento USB, una función especialmente útil para usuarios de Chromebooks. Gracias a esta mejora, la transferencia de archivos entre Calibre y Chrome OS es ahora más sencilla e intuitiva.

Optimización de la función de texto a voz

El sistema de lectura en voz alta ha sido mejorado con la integración de Piper, lo que aumenta la calidad del sonido y la naturalidad de la narración. Esta funcionalidad es ideal para quienes prefieren escuchar sus libros digitales en lugar de leerlos, proporcionando una experiencia más inmersiva.

Mejoras en el visor de libros y búsqueda avanzada

Calibre 8.0 también ha optimizado su visor de libros electrónicos:

• Mejor navegación en índices de contenido, permitiendo acceder fácilmente a capítulos y secciones.
• Búsqueda avanzada mejorada, que ahora incluye el contenido de archivos comprimidos en ZIP y RAR, facilitando la localización de textos dentro de bibliotecas digitales extensas.

Otras mejoras y correcciones en Calibre 8.0

Como en cada actualización, se han corregido diversos errores y se han implementado mejoras clave:

• Corrección de fallos en la catalogación y administración de metadatos.
• Optimización en la creación y edición de listas de libros.
• Mejoras en la herramienta de visualización de contenido.

Descarga y compatibilidad de Calibre 8.0

Calibre sigue siendo un software de código abierto disponible para Windows, macOS y Linux. Su activa comunidad de desarrolladores garantiza actualizaciones constantes, asegurando su compatibilidad con los últimos dispositivos y tendencias en el sector de los eBooks.

Si buscas una herramienta gratuita, potente y versátil para la gestión de bibliotecas digitales, Calibre 8.0 es la mejor opción. Con sus nuevas características y mejoras, reafirma su posición como el software líder en la administración de eBooks.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Kali Linux 2025.1a es la última versión de la distribución más popular para seguridad informática y pruebas de penetración. Lanzada apenas tres meses después de su versión anterior, esta actualización introduce importantes mejoras visuales y funcionales. Aunque originalmente estaba planeada como Kali Linux 2025.1, un problema técnico obligó a rehacer las imágenes de instalación, dando lugar a la versión final 2025.1a.

Novedades y mejoras en Kali Linux 2025.1a

Diseño renovado y experiencia optimizada

Kali Linux mantiene su enfoque en la experiencia del usuario con una actualización de su tema visual. Ahora, desde el arranque hasta el escritorio, la interfaz presenta un nuevo menú de inicio, una pantalla de bienvenida mejorada y fondos de pantalla actualizados para las ediciones estándar y Purple.

Actualización al kernel Linux 6.12 y entornos de escritorio

Uno de los cambios más relevantes en esta versión es la actualización al kernel Linux 6.12, proporcionando mayor compatibilidad y rendimiento. Además, se incluyen nuevas versiones de los entornos de escritorio:

• KDE Plasma 6.2, reemplazando la versión 5.27.
• Xfce 4.20, una mejora significativa respecto a Xfce 4.18.
• GNOME sigue siendo la edición principal, pero los usuarios pueden optar por las versiones anteriores.

Otras mejoras destacadas

Optimización para Raspberry Pi y Android

• Se ha incorporado un nuevo kernel optimizado para Raspberry Pi, mejorando su rendimiento en estos dispositivos.
• Kali NetHunter, la versión para Android, recibe mejoras significativas en estabilidad y compatibilidad.

Nuevas herramientas y actualizaciones de paquetes

A diferencia de versiones anteriores, Kali Linux 2025.1a ha priorizado la actualización de paquetes sobre la incorporación de nuevas herramientas. Sin embargo, se ha añadido hoaxshell, una utilidad específica para Windows.

Mejoras en infraestructura y distribución

• Optimización de los servidores de distribución.
• Mejoras en la infraestructura del sitio web oficial.
• Correcciones de errores menores para mejorar la estabilidad del sistema.

Descarga Kali Linux 2025.1a


Kali Linux 2025.1a está disponible en múltiples formatos, incluyendo:

• Instaladores tradicionales para x86 y ARM.
• Imágenes para máquinas virtuales y contenedores.
• Soporte para entornos en la nube y Windows Subsystem for Linux (WSL).

Para más información y enlaces de descarga, visita el sitio oficial de Kali Linux.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta