Temas - Dragora - Página 2

Información del Perfil

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - Dragora

Páginas 1 2 3 4 ... 76

#41

Noticias Informáticas / Microsoft Authenticator elimina autocompletar contraseñas en julio de 2025

Mayo 30, 2025, 08:32:16 PM

Microsoft ha anunciado oficialmente que la aplicación Microsoft Authenticator dejará de ofrecer la función de autocompletar contraseñas a partir de julio de 2025. Los usuarios ya están recibiendo notificaciones dentro de la aplicación con una advertencia clara: deberán exportar sus contraseñas o migrar a Microsoft Edge para continuar utilizando el autocompletado.

¿Qué es Microsoft Authenticator?

Microsoft Authenticator es una aplicación móvil gratuita que facilita un inicio de sesión seguro mediante autenticación multifactor (MFA). Ofrece funcionalidades como códigos TOTP, notificaciones push, verificación biométrica y acceso sin contraseña a cuentas Microsoft.

Fin del autocompletado de contraseñas en Authenticator

A principios de mayo, el portal BleepingComputer reveló que Microsoft retiraría esta función. La fecha límite establecida para exportar contraseñas guardadas es el 1 de agosto de 2025, aunque desde ahora ya no será posible guardar nuevas contraseñas en la aplicación a partir de junio de 2025.

Las notificaciones emitidas por la aplicación indican lo siguiente:

Citar"Autocompletar a través de Authenticator finaliza en julio de 2025. Puedes exportar tu información guardada (solo contraseñas) antes de esa fecha o cambiar a Microsoft Edge para seguir usando el autocompletado."

La notificación incluye un botón para "Activar Edge", que redirige a la configuración de autocompletar y contraseñas en iOS o Android, permitiendo seleccionar Microsoft Edge como proveedor predeterminado de autocompletado.

Alternativas y migración a Microsoft Edge

Según Microsoft, las contraseñas almacenadas en Authenticator están sincronizadas de forma segura con la cuenta Microsoft del usuario. Esto permite que la transición a Microsoft Edge sea fluida, manteniendo el acceso a contraseñas y direcciones a través del navegador.

Edge incluye funciones avanzadas como:

Microsoft Defender SmartScreen
Password Monitor
Navegación InPrivate
Integración con herramientas de inteligencia artificial

Los usuarios pueden continuar usando Edge para autocompletar de manera segura, incluso después de la desactivación de esta función en Authenticator.

Cronograma de la desactivación

Microsoft ha compartido el siguiente calendario sobre la eliminación progresiva del autocompletado en Authenticator:

Junio de 2025: ya no se podrán guardar nuevas contraseñas.
Julio de 2025: la función de autocompletar dejará de estar disponible.
Agosto de 2025: se eliminará el acceso a todas las contraseñas guardadas.

¿Qué pueden hacer los usuarios?

Los usuarios que no deseen usar Microsoft Edge pueden exportar sus contraseñas desde Authenticator a un archivo CSV. Este archivo puede importarse a otras soluciones de gestión de contraseñas como 1Password, Bitwarden, LastPass, entre otros.

Además, si se han utilizado contraseñas generadas por el generador de la app, se recomienda guardarlas manualmente desde el historial en la pestaña "Contraseña".

Recomendaciones finales

Para evitar la pérdida de datos o interrupciones en el servicio de autocompletar contraseñas, Microsoft recomienda:

Exportar contraseñas antes de julio de 2025.
Migrar a Microsoft Edge como proveedor de autocompletado.
Considerar otros administradores de contraseñas si se prefiere una solución distinta a Edge.

Esta medida forma parte de los esfuerzos de Microsoft por centralizar sus servicios de seguridad y autenticación en herramientas más robustas como su navegador Edge, que sigue recibiendo mejoras enfocadas en privacidad, inteligencia artificial y protección en línea.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#42

Noticias Informáticas / Trickbot y Conti: Alemania busca a su líder, Vitaly Kovalev

Mayo 30, 2025, 08:26:44 PM

La Oficina Federal de Policía Criminal de Alemania (BKA) ha identificado públicamente a Vitaly Nikolaevich Kovalev, un ciudadano ruso de 36 años, como el líder de las bandas de cibercrimen Trickbot y Conti. Conocido por el alias "Stern", Kovalev es señalado como el fundador del grupo Wizard Spider, el cual operó algunas de las campañas de malware y ransomware más peligrosas de la última década.

Kovalev: cerebro de Trickbot y Conti, ahora en la mira de Interpol

Según declaraciones oficiales del BKA, Kovalev fue pieza central en las operaciones del grupo Trickbot, utilizando malware como Trickbot, BazarLoader, SystemBC, IcedID, Ryuk, Conti y Diavol. Su papel en la organización lo convierte en uno de los ciberdelincuentes más buscados del mundo.

Una notificación roja de Interpol ha sido emitida contra Kovalev, quien ahora también es perseguido por la justicia alemana bajo cargos de liderar una organización criminal transnacional dedicada a ciberataques a gran escala.

Esta acción se enmarca dentro de la Operación Endgame, una ofensiva internacional coordinada por múltiples agencias de seguridad que apunta a desmantelar la infraestructura de malware y ransomware como servicio (RaaS) empleada por grupos como Trickbot y Conti.

Antecedentes criminales y sanciones en EE. UU.

Kovalev ya había sido identificado previamente por las autoridades. En febrero de 2023, el Departamento del Tesoro de los Estados Unidos lo sancionó junto a otros seis ciudadanos rusos por su implicación con las operaciones de Trickbot y Conti.

En ese momento, fue descrito como un miembro clave del grupo, utilizando varios alias, incluidos "Bentley", "Bergen", "Alex Konor" y "Ben". Sin embargo, no fue hasta las filtraciones de TrickLeaks y ContiLeaks que se confirmó su identidad como "Stern", el verdadero cabecilla de ambas organizaciones criminales.

TrickLeaks y ContiLeaks: las filtraciones que expusieron al grupo

Las filtraciones de 2022 revelaron conversaciones internas, código fuente y, en el caso de TrickLeaks, incluso las identidades reales, cuentas en línea y datos personales de los miembros de Trickbot. Estas revelaciones apuntaban directamente a Kovalev como líder operativo y decisor final en ataques de ransomware y contratación de abogados para miembros arrestados.

Las filtraciones también aceleraron el desmantelamiento de Conti, aunque los integrantes del grupo se reagruparon en nuevas bandas de ransomware como Black Basta, BlackCat (ALPHV), Royal, LockBit, Karakurt, AvosLocker, DagonLocker, Silent Ransom y ZEON.

Impacto global de Trickbot: millones en ganancias y miles de víctimas

De acuerdo con la BKA, el grupo Trickbot llegó a contar con más de 100 miembros, organizados de forma jerárquica y orientados a objetivos lucrativos. Se estima que infectaron cientos de miles de sistemas en Alemania y a nivel mundial, incluyendo:

Hospitales
Empresas privadas
Autoridades gubernamentales
Particulares

Gracias a sus actividades ilegales, Trickbot habría generado beneficios superiores a los 100 millones de euros, consolidándose como una de las redes de ciberdelincuencia más rentables y peligrosas de la historia reciente.

Búsqueda internacional: Kovalev sigue en libertad

Aunque su identidad ha sido confirmada y su rostro circula en alertas internacionales de Interpol, el paradero actual de Vitaly Kovalev es desconocido. Las autoridades alemanas creen que se encuentra en territorio ruso, protegido por un entorno que le permite evadir la extradición.

La BKA ha solicitado colaboración internacional e instó a que se proporcione cualquier información que ayude a su localización, incluyendo cuentas de redes sociales, direcciones IP asociadas o canales de comunicación utilizados por Kovalev.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#43

Noticias Informáticas / Alerta de seguridad crítica en TI WooCommerce Wishlist

Mayo 30, 2025, 08:18:01 PM

Los investigadores de ciberseguridad han descubierto una vulnerabilidad crítica sin parche en el complemento TI WooCommerce Wishlist para WordPress, que podría ser explotada por atacantes no autenticados para realizar cargas de archivos arbitrarios y potencialmente lograr ejecución remota de código (RCE).

¿Qué es TI WooCommerce Wishlist?

TI WooCommerce Wishlist es un popular plugin de WordPress con más de 100.000 instalaciones activas, que permite a los usuarios de tiendas en línea guardar productos en listas de deseos y compartirlas en redes sociales. Su amplia adopción lo convierte en un objetivo atractivo para los ciberdelincuentes.

Detalles de la vulnerabilidad crítica (CVE-2025-47577)

La falla, catalogada como CVE-2025-47577, ha sido identificada con una puntuación CVSS de 10.0, el valor más alto en la escala de criticidad. Esta vulnerabilidad afecta a todas las versiones hasta e incluida la 2.9.2, publicada el 29 de noviembre de 2024. Actualmente, no existe un parche disponible, lo que incrementa el riesgo de explotación activa.

Según el investigador John Castro de Patchstack, la vulnerabilidad reside en la función tinvwl_upload_file_wc_fields_factory, que usa la función nativa de WordPress wp_handle_upload() para validar las cargas de archivos. Sin embargo, establece los parámetros test_form y test_type como false, lo cual desactiva los mecanismos de validación de tipo MIME y formulario, permitiendo así la subida de archivos no seguros.

Citar"El plugin es vulnerable a una vulnerabilidad de carga de archivos arbitrarios que permite a los atacantes subir archivos maliciosos al servidor sin autenticación", explicó Castro.

Condiciones para la explotación

La función vulnerable puede ser accedida a través de las funciones tinvwl_meta_wc_fields_factory o tinvwl_cart_meta_wc_fields_factory, pero solo cuando el plugin adicional WC Fields Factory está instalado y activo. Además, la integración entre ambos plugins debe estar habilitada dentro de la configuración de TI WooCommerce Wishlist.

Esto significa que la explotación exitosa requiere que WC Fields Factory esté presente en el sitio web, lo cual limita parcialmente la superficie de ataque, aunque sigue siendo una amenaza grave.

Riesgo de ejecución remota de código (RCE)

En un escenario de ataque real, un actor malicioso podría aprovechar esta falla para cargar un archivo PHP malicioso al servidor y luego ejecutarlo directamente, obteniendo control total sobre el sitio WordPress comprometido. Esta técnica es común en campañas de ataques automatizados que buscan vulnerabilidades en plugins populares y desprotegidos.

Recomendaciones de seguridad

Mientras se espera una actualización oficial del desarrollador del complemento, se recomienda encarecidamente a todos los administradores de WordPress que tengan instalado TI WooCommerce Wishlist tomar medidas inmediatas:

Desactivar y eliminar el plugin hasta que se publique un parche oficial.
Revisar si WC Fields Factory está activo, y desactivarlo en caso de no ser estrictamente necesario.
Monitorear los archivos del servidor en busca de archivos PHP sospechosos recientemente subidos.
Aplicar reglas de firewall a nivel de aplicación (WAF) para bloquear accesos a rutas sensibles.

Los desarrolladores de plugins también deben evitar establecer test_type => false al usar wp_handle_upload(), y aplicar prácticas seguras de validación de archivos para evitar este tipo de vulnerabilidades.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#44

Noticias Informáticas / Descubren ataque cibernético con malware que usa encabezados DOS y PE corruptos

Mayo 30, 2025, 08:14:12 PM

Investigadores de ciberseguridad de Fortinet han revelado un ataque cibernético inusual que empleó malware con encabezados DOS y PE corruptos, dificultando su detección y análisis. Este hallazgo destaca una técnica sofisticada utilizada por actores de amenazas para evadir soluciones de seguridad tradicionales.

¿Qué son los encabezados DOS y PE?

Los encabezados DOS (Disk Operating System) y PE (Portable Executable) son componentes fundamentales de los archivos ejecutables en sistemas Windows.

El encabezado DOS permite la compatibilidad con sistemas MS-DOS y facilita el reconocimiento del archivo como ejecutable válido.
El encabezado PE, por su parte, contiene los metadatos necesarios para que Windows cargue y ejecute el programa correctamente.

Técnicas avanzadas de evasión mediante encabezados dañados

Según el informe de Fortinet, el malware detectado presentaba encabezados DOS y PE dañados, una técnica que busca obstaculizar los esfuerzos de análisis forense y dificultar la reconstrucción de la carga útil desde la memoria.

Citar"Descubrimos malware que se había estado ejecutando en una máquina comprometida durante varias semanas", afirmaron Xiaopeng Zhang y John Simmons, del Equipo de Respuesta a Incidentes de FortiGuard, en un informe compartido con The Hacker News.

El ataque se llevó a cabo mediante scripts por lotes y PowerShell, ejecutados dentro de un proceso legítimo de Windows. Aunque Fortinet no logró extraer el malware directamente, sí obtuvo un volcado de memoria del proceso en ejecución, así como un volcado de memoria completo del sistema comprometido.

Ataque vinculado a intento de ransomware

El comportamiento observado fue parte de un único incidente asociado a actividad de ransomware, aunque la amenaza fue neutralizada antes de que el cifrado pudiera desplegarse. El atacante obtuvo acceso inicial mediante infraestructura de acceso remoto, y trató de propagar el malware usando PsExec y scripts de PowerShell, los cuales no pudieron recuperarse durante la investigación.

Características del malware

El malware detectado se ejecuta dentro de un proceso dllhost.exe, ocultando su actividad bajo un ejecutable aparentemente legítimo. Se trata de un archivo PE de 64 bits diseñado específicamente para evadir herramientas de análisis de malware.

Tras superar los obstáculos técnicos, los expertos de Fortinet consiguieron analizar el código malicioso replicando el entorno del sistema afectado en un laboratorio controlado. A través de múltiples iteraciones, lograron reconstruir el comportamiento completo del malware.

Funcionalidades del RAT y conexión C2

Una vez ejecutado, el malware descifra la información del dominio de comando y control (C2) directamente desde la memoria y establece comunicación con el servidor malicioso "rushpapers[.]com" mediante TLS (Transport Layer Security).

El diseño del malware es altamente modular y emplea una arquitectura de sockets multihilo:

Captura de pantalla del sistema comprometido.
Enumeración y manipulación de servicios del sistema.
Capacidad de operar como servidor remoto en espera de conexiones entrantes.

Cada vez que un nuevo cliente (es decir, el atacante) se conecta, el malware crea un nuevo hilo dedicado a la sesión, lo que permite interacciones simultáneas y complejas.

Citar"Este diseño convierte al sistema infectado en una plataforma de acceso remoto totalmente funcional", explicó Fortinet. "El atacante puede lanzar nuevos ataques o realizar acciones en nombre de la víctima."

En fin, este incidente subraya el uso de técnicas avanzadas por parte de los ciberdelincuentes, como la corrupción de encabezados PE y DOS, para evadir la detección. La amenaza, aunque contenida por Fortinet antes de causar daños mayores, revela la creciente sofisticación del malware moderno, especialmente aquellos con funcionalidades de troyano de acceso remoto (RAT).

Las organizaciones deben mantenerse alerta y adoptar soluciones de ciberseguridad proactivas, incluyendo la supervisión de memoria y análisis de comportamiento, para detectar amenazas que emplean métodos de evasión poco convencionales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#45

Noticias Informáticas / PumaBot: nueva botnet en Go ataca dispositivos IoT con Linux

Mayo 28, 2025, 12:46:06 PM

Los dispositivos IoT basados en Linux están siendo blanco de una nueva y sofisticada botnet llamada PumaBot, desarrollada en el lenguaje de programación Go. Esta amenaza se propaga a través de ataques de fuerza bruta contra servicios SSH, con el objetivo de escalar rápidamente su infraestructura, distribuir malware adicional y establecer persistencia en los sistemas comprometidos.

Según un informe técnico publicado por Darktrace y compartido con The Hacker News, PumaBot no realiza escaneos aleatorios en Internet, sino que obtiene una lista predefinida de objetivos desde un servidor de comando y control (C2). Posteriormente, ejecuta ataques de fuerza bruta SSH para obtener acceso remoto, recibir comandos maliciosos y establecer mecanismos de persistencia mediante servicios del sistema.

¿Cómo funciona la botnet PumaBot?

El proceso de infección de PumaBot se basa en varias etapas:

Obtención de IPs vulnerables: el malware se conecta a ssh.ddos-cc[.]org, desde donde descarga una lista de direcciones IP con el puerto SSH abierto.
Fuerza bruta SSH: intenta acceder a estas IPs utilizando credenciales por defecto o contraseñas débiles.
Evasión de honeypots: PumaBot incorpora verificaciones para evitar sistemas trampa, incluyendo la búsqueda de la cadena "Pumatronix", un fabricante de cámaras de vigilancia.
Filtrado de información y persistencia: una vez que compromete un dispositivo, recolecta información básica del sistema y crea un servicio systemd persistente, disfrazado como redis.service o mysqI.service (una variante maliciosa de mysql).
Minería ilícita de criptomonedas: ejecuta comandos como xmrig y networkxm, indicativos de minería de Monero u otras criptomonedas en segundo plano.

Componentes adicionales del ecosistema malicioso

El análisis de Darktrace identificó otros binarios y scripts usados como parte de una campaña más amplia vinculada a PumaBot:

ddaemon: puerta trasera en Go que descarga y ejecuta el binario networkxm desde /usr/src/bao/ y ejecuta el script No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.
networkxm: herramienta de fuerza bruta SSH que replica la funcionalidad inicial del malware.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta: descarga el script No tienes permitido ver enlaces. Registrate o Entra a tu cuenta desde 1.lusyn[.]xyz, lo ejecuta con permisos máximos y borra el historial de bash.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta: obtiene un archivo malicioso pam_unix.so y un ejecutable llamado 1, reemplazando componentes legítimos del sistema.
pam_unix.so: rootkit que roba credenciales interceptando inicios de sesión exitosos y los guarda en /usr/bin/con.txt.
1: binario que monitorea y exfiltra el archivo con.txt al servidor C2.

Recomendaciones para proteger sistemas Linux e IoT frente a PumaBot

Dado el comportamiento similar al de un gusano y la capacidad de evasión que presenta PumaBot, los administradores de sistemas deben implementar medidas preventivas de seguridad como:

Monitorear intentos de inicio de sesión SSH fallidos y registrar actividad inusual.
Auditar servicios systemd en busca de nombres sospechosos como redis.service o mysqI.service.
Revisar el archivo authorized_keys para detectar claves SSH no autorizadas.
Restringir el acceso SSH mediante reglas estrictas de firewall.
Filtrar tráfico HTTP con encabezados anómalos, como X-API-KEY: jieruidashabi.

En conclusión, PumaBot representa una amenaza emergente en el ecosistema de ciberseguridad, especialmente para entornos que utilizan Linux en dispositivos IoT. Su capacidad para automatizar ataques SSH, establecer persistencia mediante técnicas legítimas y ejecutar funciones de minería ilegal lo convierte en una herramienta altamente peligrosa. Las organizaciones deben fortalecer sus prácticas de seguridad SSH, monitorear servicios activos y mantener políticas de actualización y endurecimiento de sistemas para prevenir infecciones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#46

Noticias Informáticas / Apple bloquea más de 9.000 millones en fraudes en la App Store desde 2019

Mayo 28, 2025, 12:40:56 PM

Apple, líder mundial en tecnología, reveló el martes que ha evitado más de 9.000 millones de dólares en transacciones fraudulentas en su ecosistema desde 2019, incluyendo más de 2.000 millones de dólares solo en 2024. Esta cifra forma parte del informe anual de la compañía sobre fraude en la App Store, donde detalla sus esfuerzos para proteger a usuarios y desarrolladores frente a estafas digitales.

Amenazas comunes en la App Store: desde aplicaciones engañosas hasta fraude financiero

Según el informe de Apple, la App Store enfrenta una amplia gama de amenazas de seguridad, que van desde aplicaciones maliciosas diseñadas para robar datos personales hasta esquemas de pago fraudulentos que intentan explotar a los usuarios.

Como parte de su estrategia de protección, Apple ha tomado medidas significativas, incluyendo:

Cancelación de más de 46.000 cuentas de desarrolladores por actividades fraudulentas.
Rechazo de inscripción de 139.000 desarrolladores adicionales con indicios de malas prácticas.
Desactivación de casi 129 millones de cuentas de clientes para evitar abusos como el spam, la manipulación de reseñas y la alteración de rankings de aplicaciones.

Estadísticas clave del fraude en Apple en 2024

Durante el último año, Apple reforzó su enfoque de seguridad en iOS y la App Store, con acciones concretas como:

Bloqueo de más de 10.000 aplicaciones ilegítimas distribuidas en tiendas piratas. Estas apps incluían malware, contenido pornográfico, software de apuestas ilegales y versiones pirateadas de apps legítimas.
Prevención de 4,6 millones de intentos de instalación de aplicaciones distribuidas fuera de los canales oficiales de Apple.
Rechazo de más de 1,9 millones de solicitudes de publicación de apps por violaciones de privacidad, seguridad y políticas de la App Store.
Eliminación de más de 37.000 aplicaciones con comportamientos fraudulentos.
Rechazo de más de 43.000 aplicaciones por contener funciones ocultas o no documentadas.
Bloqueo de 320.000 apps clonadas o engañosas que imitaban otras aplicaciones populares.
Exclusión de 7.400 apps potencialmente fraudulentas de las listas públicas y eliminación de 9.500 apps engañosas de los resultados de búsqueda.
Eliminación de más de 143 millones de valoraciones y reseñas falsas.
Identificación de 4,7 millones de tarjetas de crédito robadas y bloqueo de 1,6 millones de cuentas involucradas.

Comparativa con años anteriores

La lucha contra el fraude en Apple ha sido constante y creciente. En años anteriores:

En 2023, Apple evitó transacciones fraudulentas por más de 1.800 millones de dólares y canceló 118.000 cuentas de desarrolladores.
En 2022, bloqueó fraudes por más de 2.000 millones de dólares.

Estas cifras reflejan una tendencia al alza en los intentos de fraude digital, y la respuesta proactiva de Apple para proteger su ecosistema.

Google también refuerza su seguridad en Android

El informe de Apple coincide con un análisis similar de Google, que a principios de 2024 anunció que bloqueó más de 2,36 millones de aplicaciones maliciosas para Android y prohibió 158.000 cuentas de desarrolladores por infringir las políticas de Google Play.

Este contexto refleja el desafío global que enfrentan los principales mercados de apps móviles frente a amenazas cibernéticas cada vez más sofisticadas.

Apple y el escrutinio por sus políticas en la App Store

Este nuevo informe sobre prevención de fraudes en la App Store llega en un momento de mayor presión regulatoria para Apple. Un fallo reciente en EE. UU. exige que la compañía permita que las apps de iOS incluyan enlaces o botones hacia métodos de pago externos fuera del ecosistema de la App Store.

Este cambio podría tener un impacto en las estrategias de seguridad de Apple, ya que transacciones fuera del App Store podrían estar más expuestas a estafas y fraudes, al no estar sujetas a los mismos controles de seguridad.

En conclusión, el informe anual de Apple pone de manifiesto el compromiso de la empresa con la seguridad digital, destacando medidas preventivas robustas frente a fraudes, estafas y abusos dentro de la App Store. Con miles de millones de dólares en transacciones protegidas, Apple se posiciona como uno de los líderes en la protección del consumidor en entornos digitales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#47

Noticias Informáticas / Adidas sufre violación de datos tras ataque a proveedor de atención al cliente

Mayo 28, 2025, 12:28:41 PM

El gigante alemán de ropa deportiva Adidas ha confirmado una violación de datos tras un incidente de seguridad que comprometió a uno de sus proveedores de servicio al cliente. El ataque permitió a actores maliciosos acceder a datos personales de algunos clientes, aunque no se vieron comprometidos datos financieros ni contraseñas.

Detalles del incidente de seguridad en Adidas

La compañía reveló la brecha el pasado viernes, explicando que un tercero no autorizado accedió a información de consumidores mediante un proveedor externo.

Citar"Adidas se dio cuenta recientemente de que una parte externa no autorizada obtuvo ciertos datos de los consumidores a través de un proveedor de servicio al cliente externo", explicó la empresa en un comunicado oficial.

Ante el incidente, la compañía de origen alemán actuó con rapidez, conteniendo la amenaza y lanzando una investigación exhaustiva con el apoyo de expertos en ciberseguridad.

Citar"Inmediatamente tomamos medidas para contener el incidente e iniciamos una investigación exhaustiva, colaborando con los principales expertos en seguridad de la información".

¿Qué información fue robada?

Adidas aclaró que no se vieron comprometidos datos sensibles como información de pago o contraseñas. La filtración se limitó a datos de contacto, aunque no se especificó el volumen exacto de personas afectadas.

Entre los datos potencialmente expuestos se encuentran:

Nombres completos
Direcciones de correo electrónico
Números de teléfono
Direcciones físicas
Fechas de nacimiento

Este tipo de información, aunque no financiera, puede ser utilizada para realizar campañas de phishing o suplantación de identidad, por lo que Adidas ha comenzado a notificar a los clientes afectados.

Medidas tomadas y notificación a las autoridades

La compañía afirmó estar en proceso de notificar tanto a los consumidores como a las autoridades de protección de datos y cuerpos de seguridad, en cumplimiento de la legislación vigente en materia de protección de datos.

Citar"Adidas está en el proceso de informar a los consumidores potencialmente afectados, así como a las autoridades apropiadas de protección de datos y aplicación de la ley de acuerdo con la ley aplicable".

Además, reiteró su compromiso con la seguridad de la información:

Citar"Seguimos totalmente comprometidos con la protección de la privacidad y la seguridad de nuestros consumidores, y lamentamos sinceramente cualquier inconveniente o preocupación causada por este incidente".

Historial de violaciones de datos en Adidas

Este incidente se suma a otros casos recientes de filtración de datos en Adidas. A principios de este mes, la compañía reveló violaciones que afectaron a clientes en Turquía y Corea del Sur, quienes se habían comunicado con el centro de atención al cliente en 2024 o antes. En esos casos, también se expuso información personal como nombres, correos electrónicos, teléfonos y fechas de nacimiento.

Además, en junio de 2018, Adidas reportó otra brecha que afectó a varios millones de compradores en EE. UU., comprometiendo nombres de usuario, direcciones de correo electrónico y contraseñas cifradas utilizadas en el sitio web oficial.

Información pendiente y falta de transparencia

Hasta el momento, Adidas no ha revelado el nombre del proveedor afectado, ni ha detallado cuándo se detectó el incidente, cuántas personas están involucradas o si sus propios sistemas fueron comprometidos. Cuando el medio especializado BleepingComputer intentó obtener más información, un portavoz de la empresa indicó que:

Citar"No hay más actualizaciones disponibles y la declaración emitida el viernes sigue vigente".

En conclusión, la violación de datos en Adidas pone de relieve los riesgos crecientes que enfrentan las grandes marcas globales en el ecosistema digital. A pesar de los esfuerzos de la compañía por limitar el impacto y comunicar el incidente, la falta de detalles técnicos genera incertidumbre entre los consumidores.

En un contexto donde la privacidad y la ciberseguridad son prioritarias, este tipo de filtraciones subraya la necesidad de fortalecer la protección de la información no solo en las empresas matrices, sino también a lo largo de toda la cadena de suministro digital.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#48

Noticias Informáticas / MathWorks sufre ataque de ransomware que afecta MATLAB y servicios en línea

Mayo 28, 2025, 12:24:52 PM

MathWorks, reconocida empresa de software especializada en computación matemática y simulación, ha confirmado que una interrupción de sus servicios en línea fue causada por un ataque de ransomware. Este incidente de ciberseguridad ha tenido un impacto significativo en usuarios de MATLAB y Simulink, plataformas ampliamente utilizadas por ingenieros, científicos y desarrolladores en todo el mundo.

La compañía, con sede en Natick, Massachusetts, fue fundada en 1984 y actualmente cuenta con más de 6.500 empleados distribuidos en 34 oficinas internacionales. Su software es utilizado por más de 100.000 organizaciones y más de 5 millones de usuarios en todo el mundo.

Detalles del ciberataque a MathWorks

En un informe publicado en su página oficial de estado, MathWorks confirmó que el ataque ocurrió el domingo 18 de mayo de 2025, afectando varios de sus sistemas informáticos internos y plataformas utilizadas por los clientes. La empresa notificó de inmediato a las autoridades, incluyendo a la policía federal.

Citar"MathWorks sufrió un ataque de ransomware. Hemos notificado a la policía federal sobre este asunto. El ataque afectó nuestros sistemas informáticos", indicó la compañía.

Como resultado del ataque, varios servicios esenciales de MathWorks quedaron fuera de línea, incluyendo:

MathWorks Cloud Center
Centro de licencias
Plataforma de intercambio de archivos
Tienda oficial de MathWorks

Progresos en la restauración de servicios

Aunque el ataque de ransomware sigue afectando ciertas funcionalidades, MathWorks ha logrado restaurar parcialmente algunos servicios. El 21 de mayo, por ejemplo, se restablecieron funciones críticas como la autenticación multifactor (MFA) y el inicio de sesión único (SSO), lo cual permitió a muchos usuarios volver a acceder a sus cuentas.

Sin embargo, persisten problemas de acceso y creación de nuevas cuentas, especialmente entre usuarios que no han iniciado sesión desde octubre de 2024. Estos usuarios continúan reportando errores al intentar acceder a sus cuentas de MATLAB o adquirir licencias a través de los canales digitales de la empresa.

¿Quién está detrás del ataque?

Hasta el momento, MathWorks no ha revelado el grupo de ransomware responsable del ataque, ni ha confirmado si se produjo algún robo de datos confidenciales de clientes o empleados. Ninguna organización cibercriminal ha asumido públicamente la autoría del ataque, lo que abre la posibilidad de que:

MathWorks esté negociando en privado con los atacantes.
La empresa haya pagado el rescate para evitar la filtración de datos.
El grupo atacante opere bajo bajo perfil y aún no haya divulgado información.

Impacto global del ataque de ransomware a MathWorks

Este incidente evidencia una creciente tendencia de ciberataques dirigidos a empresas tecnológicas con gran presencia internacional. Dado el papel fundamental de MATLAB y Simulink en sectores como la ingeniería, la robótica, la inteligencia artificial y la investigación académica, las interrupciones generadas afectan directamente a una comunidad técnica global.

Además, este ataque pone en relieve la importancia de contar con protocolos sólidos de resiliencia cibernética y respuesta ante incidentes, especialmente en organizaciones que proveen servicios críticos a universidades, gobiernos e industrias.

En conclusión, el ataque de ransomware a MathWorks subraya los riesgos persistentes que enfrentan las grandes compañías tecnológicas. A medida que la empresa trabaja para restaurar sus servicios y esclarecer los detalles del incidente, miles de usuarios de MATLAB y Simulink siguen a la espera de una recuperación total. La comunidad tecnológica internacional estará atenta a cualquier actualización sobre el grupo responsable, la posible filtración de datos y las futuras medidas de ciberseguridad que MathWorks implemente para prevenir nuevos incidentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#49

Noticias Informáticas / Telefónica cierra todas sus centrales de cobre y finaliza el ADSL en España

Mayo 26, 2025, 01:46:49 PM

Telefónica ha anunciado oficialmente el cierre definitivo de todas sus centrales de cobre en España, lo que marca el fin del ADSL y la consolidación de una nueva era de conectividad basada exclusivamente en fibra óptica FTTH. Con este paso, la compañía cumple con el compromiso adquirido con la CNMC y materializa uno de los hitos más importantes en sus más de 100 años de historia.

La decisión se enmarca en el proceso de modernización tecnológica impulsado por la teleoperadora, que lleva más de 15 años sustituyendo progresivamente el cableado de cobre por redes de fibra óptica de última generación.

Adiós al cobre: más de 8.500 centrales cerradas desde 2014

Desde que en 2014 comenzara el proceso de cierre con las primeras dos centrales en Sant Cugat del Vallès (Barcelona) y Torrelodones (Madrid), Telefónica ha clausurado un total de 8.532 centrales de cobre. El apagón final se produce este 27 de mayo, con la desconexión de los 661 puntos de red restantes distribuidos por todo el país.

Inicialmente previsto para completarse en 2026, el plan fue acelerado por decisión estratégica de la compañía, lo que ha permitido cumplir con antelación los plazos acordados con la Comisión Nacional de los Mercados y la Competencia.

Migración masiva a la fibra óptica FTTH

Gracias al despliegue masivo de infraestructura de fibra óptica, más del 94 % de los usuarios que aún contaban con ADSL han migrado ya a conexiones de alta velocidad por fibra. Esta transformación ha sido especialmente relevante para zonas rurales y la llamada España vaciada, donde la conectividad era históricamente limitada.

Una sola central de fibra es capaz de sustituir a cuatro centrales de cobre, lo que se traduce en una mejora operativa significativa para Telefónica, al tiempo que se aumenta la velocidad, estabilidad y eficiencia energética del servicio.

Telefónica, pionera en Europa en cerrar su red de cobre

Con este movimiento, Telefónica se convierte en la primera operadora en Europa en completar el cierre total de su red de cobre, posicionándose como líder en la transición hacia tecnologías de banda ancha ultrarrápida.

La compañía afirma que más de 31 millones de unidades inmobiliarias están ya conectadas o tienen acceso a su red de fibra FTTH, consolidando así su papel en el proceso de digitalización de infraestructuras en España. Esta migración no solo mejora la experiencia de usuario, sino que también reduce costes de mantenimiento y eleva la sostenibilidad del modelo operativo.

Un antes y un después en la historia de las telecomunicaciones en España

El fin de la red de cobre en España marca un antes y un después en la evolución de las telecomunicaciones del país. La sustitución del ADSL por fibra no solo implica un salto tecnológico, sino también un cambio estructural en la forma de ofrecer servicios de internet, televisión y telefonía.

Telefónica celebra su centenario cerrando un ciclo crucial, apostando por una infraestructura robusta, escalable y preparada para los retos del futuro digital. Su liderazgo en esta transición tecnológica refuerza su posición frente a la competencia y le permite seguir siendo un referente en innovación dentro del mercado europeo.

En fin, la clausura definitiva de las centrales de cobre y el apagón del ADSL en España reafirman la apuesta estratégica de Telefónica por un modelo de conectividad basado exclusivamente en fibra óptica FTTH. Este hito posiciona a la compañía como pionera en Europa en completar esta transición y deja claro su compromiso con la modernización de las redes y la expansión de la conectividad ultrarrápida en todo el territorio español.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#50

Noticias Informáticas / Elon Musk se aleja del DOGE de Trump para centrarse en Tesla, X y Starship

Mayo 26, 2025, 01:39:46 PM

Elon Musk, figura clave en la administración de Donald Trump a través del controvertido Departamento de Eficiencia Gubernamental (DOGE), ha anunciado que volverá a centrarse a tiempo completo en sus empresas tecnológicas. Según el magnate, su atención se dirige ahora a X (antiguo Twitter), Tesla, xAI y el inminente lanzamiento de Starship, lo que indica un aparente distanciamiento de su rol político.

¿Adiós al DOGE? Musk prioriza sus empresas tecnológicas

Musk ha sido una pieza central del ambicioso plan de Trump para reducir el tamaño del gobierno federal. Entre las medidas implementadas bajo el DOGE se encuentran recortes de personal, envío de emails con ultimátums laborales y la promoción de jornadas de trabajo de hasta 120 horas semanales. Sin embargo, los recientes problemas técnicos en sus compañías parecen haber hecho que el empresario replantee sus prioridades.

La caída generalizada de X, que dejó a millones de usuarios sin acceso durante varias horas, fue uno de los detonantes de este cambio de enfoque. En respuesta a un tuit que atribuía la interrupción del servicio a un incendio en un centro de datos en Oregón, Musk explicó que ha vuelto a trabajar en modo 24/7. "Estoy durmiendo en las salas de conferencias, los servidores y las fábricas. Debo concentrarme por completo en X, xAI, Tesla y el lanzamiento de Starship", declaró.

X, xAI y Tesla: el nuevo epicentro de Elon Musk

Musk también aprovechó para explicar los recientes fallos de disponibilidad en 𝕏:

Citar"Como demuestran los problemas de esta semana, es necesario implementar mejoras operativas. La redundancia de conmutación por error debería haber funcionado, pero no lo hizo".

Este enfoque contrasta con sus declaraciones de hace apenas un mes, cuando, tras la presentación de resultados de Tesla, aseguró que dedicaría uno o dos días a la semana a temas de gobierno mientras Trump lo considerara útil, una vez establecida la estructura básica del DOGE.

Menor participación política y foco en la innovación tecnológica

Durante una intervención virtual en el Foro Económico de Catar, Elon Musk afirmó que reducirá significativamente sus donaciones políticas, aunque no especificó los motivos. Este anuncio ha sido interpretado como un nuevo paso hacia su retirada parcial de la escena gubernamental, al menos de forma temporal.

De momento, no hay una confirmación oficial de su renuncia al DOGE ni a su papel en el gobierno de Trump, pero la afirmación de que está "24/7 enfocado en sus empresas" deja poco margen para la especulación. Esta decisión puede verse como una estrategia para recuperar la confianza de los inversores, especialmente después del descenso de ventas de Tesla en Europa, lo que ha generado inquietud en los mercados.

DOGE y su impacto: de la política al código COBOL

La creación del DOGE ha provocado polémica dentro y fuera del gobierno federal. Entre sus objetivos estaba la eliminación o reformulación de agencias clave, como la Oficina de Protección Financiera del Consumidor y la USAID. Incluso propuso una migración urgente del sistema del Seguro Social, desarrollado en COBOL, un lenguaje de programación considerado obsoleto.

Musk y Trump compartían una visión de eficiencia radical, enfocada en eliminar lo que consideraban burocracia innecesaria. Sin embargo, el retorno del empresario a sus intereses corporativos podría dejar al DOGE sin uno de sus principales impulsores.

En fin, la decisión de Elon Musk de dedicar todo su tiempo a X, Tesla, xAI y SpaceX parece marcar un punto de inflexión en su papel dentro de la administración de Trump. Aunque no se ha anunciado oficialmente su salida del DOGE, su reciente actividad y declaraciones públicas apuntan a un repliegue de sus funciones gubernamentales.

Esta nueva etapa reafirma a Musk como un líder tecnológico global que prioriza el desarrollo de inteligencia artificial, vehículos eléctricos y exploración espacial, dejando en segundo plano su aventura política. El tiempo dirá si este alejamiento del DOGE es definitivo o simplemente una pausa estratégica.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#51

Noticias Informáticas / Detectan campaña de malware con Winos 4.0 y Catena en falsos instaladores

Mayo 26, 2025, 01:31:33 PM

Expertos en ciberseguridad han identificado una nueva campaña activa en 2025 que distribuye el malware Winos 4.0 (ValleyRAT) a través de instaladores troyanizados de software legítimo como QQ Browser y LetsVPN. La investigación fue realizada por Rapid7, quienes detectaron la operación maliciosa por primera vez en febrero de 2025.

Esta campaña utiliza un cargador en memoria multietapa denominado Catena, el cual permite evadir herramientas antivirus tradicionales al cargar el malware directamente en la memoria del sistema, sin dejar rastros evidentes en disco.

Catena: carga en memoria y evasión avanzada

Según los investigadores Anna Širokova e Ivan Feigl, Catena emplea shellcode embebido, lógica de configuración dinámica y cargas útiles en memoria para desplegar Winos 4.0, minimizando su visibilidad ante soluciones de seguridad.

Citar"Una vez ejecutado, el malware establece conexión con servidores controlados por los atacantes, mayormente ubicados en Hong Kong, para recibir instrucciones o descargar módulos adicionales", explican los expertos.

El ataque se dirige principalmente a sistemas de habla china, lo que refuerza la hipótesis de que esta es una campaña geoespecífica cuidadosamente planificada, atribuida a un grupo de amenazas sofisticado.

¿Qué es Winos 4.0 (ValleyRAT)?

Winos 4.0, también conocido como ValleyRAT, es un marco malicioso avanzado derivado del troyano de acceso remoto Gh0st RAT. Está escrito en C++ y utiliza una arquitectura modular basada en complementos, permitiendo:

Robo de información
Acceso remoto tipo shell
Ejecución de comandos
Ataques de denegación de servicio distribuido (DDoS)

Este malware fue documentado por primera vez por Trend Micro en junio de 2024, y ha sido relacionado con el grupo APT Void Arachne, también conocido como Silver Fox.

Vectores de infección: señuelos de software y phishing

La campaña detectada utiliza una cadena de infección sofisticada basada en instaladores NSIS disfrazados de herramientas populares como:

QQ Browser (desarrollado por Tencent)
LetsVPN (aplicación VPN)

También se ha observado el uso de phishing dirigido, como correos electrónicos falsificados en nombre de la Oficina Nacional de Impuestos de Taiwán, con archivos maliciosos adjuntos.

Rapid7 señaló que en abril de 2025 se observó un cambio táctico en la operación, ajustando componentes del vector Catena para mejorar su capacidad de evasión.

Evasión de antivirus y persistencia sigilosa

La campaña aplica técnicas avanzadas de evasión, incluyendo:

Comandos de PowerShell para excluir todas las unidades de escaneo por parte de Microsoft Defender.
Carga reflexiva de DLLs para mantener la persistencia de manera encubierta.
Shellcode oculto en archivos .ini.
Firmas digitales válidas o caducadas para simular legitimidad.

Uno de los binarios identificados estaba firmado con un certificado expirado de VeriSign, supuestamente perteneciente a Tencent Technology (Shenzhen). Este ejecutable toma una instantánea de los procesos en ejecución y detecta la presencia de antivirus como 360 Total Security, desarrollado por Qihoo 360.

Comunicación con infraestructura C2

Winos 4.0 establece conexiones con servidores de comando y control (C2) codificados estáticamente, usando:

Puerto TCP 18856
Puerto HTTPS 443
IPs como 134.122.204[.]11 y 103.46.185[.]44

Aunque el malware verifica si el sistema tiene configurado el idioma chino, la ejecución no se detiene si este requisito no se cumple, lo que indica una funcionalidad aún en desarrollo.

Amenaza persistente y altamente dirigida

La campaña Catena-Winos 4.0 revela una operación de malware avanzada y bien organizada que se enfoca en usuarios y organizaciones de habla china. El uso de instaladores falsificados de software legítimo, técnicas de carga en memoria, evasión de antivirus y persistencia sigilosa la convierten en una amenaza significativa en el panorama actual.

Los investigadores sugieren que la campaña podría estar vinculada a Silver Fox APT, dada la infraestructura compartida y el enfoque lingüístico y geográfico de los ataques.

Recomendaciones para mitigar el riesgo

Evitar la descarga de software desde fuentes no oficiales.
Monitorizar la ejecución de procesos inusuales o cargadores NSIS.
Implementar políticas estrictas de control de PowerShell y exclusiones antivirus.
Verificar la integridad y validez de los certificados digitales en instaladores.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#52

Noticias Informáticas / Glitch cerrará su alojamiento de apps y perfiles de usuario el 8 de julio

Mayo 26, 2025, 01:26:16 PM

La reconocida plataforma de desarrollo web Glitch ha anunciado oficialmente que cerrará su servicio de alojamiento de aplicaciones y eliminará los perfiles de usuario a partir del 8 de julio de 2025. Esta decisión responde a los cambios en el ecosistema de desarrollo y al creciente abuso del sistema, que ha elevado significativamente los costes operativos.

La noticia fue confirmada por el propio CEO de Glitch, Anil Dash, quien destacó la evolución del mercado como un factor clave para esta transición.

Citar"Con tantas buenas opciones para crear y ejecutar aplicaciones fácilmente, la arquitectura heredada de Glitch ya no ofrece un valor excepcional al ecosistema de desarrolladores", afirmó Dash.

El futuro de Glitch: redireccionamientos y acceso prolongado

Aunque el alojamiento de proyectos y perfiles de usuario se desactivará el 8 de julio, los usuarios seguirán teniendo acceso a su panel hasta finales de 2025. Durante este tiempo, podrán descargar el código de sus proyectos para migrarlos a otras plataformas.

Para facilitar la transición, Glitch implementará una nueva función que permite configurar redireccionamientos de subdominios. De esta forma, las URLs de los proyectos seguirán siendo accesibles. Estos redireccionamientos estarán activos hasta al menos finales de 2026, brindando tiempo suficiente a los usuarios para adaptar sus flujos de trabajo.

¿Qué pasará con las suscripciones a Glitch Pro?

Todos los usuarios con suscripciones activas a Glitch Pro seguirán disfrutando del servicio hasta el cierre oficial en julio. Además, aquellos que hayan pagado por adelantado recibirán un reembolso proporcional. Desde el anuncio, ya no se aceptan nuevas suscripciones a Glitch Pro.

Glitch: una plataforma clave en el desarrollo web

Desde su lanzamiento en 2017, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta ha sido un pilar para desarrolladores, educadores y creadores de prototipos, permitiendo la creación y edición de aplicaciones web directamente desde el navegador. En su apogeo, en 2019, Glitch alojaba más de 2,5 millones de aplicaciones, destacando por su interfaz intuitiva y sus funciones de colaboración en tiempo real.

Sin embargo, el entorno tecnológico ha cambiado rápidamente. El aumento de costes de alojamiento y los abusos de la plataforma por parte de actores maliciosos han sido determinantes en la decisión de Glitch de cerrar este capítulo.

Alternativas a Glitch para desarrolladores

El equipo de Glitch reconoce que hoy existen soluciones más modernas y escalables para el desarrollo web. Algunas de las alternativas a Glitch más populares incluyen:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Deno Deploy
Netlify
GitHub Pages

En lugar de competir directamente con estas plataformas, Glitch ha optado por redireccionar sus esfuerzos hacia nuevas formas de servir a la comunidad de desarrolladores, como destacar proyectos que se encuentren alojados en plataformas externas.

¿Cómo prepararse para el cierre de Glitch?

Por el momento, Glitch recomienda a sus usuarios visitar el foro de la comunidad para obtener ayuda y consejos sobre la migración de proyectos. Además, están trabajando en la publicación de una guía detallada que facilitará la transición a nuevas plataformas de desarrollo y alojamiento.

En fin, el cierre del alojamiento de aplicaciones en Glitch marca el fin de una era para muchos desarrolladores web. Sin embargo, también representa una oportunidad para adoptar nuevas herramientas y flujos de trabajo más modernos. Con tiempo suficiente para migrar y redireccionamientos garantizados hasta 2026, los usuarios pueden planificar esta transición sin prisa, asegurando que sus proyectos sigan funcionando en nuevos entornos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#53

Noticias Informáticas / GitLab Duo en riesgo: descubren vulnerabilidad de inyección indirecta

Mayo 23, 2025, 12:28:35 PM

Investigadores de ciberseguridad han identificado una grave vulnerabilidad de inyección de avisos indirecta en GitLab Duo, el asistente de inteligencia artificial (IA) integrado en la plataforma de desarrollo GitLab. Esta falla podría haber permitido a atacantes robar código fuente de proyectos privados, exfiltrar vulnerabilidades críticas y redirigir a las víctimas a sitios web maliciosos mediante la inserción de HTML no confiable en las respuestas del asistente.

¿Qué es GitLab Duo y cómo funciona?

GitLab Duo es un asistente de codificación basado en IA, diseñado para ayudar a los desarrolladores a escribir, revisar y modificar código de forma eficiente. Introducido en junio de 2023, este sistema utiliza los modelos de lenguaje de Claude, desarrollados por Anthropic, y forma parte del esfuerzo de GitLab por integrar inteligencia artificial en sus flujos de trabajo de DevOps.

La vulnerabilidad: inyección de avisos indirecta

Según la firma Legit Security, el asistente GitLab Duo Chat era vulnerable a un tipo de ataque conocido como inyección de avisos indirecta. A diferencia de las inyecciones directas, este tipo de ataques introduce instrucciones maliciosas ocultas en contextos aparentemente inofensivos, como comentarios, descripciones de issues, mensajes de confirmación o incluso fragmentos de código. Al procesar estos elementos, la IA ejecuta sin saberlo comandos diseñados por el atacante.

Impacto potencial

Los efectos de esta vulnerabilidad son significativos:

Robo de código fuente privado de proyectos confidenciales.
Manipulación de las sugerencias de código que GitLab Duo muestra a otros usuarios.
Filtración de vulnerabilidades de día cero aún no divulgadas públicamente.
Inyección de HTML malicioso que puede generar enlaces a sitios de phishing o ejecutar código JavaScript no autorizado.

Técnicas de evasión utilizadas por los atacantes

Los atacantes utilizaron técnicas avanzadas para ocultar sus instrucciones maliciosas:

Codificación en Base16 y Unicode.
Uso de formatos como KaTeX en texto blanco.
Aprovechamiento de la representación de Markdown en streaming, que permite interpretar HTML mientras se genera la respuesta del asistente.

Estas técnicas complicaban la detección de los avisos inyectados y permitían que se ejecutaran silenciosamente en el navegador del usuario.

Cómo fue posible la explotación

La vulnerabilidad radica en que GitLab Duo analiza todo el contexto visible en la página, sin realizar un filtrado adecuado de los datos introducidos por los usuarios. Esto incluye descripciones, comentarios y código fuente. Esta falta de sanitización permitió que los atacantes sembraran instrucciones maliciosas en múltiples partes del entorno de desarrollo.

El investigador Omer Mayraz señaló que esto también permitía incluir código JavaScript malicioso dentro de los fragmentos sugeridos por Duo o disfrazar URL maliciosas como enlaces seguros, redirigiendo a las víctimas a páginas falsas de inicio de sesión para el robo de credenciales.

Filtración de datos mediante solicitudes de fusión

Legit Security demostró que era posible insertar comentarios maliciosos en las descripciones de las solicitudes de fusión (merge requests). Cuando GitLab Duo procesaba estas solicitudes, el código fuente sensible podía ser enviado automáticamente a un servidor controlado por los atacantes.

Esto fue posible gracias al uso de Markdown de streaming, que interpretaba las respuestas en HTML mientras se generaban, permitiendo la ejecución inadvertida de código HTML malicioso.

Medidas tomadas por GitLab

Tras una divulgación responsable realizada el 12 de febrero de 2025, GitLab corrigió la vulnerabilidad. Sin embargo, el incidente destaca los riesgos asociados con la incorporación de asistentes de IA en procesos de desarrollo sensibles, especialmente en plataformas utilizadas por grandes equipos y empresas.

"Esta vulnerabilidad pone de relieve el doble filo de los asistentes de IA como GitLab Duo", afirmó Mayraz. "Pueden ser herramientas poderosas, pero también introducen vectores de ataque que antes no existían".

Contexto más amplio: otros incidentes similares

Este hallazgo coincide con otras investigaciones recientes sobre asistentes de IA:

Microsoft Copilot para SharePoint también fue señalado por permitir a atacantes acceder a documentos confidenciales incluso desde archivos con permisos restringidos.
ElizaOS (anteriormente Ai16z), un framework de agentes IA descentralizados para Web3, puede ser manipulado con instrucciones ocultas que afectan múltiples usuarios y provocan transferencias de activos indeseadas.
Se ha identificado que los modelos de lenguaje también son vulnerables a técnicas de jailbreaking y alucinaciones, donde la IA produce respuestas erróneas o inventadas sin base en los datos de entrada.

En fin, la exposición de GitLab Duo a ataques por inyección de avisos indirecta revela los desafíos en la seguridad de sistemas basados en inteligencia artificial. Aunque GitLab actuó con rapidez para resolver el problema, el incidente subraya la necesidad de aplicar controles de seguridad más estrictos en entornos de desarrollo con asistencia de IA.

Las organizaciones que adopten soluciones de IA deben considerar no solo los beneficios en productividad, sino también los riesgos latentes que pueden comprometer la integridad de sus sistemas y la privacidad de sus datos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#54

Noticias Informáticas / ViciousTrap: Nueva amenaza compromete miles de routers Cisco

Mayo 23, 2025, 12:11:30 PM

Un grupo de investigadores de ciberseguridad ha revelado que un actor de amenazas, identificado como ViciousTrap, ha comprometido cerca de 5.300 dispositivos de red perimetral en 84 países, convirtiéndolos en parte de una red de honeypots maliciosa. La mayoría de los dispositivos infectados se encuentran en Macao, con más de 850 routers afectados.

Vulnerabilidad CVE-2023-20118: el punto de entrada

El actor de amenazas está explotando la vulnerabilidad crítica CVE-2023-20118, que afecta a varios modelos de routers Cisco Small Business, entre ellos:

RV016
RV042
RV042G
RV082
RV320
RV325

Esta falla permite la ejecución remota de comandos no autorizados, lo que ha facilitado el secuestro masivo de dispositivos y su incorporación a una red controlada por el atacante.

NetGhost: el script malicioso detrás de la operación

Según un análisis publicado por Sekoia, la cadena de infección comienza con la ejecución de un script de shell denominado NetGhost, diseñado para redirigir el tráfico entrante desde puertos específicos del router comprometido hacia una infraestructura controlada por el atacante. Esto permite a ViciousTrap interceptar y analizar el tráfico, simulando un entorno tipo honeypot.

Citar"El mecanismo de redireccionamiento posiciona efectivamente al atacante como un observador silencioso, capaz de recopilar intentos de explotación y accesos a web shells en tránsito", explicaron los investigadores Felix Aimé y Jeremy Scion.

ViciousTrap vs PolarEdge: ¿dos campañas relacionadas?

Aunque previamente la explotación de la CVE-2023-20118 se atribuyó a otra botnet conocida como PolarEdge, los analistas de Sekoia no han encontrado evidencia concluyente que vincule ambas operaciones. Sin embargo, se han detectado indicios de reutilización de código, incluyendo un web shell no documentado empleado en ataques anteriores por PolarEdge.

Ampliando el alcance: más de 50 marcas afectadas

ViciousTrap no se limita a routers Cisco. Se cree que el grupo está atacando una amplia gama de dispositivos orientados a Internet, entre ellos:

Routers SOHO
Sistemas VPN SSL
Grabadoras de video digital (DVR)
Controladores BMC

Entre las marcas objetivo se incluyen ASUS, D-Link, Linksys, QNAP y Araknis Networks, lo que sugiere un esfuerzo coordinado para recopilar información sobre herramientas de explotación y potencialmente capturar vulnerabilidades de día cero (0-day).

Proceso detallado de infección

Explotación inicial: uso de CVE-2023-20118 para ejecutar un script bash mediante ftpget.

Descarga del binario wget desde un servidor externo.
Segunda explotación de la vulnerabilidad, esta vez para ejecutar un nuevo script descargado con wget.
Ejecución de NetGhost, que redirige el tráfico de red y borra su rastro del sistema comprometido.

Este proceso permite al atacante realizar ataques tipo adversario en el medio (AitM) y mantener un bajo perfil, dificultando su detección.

Origen y atribución geográfica

Los intentos de explotación iniciales se remontan a marzo de 2025 y provienen de la dirección IP 101.99.91[.]151, ubicada en Malasia y registrada bajo el Sistema Autónomo AS45839, operado por Shinjiru, un proveedor de hosting. En mayo de 2025, se detectaron nuevos ataques desde otra IP (101.99.91[.]239), esta vez dirigidos a routers ASUS.

Aunque no se han configurado honeypots en esos dispositivos adicionales, el patrón sugiere un intento por expandir la infraestructura de vigilancia y recopilación de datos. Sekoia apunta a un posible origen chino para ViciousTrap, basándose en similitudes con la infraestructura GobRAT y en el hecho de que el tráfico interceptado se redirige a activos en Taiwán y Estados Unidos.

Objetivo incierto, impacto potencial alto

Aunque el objetivo final de ViciousTrap sigue sin estar claro, los investigadores concluyen con alta confianza que se trata de una red global de honeypots maliciosos. Esta infraestructura podría usarse para:

Espionaje cibernético
Recolección de exploits desconocidos
Análisis de tácticas de otros grupos de amenazas
Desarrollo de nuevos ataques dirigidos

Recomendaciones para prevenir la explotación de CVE-2023-20118

Actualizar el firmware de los routers Cisco Small Business y otros dispositivos orientados a Internet.
Deshabilitar el acceso remoto si no es estrictamente necesario.
Implementar soluciones de detección de intrusos (IDS) y firewalls avanzados.
Supervisar los logs de red para identificar comportamientos inusuales o comandos ejecutados sin autorización.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#55

Noticias Informáticas / Campaña ClickFix en TikTok: propagan los malware Vidar y StealC

Mayo 23, 2025, 12:04:30 PM

Los ciberdelincuentes han lanzado una nueva campaña maliciosa en TikTok utilizando tácticas de ingeniería social para propagar los malware de robo de información Vidar y StealC. Esta amenaza, identificada por investigadores de Trend Micro, forma parte de una táctica denominada ClickFix, que aprovecha la popularidad de la red social para engañar a los usuarios y hacerlos ejecutar comandos maliciosos de PowerShell.

¿Cómo funciona el ataque ClickFix en TikTok?

Los atacantes publican videos en TikTok, probablemente generados con inteligencia artificial (IA), que simulan ser tutoriales para activar Windows, Microsoft Office o desbloquear funciones premium en aplicaciones legítimas como CapCut o Spotify. Los videos muestran instrucciones detalladas y convincentes que alientan a los usuarios a ejecutar comandos de PowerShell bajo la falsa premisa de mejorar su experiencia.

CitarSegún Trend Micro:

"Este ataque utiliza videos (posiblemente generados por IA) para instruir a los usuarios a ejecutar comandos de PowerShell que en realidad descargan malware. El alcance algorítmico de TikTok amplifica la exposición, con videos que alcanzan cientos de miles de visitas."

Uno de estos videos, que promete mejorar Spotify "al instante", ya acumula cerca de 500,000 visualizaciones, 20,000 me gusta y más de 100 comentarios.

El funcionamiento del ataque: de TikTok al robo de datos

Cuando los usuarios siguen las instrucciones del video, ejecutan un comando de PowerShell que descarga un script remoto desde No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.]me/spotify. Este script instala el malware Vidar o StealC, ejecutándolo en segundo plano con privilegios elevados.

Funcionalidades del malware Vidar:

Captura de pantalla del escritorio
Robo de credenciales y contraseñas almacenadas
Exfiltración de cookies, tarjetas de crédito y billeteras de criptomonedas
Acceso a archivos de texto y bases de datos de autenticación de Authy 2FA

Capacidades del malware StealC:

Robo de datos desde navegadores web y aplicaciones de criptomonedas
Recolección de archivos sensibles del sistema
Monitoreo del comportamiento del usuario

Después de comprometer el sistema, el malware descarga una segunda carga útil desde No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.]co/script[.]PS1, que añade una entrada en el registro de Windows para ejecutar el script automáticamente al inicio del sistema.

¿Qué es ClickFix y por qué es peligroso?

ClickFix es una técnica de ataque que emplea falsos mensajes de error o CAPTCHA fraudulentos para manipular al usuario y lograr que ejecute scripts maliciosos. Aunque inicialmente se dirigía a sistemas Windows, ya se han observado variantes dirigidas a macOS y Linux.

Además de actores criminales independientes, grupos de amenazas patrocinados por Estados también han empleado esta técnica:

APT28 y ColdRiver (Rusia)
Kimsuky (Corea del Norte)
MuddyWater (Irán)

Estas organizaciones han incorporado ClickFix en campañas de espionaje cibernético, demostrando la efectividad y versatilidad de esta táctica maliciosa.

TikTok: una plataforma en crecimiento para campañas de malware

Esta campaña no es un caso aislado. En el pasado, los ciberdelincuentes han utilizado desafíos virales de TikTok para distribuir malware. Un ejemplo fue el "Invisible Challenge", que se usó para propagar el WASP Stealer (también conocido como Discord Token Grabber). Esta amenaza fue distribuida mediante videos virales con más de un millón de visitas, infectando a miles de usuarios.

El malware WASP Stealer permite:

Robar credenciales de Discord
Acceder a contraseñas y tarjetas de crédito
Vaciar billeteras de criptomonedas

Además, TikTok ha sido aprovechado por estafadores de criptomonedas, quienes publican falsas promociones de Elon Musk, Tesla y SpaceX para engañar a los usuarios e inducirlos a entregar sus claves privadas y datos financieros.

Recomendaciones para evitar infecciones por malware en TikTok

Desconfía de videos que te pidan ejecutar comandos de PowerShell, incluso si parecen inofensivos o provienen de cuentas populares.
Verifica siempre la autenticidad de los tutoriales, especialmente los relacionados con activaciones de software o funciones premium.
Usa soluciones de ciberseguridad actualizadas con protección en tiempo real contra scripts y malware.
No descargues archivos desde enlaces acortados o sospechosos, especialmente si provienen de redes sociales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#56

Noticias Informáticas / Signal protege la privacidad bloqueando Recall de Microsoft en Windows 11

Mayo 23, 2025, 12:00:25 PM

La aplicación de mensajería segura Signal ha implementado una actualización clave en su versión para Windows 11 con el objetivo de proteger la privacidad de los usuarios frente a las nuevas funciones de inteligencia artificial impulsadas por Microsoft. En particular, Signal ha activado por defecto su función de "seguridad de pantalla" para bloquear el acceso de Recall, la polémica herramienta de Microsoft que captura y analiza capturas de pantalla de forma continua.

¿Qué es Microsoft Recall y por qué es un riesgo para la privacidad?

Recall, presentada por Microsoft en mayo de 2024, es una función basada en IA que toma capturas de pantalla periódicas de todas las ventanas activas del sistema para crear una base de datos indexada que puede consultarse mediante lenguaje natural. Aunque la idea detrás de Recall es facilitar la productividad, expertos en ciberseguridad han advertido que representa una amenaza significativa para la privacidad, ya que puede ser explotada por atacantes para robar información confidencial.

Para mitigar el riesgo, Microsoft anunció varios ajustes en Recall, incluyendo:

Requerir autenticación con Windows Hello.
Excluir ciertas aplicaciones, sitios web y sesiones privadas.
Filtrar datos sensibles como contraseñas o números de tarjeta de crédito.
Incorporar protecciones contra malware y ataques automatizados.

Sin embargo, estas medidas no han sido suficientes para tranquilizar a todos los usuarios ni a los desarrolladores de aplicaciones centradas en la privacidad como Signal.

Signal activa la seguridad de pantalla para bloquear Recall

Ante esta situación, Signal ha decidido actuar por su cuenta. La nueva función de "seguridad de pantalla" en Signal Desktop para Windows 11 impide que Recall y otras aplicaciones puedan realizar capturas de pantalla de las conversaciones, gracias al uso de una etiqueta de gestión de derechos digitales (DRM) que restringe el acceso al contenido visible de la aplicación.

Según Joshua Lund, desarrollador de Signal, "Microsoft no nos ha dejado otra opción. Aunque la compañía ha realizado varios ajustes a Recall en los últimos doce meses, su funcionamiento sigue poniendo en riesgo los datos sensibles mostrados en aplicaciones como Signal".

Consideraciones de accesibilidad y control del usuario

Signal reconoce que habilitar la seguridad de pantalla puede afectar la experiencia de usuarios que utilizan lectores de pantalla, especialmente en entornos como macOS o Linux, donde esta función no impide que otros programas capturen imágenes o grabaciones de las conversaciones.

Por este motivo, Signal permite desactivar la seguridad de pantalla manualmente desde el menú Configuración > Privacidad > Seguridad de la pantalla. No obstante, al hacerlo, la aplicación mostrará una advertencia destacando que Windows podría volver a capturar pantallas de los chats si Recall u otras herramientas están activas.

Un llamado a los desarrolladores de IA

Lund también expresó su preocupación sobre el enfoque de Microsoft y otros equipos de IA, señalando que las aplicaciones centradas en la privacidad no deberían verse obligadas a implementar soluciones de tipo "hack" para proteger los datos de sus usuarios.

Citar"Esperamos que los desarrolladores de IA consideren más seriamente las implicaciones de privacidad. Las personas no deberían tener que elegir entre accesibilidad y seguridad digital", afirmó Lund.

Recall ya está disponible en Windows 11 para el público general

En abril de 2025, Microsoft comenzó el despliegue de Recall a través de la actualización KB5055627 para dispositivos Copilot+. En mayo, amplió su disponibilidad a todos los usuarios que instalaron las actualizaciones del martes de parches correspondientes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#57

Noticias Informáticas / Operación RapTor: 270 arrestos en redadas globales

Mayo 22, 2025, 08:33:17 PM

Una operación internacional coordinada por Europol, denominada Operación RapTor, ha resultado en el arresto de 270 sospechosos vinculados a actividades criminales en la web oscura. Esta acción policial se centró en proveedores y compradores que operaban en mercados clandestinos en línea a lo largo de 10 países.

Las autoridades de Europa, América del Sur, Asia y Estados Unidos participaron en esta operación masiva, que también llevó a la incautación de más de 184 millones de euros (207 millones de dólares) en efectivo y criptomonedas, más de 2 toneladas de drogas (como anfetaminas, cocaína, ketamina, opioides y cannabis), y más de 180 armas de fuego.

Golpe mundial al crimen organizado en la web oscura

"Una operación global de aplicación de la ley, coordinada por Europol, ha asestado un gran golpe a las redes criminales de la dark web, con 270 arrestos de vendedores y compradores ilegales en múltiples países", declaró la agencia europea el jueves.

La Operación RapTor fue diseñada para desmantelar redes dedicadas al tráfico de drogas, armas y productos falsificados que operaban bajo la apariencia del anonimato en la darknet. Las fuerzas del orden utilizaron inteligencia obtenida de operaciones anteriores, como los cierres de los mercados ilegales Nemesis, Tor2Door, Bohemia y Kingdom Market, para identificar a los sospechosos.

Detenciones internacionales por país

La mayoría de los arrestos se llevaron a cabo en:

Estados Unidos: 130 detenciones
Alemania: 42
Reino Unido: 37
Francia: 29
Corea del Sur: 19

Otros 13 sospechosos fueron detenidos en Países Bajos, Austria, Brasil, España y Suiza, reflejando el alcance verdaderamente global de esta ofensiva contra la delincuencia digital.

Inteligencia y colaboración: las claves del éxito

Edvardas Šileris, jefe del Centro Europeo de Ciberdelincuencia (EC3) de Europol, destacó la importancia de la colaboración internacional:

Citar"La Operación RapTor demuestra que la web oscura no es inmune al alcance de la ley. La cooperación entre agencias y el intercambio de inteligencia han sido fundamentales para identificar y arrestar a criminales que creían estar ocultos en las sombras digitales."

El equipo Joint Criminal Opioid and Darknet Enforcement (JCODE) del Departamento de Justicia de EE.UU. y Europol continúan analizando evidencia digital recopilada en redadas anteriores para localizar a otros sospechosos vinculados a actividades ilícitas en la darknet.

Antecedentes de operaciones similares contra la web oscura

La Operación RapTor forma parte de una serie de ofensivas globales lideradas por Europol y agencias asociadas para combatir la ciberdelincuencia y el narcotráfico digital:

Operación SpecTor (2023): 288 arrestos y más de 55 millones de dólares incautados.
Operación DisrupTor (2020): 179 detenciones de proveedores de la darknet.
Operación Dark HunTOR (2021): 150 arrestos adicionales en plataformas ilícitas.
Operación contra Hydra (2022): cierre del mayor mercado de la web oscura, con más de 19.000 cuentas de vendedores y más de 17 millones de clientes a nivel global.

Impacto en el ecosistema de la darknet

Estas operaciones han enviado un mensaje claro a los usuarios de la web oscura: el anonimato no garantiza impunidad. Los arrestos masivos y las incautaciones millonarias demuestran que las autoridades poseen los medios técnicos y legales para rastrear, identificar y detener a los delincuentes digitales, incluso en entornos cifrados y distribuidos.

En fin, la Operación RapTor representa uno de los mayores golpes recientes contra la criminalidad en la web oscura, con un alcance multinacional, incautaciones significativas y un fuerte impacto disuasorio. La colaboración entre agencias de ciberseguridad, policía internacional y unidades especializadas en criptomonedas es clave para frenar el crecimiento de la economía criminal en línea.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#58

Noticias Informáticas / Ciberdelincuentes atacan usuarios de Ledger en macOS

Mayo 22, 2025, 08:29:21 PM

Las campañas de ciberdelincuentes están evolucionando para atacar a usuarios de macOS mediante aplicaciones falsas de Ledger, con el objetivo de robar frases semilla y obtener acceso completo a billeteras de criptomonedas.

Ledger, una de las marcas más reconocidas de billeteras de hardware para criptomonedas, permite almacenar activos digitales de forma segura y fuera de línea. Su mecanismo de recuperación, la frase semilla (seed phrase), es un conjunto de 12 o 24 palabras aleatorias que permite restaurar el acceso a los fondos. Esta frase debe guardarse en privado, fuera de línea y nunca ser introducida en software o sitios no oficiales.

Evolución de los ataques contra usuarios de Ledger en macOS

Según un informe reciente de Moonlock Lab, los ataques comenzaron en agosto de 2024, cuando versiones maliciosas de la app Ledger Live clonaban la interfaz legítima para recolectar contraseñas, notas y detalles de las billeteras, aunque sin lograr acceso completo a los fondos.

Sin embargo, a partir de marzo de 2025, los ataques evolucionaron con la aparición de un malware para macOS llamado Odyssey, vinculado a un actor de amenazas identificado como Rodrigo. Esta variante sustituye la aplicación Ledger Live real por una versión troyanizada que muestra un mensaje de "error crítico" y luego solicita a la víctima que ingrese su frase inicial de 24 palabras en una interfaz falsa.

Una vez introducida la frase semilla, los atacantes pueden vaciar completamente las carteras Ledger, robando activos como Bitcoin, Ethereum y otras criptomonedas en cuestión de segundos.

Malware Odyssey y campañas imitadoras

Odyssey también es capaz de robar nombres de usuario de macOS y exfiltrar toda la información recopilada a un servidor C2 (comando y control). Su efectividad generó rápidamente la aparición de malware imitador, como el conocido ladrón AMOS, que adoptó estrategias similares para atacar a los usuarios.

En abril, se detectó una campaña de AMOS utilizando un archivo DMG troyanizado (JandiInstaller.dmg) que logra evadir Gatekeeper, el sistema de seguridad de macOS. Esta aplicación mostraba pantallas de phishing idénticas a las de Odyssey. Una vez que la víctima introducía su frase semilla, se mostraba un mensaje falso de "Aplicación corrupta", lo que retrasaba la sospecha mientras se realizaba el robo de activos.

Nuevos actores y campañas activas en 2025

Investigadores de la empresa de seguridad Jamf detectaron recientemente una campaña en curso en la que un archivo DMG ejecuta una versión falsa de Ledger Live que carga una página de phishing mediante iframe, imitando la interfaz oficial. Estos ataques combinan técnicas de phishing dirigido, robo de datos del navegador, y análisis del sistema macOS, para maximizar la extracción de información sensible y criptomonedas.

Además, otro actor identificado en foros de la dark web, bajo el alias @mentalpositive, ha estado promocionando un supuesto módulo "anti-Ledger", aunque hasta ahora no se han detectado muestras funcionales.

Cómo proteger tu billetera Ledger en macOS

Para mantener tus activos digitales seguros y proteger tu billetera Ledger en macOS:

Descarga Ledger Live solo desde el sitio oficial (No tienes permitido ver enlaces. Registrate o Entra a tu cuenta).
Nunca ingreses tu frase semilla en una aplicación o sitio web. La frase solo debe escribirse en el dispositivo físico de Ledger durante la configuración o recuperación.
Evita abrir archivos .DMG de fuentes no verificadas. Verifica la firma del desarrollador antes de instalar cualquier software.
Activa Gatekeeper y el escaneo automático de malware en tu Mac.
Considera utilizar software antivirus específico para macOS que detecte malware como Odyssey o AMOS.

En fin, los ataques dirigidos a usuarios de Ledger en macOS están aumentando en frecuencia y sofisticación. El objetivo principal de los ciberdelincuentes es la frase semilla, el acceso maestro a tus criptomonedas. La mejor defensa es la prevención, evitando apps no oficiales y manteniéndose alerta ante cualquier comportamiento sospechoso del sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#59

Noticias Informáticas / Grupo chino UAT-6382 explota CVE-2025-0944

Mayo 22, 2025, 08:24:03 PM

Un grupo de amenazas persistentes avanzadas de habla china, identificado como UAT-6382, ha sido vinculado a la explotación activa de la vulnerabilidad CVE-2025-0944 en el software Trimble Cityworks, con el objetivo de comprometer redes gubernamentales en Estados Unidos. Esta campaña maliciosa permitió la distribución de Cobalt Strike y VShell, dos herramientas ampliamente utilizadas para el control remoto y la persistencia en entornos comprometidos.

Explotación de la vulnerabilidad CVE-2025-0944

La vulnerabilidad CVE-2025-0944, con una puntuación CVSS de 8.6, corresponde a un fallo de deserialización de datos no confiables en Trimble Cityworks, una plataforma de gestión de activos basada en GIS utilizada por múltiples organismos públicos. Esta falla permitía la ejecución remota de código (RCE) en sistemas vulnerables.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) añadió CVE-2025-0944 a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) en febrero de 2025, tras confirmar su uso activo en campañas dirigidas.

Técnicas del grupo UAT-6382

Según un análisis técnico publicado por los investigadores de Cisco Talos, Asheer Malhotra y Brandon White, los ataques comenzaron a partir de enero de 2025 y se enfocaron principalmente en redes empresariales de agencias gubernamentales locales dentro de Estados Unidos.

Citar"UAT-6382 explotó con éxito CVE-2025-0944, realizó tareas de reconocimiento inicial y desplegó una serie de shells web y malware personalizado para mantener acceso persistente", explicaron los expertos.

Una vez obtenido el acceso inicial, UAT-6382 mostró especial interés en sistemas relacionados con la gestión de servicios públicos, apuntando directamente a infraestructuras críticas.

Herramientas utilizadas en la intrusión

La explotación de Trimble Cityworks permitió a UAT-6382 desplegar un cargador de malware escrito en Rust, identificado por Cisco Talos como TetraLoader. Esta herramienta está basada en MaLoader, un framework de construcción de malware disponible públicamente y escrito en chino simplificado, lo que refuerza el vínculo del grupo con actores de origen chino.

TetraLoader fue utilizado para cargar y ejecutar:

Cobalt Strike, una conocida herramienta de post-explotación usada en pruebas de penetración y por actores maliciosos.
VShell, una herramienta de acceso remoto (RAT) desarrollada en Go, utilizada para mantener el acceso a largo plazo a los sistemas infectados.

Además, los atacantes desplegaron una variedad de web shells populares en el ecosistema de cibercrimen chino, entre ellos:

AntSword
chinatso/Chopper
Behinder

Estas herramientas facilitaron la ejecución remota de comandos, el movimiento lateral y la exfiltración de datos sensibles.

Reconocimiento y persistencia

Durante la campaña, los operadores de UAT-6382 realizaron una enumeración exhaustiva de directorios en los servidores comprometidos para identificar archivos de interés. Luego, trasladaron estos archivos a directorios donde se encontraban los web shells, permitiendo así una exfiltración discreta.

Citar"UAT-6382 descargó e implementó múltiples puertas traseras usando PowerShell, lo que les permitió mantener control total sobre los sistemas comprometidos", detallaron los investigadores de Cisco Talos.

Recomendaciones de seguridad

Aunque la vulnerabilidad ya ha sido parcheada por Trimble, es crucial que las organizaciones tomen medidas inmediatas para reducir el riesgo de compromisos similares:

Aplicar todas las actualizaciones de seguridad disponibles para Trimble Cityworks.
Realizar una auditoría de los sistemas potencialmente expuestos a través de CVE-2025-0944.
Monitorizar indicadores de compromiso (IoCs) asociados con TetraLoader, Cobalt Strike, VShell y los shells web mencionados.
Implementar reglas de detección para PowerShell anómalo y procesos ejecutados desde ubicaciones no estándar.

En fin, el ataque dirigido por UAT-6382 contra sistemas que utilizan Trimble Cityworks representa una grave amenaza para las infraestructuras gubernamentales locales, aprovechando una vulnerabilidad crítica para desplegar herramientas avanzadas de ciberespionaje. Esta campaña refuerza la necesidad urgente de mantener una gestión de vulnerabilidades proactiva, así como una vigilancia constante frente a amenazas persistentes avanzadas (APT) de origen extranjero.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#60

Noticias Informáticas / Vulnerabilidad en Windows Server 2025 permite escalada de privilegios vía dMSA

Mayo 22, 2025, 07:54:56 PM

Una nueva vulnerabilidad de escalada de privilegios en Windows Server 2025 podría permitir que atacantes comprometan a cualquier usuario dentro de un entorno de Active Directory (AD), incluidos los administradores de dominio. El fallo está relacionado con una función recientemente introducida: las Cuentas de Servicio Administradas Delegadas (dMSA).

¿En qué consiste la vulnerabilidad?

La investigación, publicada por Yuval Gordon, experto en seguridad de Akamai, y compartida con The Hacker News, revela que el fallo puede ser explotado con la configuración predeterminada de Windows Server 2025, lo que lo convierte en un vector de ataque potencialmente masivo.

Citar"El ataque explota la función dMSA introducida en Windows Server 2025, funciona con la configuración por defecto y es trivial de implementar", explicó Gordon.

Según los análisis de Akamai, el 91% de los entornos evaluados presentaban usuarios fuera del grupo de administradores de dominio con los permisos necesarios para llevar a cabo el ataque.

¿Qué son las cuentas dMSA y por qué son un riesgo?

Las dMSA (Delegated Managed Service Accounts) fueron incorporadas en Windows Server 2025 como una solución para reemplazar cuentas de servicio tradicionales y mitigar ataques como el Kerberoasting. Estas cuentas permiten crear servicios administrados más seguros y con menor exposición de contraseñas.

Sin embargo, esta misma funcionalidad puede ser manipulada para crear una vía de ataque que ha sido bautizada por Akamai como BadSuccessor.

Citar"dMSA permite a los usuarios crear nuevas cuentas de servicio o reemplazar cuentas de servicio existentes. Durante este proceso, la autenticación se gestiona mediante la Autoridad de Seguridad Local (LSA) y el nuevo dMSA hereda todos los accesos previos", explica Microsoft en su documentación oficial.

El problema de seguridad: PAC y SIDs heredados

El problema se origina en la fase de autenticación Kerberos. Cuando un ticket de concesión de tickets (TGT) es emitido por el Centro de Distribución de Claves (KDC), el certificado de atributo de privilegio (PAC) incluido en el ticket contiene el identificador de seguridad (SID) de la nueva dMSA, así como los SIDs del usuario original y sus grupos asociados.

Esta transferencia de permisos no intencionada puede ser aprovechada por atacantes para simular una migración legítima de cuenta, escalando privilegios sin necesidad de tener control sobre la cuenta de origen. Incluso si una organización no utiliza dMSA, podría estar en riesgo.

Citar"Lo más preocupante es que esta técnica de migración simulada no requiere permisos sobre la cuenta reemplazada, solo permisos de escritura sobre los atributos de cualquier dMSA", advirtió Gordon.

Una vez configurada una dMSA como sucesora de un usuario, el KDC asume una migración válida y asigna todos los permisos del usuario anterior a la nueva cuenta, permitiendo incluso obtener privilegios comparables al derecho de replicación de cambios de directorio, usado comúnmente en ataques DCSync.

Respuesta de Microsoft y mitigaciones

Akamai notificó a Microsoft el 1 de abril de 2025. La compañía de Redmond clasificó el fallo como de gravedad moderada, ya que la explotación requiere permisos específicos sobre objetos dMSA. Sin embargo, se confirmó que un parche ya está en desarrollo.

Mientras tanto, no existe una solución inmediata, por lo que se recomienda a las organizaciones tomar medidas proactivas:

Restringir la capacidad de crear dMSA a usuarios o grupos estrictamente necesarios.
Endurecer permisos en unidades organizativas (OU).
Auditar permisos CreateChild en Active Directory.
Usar el script de PowerShell publicado por Akamai, el cual permite enumerar todas las entidades que pueden crear dMSA y las OU donde tienen permiso.

En fin, esta vulnerabilidad en Windows Server 2025 demuestra cómo incluso nuevas funciones de seguridad pueden ser explotadas si no se implementan con un control de permisos riguroso. El ataque BadSuccessor representa una amenaza crítica para entornos Active Directory, especialmente aquellos que aún no han auditado su uso de dMSA.

Se recomienda a todos los administradores de sistemas y responsables de ciberseguridad que evalúen de inmediato sus políticas de permisos y creación de cuentas de servicio, en espera de un parche oficial por parte de Microsoft.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#61

Noticias Informáticas / Detectan malware en PyPI que usa APIs de TikTok e Instagram

Mayo 21, 2025, 11:01:51 AM

Investigadores de ciberseguridad han identificado paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hacían pasar por herramientas legítimas, pero que en realidad servían para verificar direcciones de correo electrónico robadas a través de las APIs de TikTok e Instagram.

Paquetes maliciosos eliminados de PyPI

Los tres paquetes detectados han sido retirados del repositorio, pero durante su tiempo en línea fueron descargados miles de veces:

checker-SaGaF – 2.605 descargas
Steinlurks – 1.049 descargas
Sinnercore – 3.300 descargas

Según la investigadora Olivia Brown de Socket, el paquete checker-SaGaF estaba diseñado para verificar si una dirección de correo electrónico estaba asociada a cuentas en TikTok e Instagram. Lo hacía enviando solicitudes HTTP POST a los puntos finales de recuperación de contraseñas y login de ambas plataformas, validando así la existencia del correo electrónico como cuenta activa.

Riesgos asociados a la validación de correos electrónicos robados

Una vez verificados, los actores de amenazas pueden usar los correos electrónicos válidos para:

Lanzar campañas de spam o doxing
Realizar ataques de "credential stuffing"
Suspender cuentas mediante reportes falsos
Vender listas de correos válidos en la dark web

Brown advierte que "aunque pueda parecer inofensivo crear diccionarios de emails activos, esta información habilita cadenas completas de ciberataques y reduce la probabilidad de detección".

Steinlurks e Instagram: evasión de detección con API falsa

El segundo paquete malicioso, steinlurks, también apuntaba a cuentas de Instagram. Simulaba la aplicación oficial de Instagram para Android con el fin de evadir mecanismos de seguridad, y accedía a múltiples endpoints de la API:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este enfoque sofisticado permitía a los atacantes evitar mecanismos de detección automática de Instagram y verificar cuentas sin levantar alertas.

Sinnercore: objetivo múltiple con foco en Instagram, Telegram y criptomonedas

El paquete sinnercore se centraba en activar el flujo de recuperación de contraseña para usuarios de Instagram a través del endpoint:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Pero además, incluía funcionalidades para extraer datos de usuarios de Telegram, como nombre, ID, biografía y estado premium. También incorporaba utilidades relacionadas con criptomonedas, como:

Consulta de precios en tiempo real desde Binance
Conversión de divisas
Extracción de información detallada de paquetes PyPI, lo que podría usarse para crear perfiles falsos de desarrolladores o suplantación de identidad.

Campañas de puerta trasera en PyPI y conexiones con Phoenix Hyena

En paralelo, ReversingLabs reveló otro paquete malicioso llamado dbgpkg, que se hacía pasar por una herramienta de depuración. Este implante incluía una puerta trasera para permitir ejecución remota de código y exfiltración de datos. Aunque fue retirado tras unas 350 descargas, contenía la misma carga útil que discordpydebug, identificado anteriormente por Socket.

También se detectó un tercer paquete sospechoso: requestsdev, con 76 descargas antes de su eliminación. Se cree que todos forman parte de una campaña coordinada.

El análisis técnico sugiere que estos paquetes utilizaban técnicas avanzadas como:

Uso de GSocket (Global Socket Toolkit) para comunicación encubierta
Envoltura de funciones de Python para persistencia y evasión
Persistencia de largo plazo sin ser detectados

Estas tácticas coinciden con el modus operandi del grupo hacktivista Phoenix Hyena (también conocido como DumpForums o Silent Crow), conocido por atacar objetivos rusos como Doctor Web tras el inicio del conflicto en Ucrania en 2022.

Aunque la atribución no es concluyente, el uso de cargas útiles idénticas y la fecha de publicación de los paquetes refuerzan la hipótesis de una posible conexión con este grupo.

Amenaza también en el ecosistema npm

Además del ecosistema Python, los investigadores han identificado paquetes maliciosos en npm, como koishi-plugin-pinhaofa, que instalan puertas traseras para exfiltrar datos desde chatbots que usan el framework Koishi.

Disfrazado como una herramienta de autocorrección ortográfica, el plugin escaneaba cada mensaje en busca de cadenas hexadecimales de 8 caracteres, que pueden representar:

Hashes de confirmación de Git
Tokens JWT truncados
Credenciales API
CRC-32 o GUIDs

Al detectar una coincidencia, reenviaba el mensaje completo a una cuenta de QQ codificada, potencialmente incluyendo secretos, contraseñas o tokens confidenciales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#62

Noticias Informáticas / Chrome ahora cambia tus contraseñas filtradas automáticamente

Mayo 21, 2025, 10:36:30 AM

Google ha anunciado una nueva función en su navegador Chrome que fortalece la seguridad de las cuentas en línea al permitir que su Administrador de contraseñas (Google Password Manager) cambie automáticamente una contraseña comprometida cuando se detecta que ha sido filtrada en una brecha de datos.

Cambio automático de contraseñas: una nueva capa de seguridad en Chrome

Cuando un usuario inicia sesión en un sitio web y Chrome detecta que la contraseña está comprometida, el Administrador de contraseñas de Google ofrece una opción para corregirla automáticamente, según explicaron Ashima Arora, Chirag Desai y Eiji Kitamura, ingenieros de Google.

Citar"En los sitios web compatibles, Chrome puede generar una contraseña segura de reemplazo y actualizarla automáticamente, sin que el usuario tenga que intervenir manualmente", explicaron.

Esta función se basa en las capacidades ya existentes de Google Password Manager, que incluyen:

Generación automática de contraseñas seguras al registrarse en un sitio.
Detección de contraseñas vulneradas en filtraciones de datos públicas.
Almacenamiento seguro y sincronización entre dispositivos.

Objetivo: reducir la fricción y mejorar la seguridad

Con esta nueva funcionalidad de cambio automático de contraseñas, Google busca reducir la fricción del usuario y facilitar la adopción de buenas prácticas de seguridad, sin requerir que el usuario busque configuraciones complejas o abandone el proceso a mitad de camino.

La automatización de este proceso ayuda a los usuarios a responder rápidamente ante una violación de seguridad, sin necesidad de conocimientos técnicos.

¿Cómo pueden los sitios web adoptar esta funcionalidad?

Google ha proporcionado directrices claras para que los administradores de sitios web adopten esta funcionalidad y mejoren la seguridad de sus usuarios:

Usar los atributos autocomplete="current-password" y autocomplete="new-password" en los campos del formulario para habilitar el autocompletado y el almacenamiento de contraseñas.
Configurar una redirección desde https://<dominio>/ .well-known/change-password hacia la página de cambio de contraseña del sitio web.

Esta última medida permite que los administradores de contraseñas como el de Google puedan dirigir automáticamente a los usuarios al formulario de cambio de contraseña.

Citar"Sería mucho más fácil si los administradores de contraseñas pudieran guiar al usuario directamente a la URL de cambio de contraseña", señaló Eiji Kitamura. "Aquí es donde una ruta de URL conocida se vuelve especialmente útil".

Transición hacia claves de acceso más seguras

Este avance en el gestor de contraseñas de Google Chrome ocurre en un momento en que las principales empresas tecnológicas están adoptando claves de acceso (passkeys) como una alternativa más segura a las contraseñas tradicionales.

Recientemente, Microsoft anunció que las claves de acceso serán el método predeterminado para nuevas cuentas de cliente, reforzando así su apuesta por la autenticación sin contraseña y la prevención de ataques de apropiación de cuentas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#63

Noticias Informáticas / Filtración del código fuente de VanHelsing

Mayo 21, 2025, 10:26:13 AM

La operación de ransomware como servicio (RaaS) VanHelsing ha filtrado públicamente su código fuente, incluyendo su panel de afiliados, blog de filtración de datos y constructor de encriptadores para Windows, tras un intento de venta no autorizado por parte de un exdesarrollador en el foro de ciberdelincuencia RAMP.

VanHelsing: una nueva amenaza en el ecosistema RaaS

Lanzado en marzo de 2025, VanHelsing RaaS promociona su capacidad para atacar múltiples plataformas, incluidos Windows, Linux, BSD, sistemas ARM y servidores VMware ESXi. Desde su aparición, ha sido responsable de al menos ocho ataques confirmados, según el portal especializado No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Intento de venta en el foro RAMP desencadena la filtración

En la madrugada del 21 de mayo, un usuario bajo el alias 'th30c0der' intentó vender el código fuente de la infraestructura de VanHelsing por $10.000 USD. La oferta incluía:

Claves TOR
Panel web de administración
Sistema de chat y servidor de archivos
Blog de fuga de datos
Constructor de encriptadores para Windows y Linux
Base de datos

El anuncio, publicado en el foro RAMP, provocó una reacción inmediata por parte de los operadores legítimos de VanHelsing, quienes acusaron al vendedor de ser un antiguo miembro del equipo que intentaba estafar a otros actores de amenazas.

Como respuesta, el grupo decidió liberar el código fuente por su cuenta, asegurando que pronto lanzarán una nueva versión, denominada VanHelsing 2.0.

¿Qué incluye el código fuente filtrado?

El sitio de ciberseguridad BleepingComputer analizó el contenido filtrado y confirmó que incluye:

El código fuente del encriptador para Windows.
El panel de afiliados, con su punto final api.php.
Un descifrador y un cargador (loader).

Elementos de un bloqueador de MBR, diseñado para sobrescribir el registro de arranque maestro con un cargador que muestra un mensaje de bloqueo.

No obstante, el material no incluye el constructor para Linux ni bases de datos completas, lo que limita su utilidad para investigadores de ciberseguridad y agencias de aplicación de la ley.

Análisis técnico del constructor de VanHelsing

El código presenta una estructura desordenada, con archivos de proyecto de Visual Studio ubicados en la carpeta "Release", que normalmente se reserva para binarios ya compilados. El constructor de ransomware necesita conectarse al panel de afiliados, previamente alojado en 31.222.238[.]208, para recopilar la información requerida para la compilación de los encriptadores.

Sin embargo, dado que también se filtró el código del panel de afiliados, los actores de amenazas podrían modificar el código fuente o desplegar sus propias versiones funcionales del sistema.

La historia se repite: filtraciones anteriores de código fuente de ransomware

Esta no es la primera vez que se filtra el código fuente de una operación de ransomware. Casos similares han tenido un impacto considerable en la evolución del malware:

Babuk (junio 2021): Su constructor filtrado facilitó la creación de encriptadores para Windows y VMware ESXi, convirtiéndose en una de las bases más usadas por nuevos grupos.
Conti (marzo 2022): La filtración del código tras una brecha interna permitió a otros actores lanzar sus propias variantes de este ransomware.
LockBit (septiembre 2022): Un desarrollador descontento divulgó el constructor de la banda, el cual ha sido reutilizado extensamente por diversos grupos criminales.

Implicaciones de seguridad

La filtración del código fuente de VanHelsing representa una amenaza significativa, ya que reduce la barrera técnica para que ciberdelincuentes menos sofisticados puedan lanzar sus propias campañas de ransomware. También complica la labor de defensa de las empresas, al multiplicarse las variantes de malware basadas en este código.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#64

Noticias Informáticas / Vulnerabilidad crítica en tema Motors de WordPress permite secuestro de cuentas

Mayo 21, 2025, 10:20:32 AM

Una vulnerabilidad crítica de escalada de privilegios ha sido descubierta en el popular tema premium de WordPress Motors, desarrollado por StylemixThemes. Esta falla de seguridad permite a atacantes no autenticados tomar el control total de los sitios web afectados, incluyendo el secuestro de cuentas de administrador.

¿Qué es el tema Motors de WordPress?

Motors es uno de los temas automotrices más vendidos en la plataforma de WordPress. Diseñado específicamente para concesionarios de autos, servicios de alquiler de vehículos y portales de venta de autos usados, este tema ha sido adquirido más de 22.300 veces en Envato Market, donde cuenta con cientos de reseñas positivas y una comunidad de usuarios muy activa.

Detalles de la vulnerabilidad: CVE-2025-4322

La falla, identificada como CVE-2025-4322, fue divulgada públicamente por Wordfence, empresa líder en seguridad para WordPress, y registrada en la Base de Datos Nacional de Vulnerabilidades (NVD). Afecta a todas las versiones del tema Motors hasta la 5.6.67 inclusive.

Según Wordfence, el problema reside en que "el tema no valida correctamente la identidad del usuario antes de permitir el cambio de contraseña", lo que habilita a atacantes a:

Cambiar contraseñas de usuarios arbitrariamente, incluso de administradores.
Obtener acceso completo al panel de administración de WordPress.
Instalar malware, robar datos confidenciales y redirigir tráfico a sitios maliciosos.

Actualización de seguridad disponible

El desarrollador StylemixThemes ha lanzado la versión 5.6.68 del tema Motors el 14 de mayo de 2025, corrigiendo la vulnerabilidad crítica. Se recomienda actualizar de inmediato a esta versión para mitigar riesgos de seguridad.

Debido a que los temas de WordPress son componentes esenciales del sitio y no pueden desactivarse fácilmente sin afectar su funcionalidad, es prioritario instalar esta actualización lo antes posible.

¿Cómo actualizar el tema Motors de forma segura?

StylemixThemes proporciona una guía detallada de actualización, con instrucciones para hacerlo a través del panel de administración de WordPress, mediante la API de Envato o manualmente por FTP.

🔒 Recomendación de seguridad: Antes de realizar cualquier actualización del tema, asegúrate de realizar una copia de seguridad completa del sitio web para evitar la pérdida de datos en caso de errores.

¿Quiénes están en mayor riesgo?

Aunque esta vulnerabilidad no afecta a un plugin masivamente instalado, como suele ser el caso en otras brechas de seguridad de WordPress, el impacto sigue siendo considerable. Dado su precio elevado —$79 por la licencia regular y $2.000 por la extendida—, Motors es comúnmente utilizado en sitios comerciales activos, lo que aumenta el potencial de explotación por parte de ciberdelincuentes.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#65

Noticias Informáticas / Regeneron compra 23andMe y resurgen dudas sobre la privacidad genética

Mayo 19, 2025, 07:43:12 PM

Durante años, depositar saliva en un tubo fue el primer paso para descubrir el origen de tu ADN, conocer predisposiciones genéticas y hasta encontrar familiares perdidos. Todo desde casa. La empresa pionera en este modelo fue 23andMe, que popularizó el análisis genético como servicio de consumo masivo.

Sin embargo, esta historia ha dado un giro radical. Regeneron Pharmaceuticals anunció la compra de los principales activos de 23andMe por 256 millones de dólares, según su comunicado oficial. Esta adquisición, que aún debe ser aprobada por el tribunal de bancarrota y reguladores de EE. UU., marca el fin de una era y el inicio de una nueva etapa para millones de usuarios cuyos datos genéticos forman parte de la plataforma.

El colapso de 23andMe: de unicornio a venta forzosa

La caída de 23andMe no fue repentina. La empresa pasó de una valoración de más de 6.000 millones de dólares a una lucha desesperada por sobrevivir. Apostó por un modelo más ambicioso que incluía el desarrollo de fármacos, consultas médicas por suscripción y servicios de salud digital, pero no funcionó. Según The Wall Street Journal, la compañía gastó más de 1.000 millones de dólares y terminó vendiendo parte de sus activos en condiciones límite.

La operación de compra por parte de Regeneron no incluye todo el negocio. La farmacéutica se quedará con los activos estratégicos: el servicio de genómica directa al consumidor, su biobanco genético y las divisiones de investigación biomédica. No se incluye Lemonaid Health, la filial de telemedicina adquirida por 400 millones de dólares, cuyo cierre se ejecutará de forma independiente.

La privacidad del ADN, en el centro del debate

Con esta adquisición, el foco vuelve a estar en la privacidad de los datos genéticos. Regeneron ha prometido respetar las políticas actuales de uso de datos y someterse a auditorías independientes como parte del acuerdo legal. Aun así, expertos y defensores de la privacidad expresan su preocupación sobre cómo se gestionará una de las bases de datos genéticos más grandes del mundo.

Este recelo no es infundado. En 2023, 23andMe sufrió una filtración de datos masiva que afectó a 6,9 millones de usuarios. Según TechCrunch, los atacantes accedieron a perfiles habilitados para la función de "familiares genéticos", accediendo a nombres, ubicaciones y porcentajes de ADN compartido. Aunque la compañía atribuyó la filtración a la reutilización de contraseñas, el incidente dejó una gran mancha en su reputación.

Anne Wojcicki: la visión que no se concretó

La figura de Anne Wojcicki, cofundadora y rostro público de 23andMe, es inseparable de esta historia. Su visión era clara: convertir el análisis genético en una herramienta clave para la medicina personalizada. Durante años, lideró la expansión de la empresa y la defendió como una aliada para mejorar la salud global.

Sin embargo, la apuesta no prosperó. Wojcicki intentó recuperar el control cuando comenzaron los problemas financieros, pero perdió poder tras el inicio del proceso judicial. Según WSJ, sus acciones con voto preferente fueron anuladas y sus ofertas rechazadas por la junta directiva.

Regeneron y el futuro de la genómica personal

Con esta operación, Regeneron busca aprovechar el valor estratégico del ADN y avanzar en nuevos enfoques de tratamiento basados en perfiles genéticos. En su comunicado oficial, la farmacéutica aseguró que mantendrá el servicio para los usuarios actuales y seguirá desarrollando aplicaciones clínicas basadas en la enorme base de datos adquirida.

Este movimiento reabre viejas preguntas: ¿Quién debería controlar la información genética de millones de personas? ¿Es seguro entregar datos personales tan sensibles a empresas privadas? ¿Cómo se garantizará la seguridad de los datos genéticos en el futuro?

La venta de los activos de 23andMe a Regeneron no solo representa un cambio de manos, sino también un hito en la historia de la genómica de consumo. Mientras la empresa farmacéutica intenta capitalizar esta valiosa información, los usuarios y defensores de la privacidad seguirán exigiendo respuestas claras sobre el uso, la protección y el futuro de sus datos más íntimos: su ADN.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#66

Noticias Informáticas / RVTools comprometido: distribuye malware en entornos VMware

Mayo 19, 2025, 06:43:59 PM

El sitio web oficial de RVTools, la popular utilidad de generación de informes para entornos VMware, ha sido hackeado para distribuir un instalador malicioso. Esta versión troyanizada se utilizaba para entregar Bumblebee, un conocido cargador de malware, lo que ha encendido las alarmas en la comunidad de ciberseguridad.

Sitios oficiales comprometidos: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En una declaración publicada brevemente antes de que los sitios fueran desconectados, la empresa responsable de RVTools informó:

Citar"Robware.net y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta están actualmente fuera de línea. Estamos trabajando rápidamente para restaurar el servicio y agradecemos su paciencia."

También advirtieron que:

Citar"Robware.net y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta son los únicos sitios web autorizados y compatibles con el software RVTools. No busque ni descargue el supuesto software de RVTools de ningún otro sitio web o fuente".

El instalador malicioso de RVTools descarga Bumblebee

La infección fue descubierta por el investigador de seguridad Aidan Leon, quien identificó que la versión comprometida del instalador de RVTools descargaba una DLL maliciosa, que luego ejecutaba Bumblebee, un cargador de malware utilizado frecuentemente como puerta de entrada a ataques más complejos, incluyendo ransomware.

Aún no se ha determinado cuánto tiempo estuvo disponible la versión maliciosa ni cuántos usuarios llegaron a descargarla antes de que el sitio fuera desconectado.

Recomendaciones para usuarios de RVTools

Se insta a todos los usuarios a:

Verificar el hash del instalador de RVTools descargado recientemente.
Revisar cualquier ejecución sospechosa de version.dll dentro de los directorios de usuario.

Estas medidas pueden ayudar a detectar posibles infecciones asociadas al malware Bumblebee y evitar consecuencias más graves.

Otro caso grave: software de impresoras Procolored con malware XRed y SnipVex

Simultáneamente, se ha revelado que el software oficial incluido con impresoras Procolored también estaba comprometido. En este caso, se descubrieron dos tipos de malware:

XRed, una puerta trasera escrita en Delphi, activa desde al menos 2019.
SnipVex, un clipper malicioso que reemplaza direcciones de criptomonedas en el portapapeles.

Los hallazgos fueron publicados por el youtuber Cameron Coward (Serial Hobbyism) y luego ampliados por el investigador de G DATA, Karsten Hahn.

Funcionalidades del backdoor XRed

XRed es capaz de:

Registrar pulsaciones de teclas.
Recopilar información del sistema.
Propagarse mediante dispositivos USB conectados.
Ejecutar comandos remotos desde un servidor de comando y control (C2).
Tomar capturas de pantalla y manipular archivos.

Aunque el servidor C2 de XRed está inactivo desde febrero de 2024, el malware aún representa una amenaza significativa.

SnipVex: el malware que roba criptomonedas

SnipVex monitorea el portapapeles en busca de direcciones de criptomonedas (por ejemplo, Bitcoin) y las reemplaza por una dirección controlada por los atacantes. De forma alarmante:

La dirección BTC utilizada ha recibido más de 9.3 BTC (unos 974.000 USD).
SnipVex infecta archivos .EXE, insertando un marcador específico (0x0A 0x0B 0x0C) al final, para evitar una reinfección.
Aunque el malware dejó de recibir transacciones desde el 3 de marzo de 2024, las infecciones siguen activas y afectan la integridad del sistema operativo.

Procolored reconoce compromiso en sus paquetes de software

La empresa Procolored confirmó que los paquetes infectados fueron cargados en MEGA en octubre de 2024 a través de unidades USB. En la actualidad, las descargas oficiales están limitadas a los siguientes productos:

F13 Pro
VF13 Pro
V11 Pro

Aunque el servidor de control de XRed ya no está operativo, los archivos comprometidos con SnipVex siguen representando una amenaza para los usuarios.

Verificación y precaución son claves

La reciente oleada de compromisos en software legítimo, desde RVTools hasta Procolored, destaca la necesidad crítica de:

Verificar las fuentes oficiales antes de descargar software.
Analizar los instaladores con herramientas antivirus y hashes de verificación.
Revisar comportamientos sospechosos, como la ejecución de DLLs inesperadas o cambios en el portapapeles.

Tanto administradores de sistemas como usuarios finales deben mantenerse alerta ante estas tácticas de distribución de malware cada vez más sofisticadas, que se aprovechan de herramientas confiables para infiltrarse en entornos corporativos y personales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#67

Noticias Informáticas / Mozilla corrige dos vulnerabilidades críticas de día cero en Firefox tras Pwn2Ow

Mayo 19, 2025, 06:29:14 PM

Mozilla ha publicado una actualización de seguridad de emergencia para corregir dos vulnerabilidades de día cero en Firefox, descubiertas recientemente durante la competencia de ciberseguridad Pwn2Own Berlin 2025. Estas fallas afectaban tanto a la versión de Firefox para escritorio como a Firefox para Android, además de las versiones de soporte extendido (ESR).

Las correcciones fueron lanzadas pocas horas después del cierre del evento, el sábado, momento en el que se demostró la segunda vulnerabilidad. Ambas fallas fueron consideradas críticas por Mozilla, debido al potencial impacto en la seguridad de los usuarios.

Detalles de las vulnerabilidades corregidas

La primera vulnerabilidad, identificada como CVE-2025-4918, consiste en un problema de lectura/escritura fuera de límites en el motor JavaScript de Firefox, específicamente al resolver objetos Promise. Este exploit fue demostrado durante el segundo día de la competencia Pwn2Own por los investigadores Edouard Bochin y Tao Yan de Palo Alto Networks, quienes recibieron un premio de 50.000 dólares por su descubrimiento.

Por otro lado, la segunda falla, CVE-2025-4919, también está relacionada con errores de lectura y escritura fuera de los límites en objetos JavaScript. En este caso, el problema se origina en una confusión de los tamaños de los índices de matrices, lo que permitió al investigador Manfred Paul obtener acceso no autorizado al renderizador del navegador. Esta hazaña le valió también un premio de 50.000 dólares.

Mozilla refuerza la seguridad del sandbox

Aunque ambas fallas representaban riesgos importantes para los usuarios de Firefox, Mozilla destacó que ninguno de los participantes logró evadir el sandbox del navegador, lo que refuerza la efectividad de las mejoras arquitectónicas recientes implementadas en su mecanismo de aislamiento.

"A diferencia de años anteriores, ninguno de los grupos participantes pudo escapar de nuestro sandbox este año. Tenemos confirmación verbal de que esto se atribuye a mejoras significativas en la arquitectura de nuestro entorno de sandbox", señaló Mozilla en su comunicado oficial.

Mozilla responde con rapidez tras Pwn2Own

Tras la demostración pública de estas dos vulnerabilidades, Mozilla movilizó rápidamente a un equipo global de expertos que trabajó intensamente para desarrollar, probar e implementar los parches de seguridad en un plazo récord. Esta respuesta ágil busca evitar la posible explotación activa en escenarios reales, especialmente considerando que la exposición pública de las fallas podría incentivar ataques dirigidos.

Los usuarios de Firefox deben actualizar lo antes posible a las siguientes versiones seguras:

Firefox 138.0.4
Firefox ESR 128.10.1
Firefox ESR 115.23.1

Contexto del evento Pwn2Own Berlin 2025

Pwn2Own Berlin 2025 concluyó el sábado con más de un millón de dólares en premios entregados a investigadores de todo el mundo. El equipo STAR Labs SG se consagró con el título "Master of Pwn", al lograr múltiples exploits exitosos durante el evento.

Esta no es la primera vez que Mozilla responde con celeridad ante vulnerabilidades reveladas en Pwn2Own. En la edición de Pwn2Own Vancouver 2024, también se demostraron dos fallas de día cero en Firefox, que fueron corregidas por la compañía al día siguiente.

En fin, la rápida actuación de Mozilla tras las vulnerabilidades CVE-2025-4918 y CVE-2025-4919 evidencia el compromiso de la empresa con la ciberseguridad de los usuarios de Firefox. Si bien no hay evidencia de explotación activa fuera del entorno controlado de Pwn2Own, se recomienda actualizar el navegador de inmediato para evitar posibles riesgos en el futuro.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#68

Noticias Informáticas / Falla en O2 UK permitía rastrear ubicación de usuarios

Mayo 19, 2025, 06:20:14 PM

Una grave vulnerabilidad de seguridad en la implementación de las tecnologías VoLTE (Voice over LTE) y WiFi Calling por parte del operador británico O2 UK permitía a cualquier persona rastrear la ubicación aproximada de un usuario y acceder a datos sensibles como el IMSI, IMEI e información de la celda a la que estaba conectado el dispositivo, simplemente realizando una llamada.

El hallazgo de la vulnerabilidad

El fallo fue descubierto por el investigador de seguridad Daniel Williams, quien señala que esta vulnerabilidad estuvo presente en la red de O2 UK desde el 27 de marzo de 2017 y fue finalmente corregida en mayo de 2025.

O2 UK, propiedad de Virgin Media O2, es uno de los principales proveedores de telecomunicaciones del Reino Unido, con cerca de 23 millones de clientes móviles y 5,8 millones de usuarios de banda ancha según datos de marzo de 2025. La empresa lanzó en 2017 su servicio IMS (subsistema multimedia IP) bajo el nombre de "4G Calling", diseñado para mejorar la calidad de audio en llamadas y la estabilidad de la conexión.

Interceptación de datos durante llamadas

Williams descubrió la falla al analizar el tráfico de red generado durante una llamada VoLTE. Detectó que los mensajes SIP (Session Initiation Protocol) intercambiados durante las llamadas contenían información excesivamente detallada, incluyendo:

El servidor IMS/SIP utilizado por O2 (Mavenir UAG)

Números de versión del software
Mensajes de error internos
Datos de depuración
Identificadores únicos del dispositivo como el IMSI y el IMEI
Información de localización basada en la torre celular más reciente

"Las respuestas que recibí de la red eran extremadamente detalladas y largas, nada comparables con otras redes que había analizado", comentó Williams.

Geolocalización precisa con herramientas públicas

Utilizando un teléfono Google Pixel 8 rooteado y la aplicación Network Signal Guru (NSG), Williams logró interceptar los mensajes de señalización IMS sin procesar. A partir de ellos, pudo identificar la última torre celular conectada por el dispositivo del destinatario y, posteriormente, localizarla geográficamente mediante mapas públicos de torres celulares.

En entornos urbanos, donde las torres son más densas, la precisión de localización alcanzaba los 100 m². Incluso en zonas rurales o cuando el objetivo se encontraba en el extranjero (como fue el caso de una prueba en Copenhague, Dinamarca), la vulnerabilidad seguía permitiendo una localización aproximada con alto nivel de fiabilidad.

O2 UK soluciona el fallo de seguridad

Aunque Williams intentó contactar a O2 UK los días 26 y 27 de marzo de 2025 sin obtener respuesta inmediata, la empresa confirmó posteriormente que la vulnerabilidad fue corregida. Pruebas recientes del investigador confirmaron que ya no es posible interceptar la información anteriormente expuesta.

Un portavoz de Virgin Media O2 declaró a BleepingComputer que los equipos de ingeniería llevaban semanas trabajando en una solución, la cual ha sido completamente implementada, sin necesidad de acción por parte de los clientes.

Citar"Nuestros equipos de ingeniería han estado trabajando y probando una solución durante varias semanas. Podemos confirmar que esto ya está completamente implementado y las pruebas sugieren que la solución ha funcionado. Nuestros clientes no necesitan tomar ninguna medida", dijo Virgin Media O2.

Sin embargo, cuando se le consultó a la compañía si esta falla de seguridad en VoLTE y WiFi Calling había sido explotada o si planean notificar a los usuarios afectados, no se obtuvo respuesta.

En fin, este incidente resalta la importancia crítica de implementar correctamente las tecnologías de comunicación modernas como VoLTE y WiFi Calling. Una mala configuración, como se evidenció en el caso de O2 UK, puede comprometer gravemente la privacidad y seguridad de millones de usuarios móviles, incluso sin que estos lo sepan. La transparencia en la comunicación y la rapidez en la respuesta son fundamentales para mitigar los riesgos y reforzar la confianza del consumidor en los servicios de telecomunicaciones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#69

Noticias Informáticas / Nobara 42: la distro Linux basada en Fedora que apuesta por el gaming y Brave

Mayo 18, 2025, 06:33:11 PM

Así como tras cada lanzamiento de Ubuntu surgen sus derivadas más populares, en los últimos años cada nueva versión de Fedora es seguida muy de cerca por Nobara, una distribución enfocada en ofrecer la mejor experiencia de juego en Linux. Esta distribución ha captado gran atención en la comunidad gamer, especialmente por su origen.

Nobara Linux está desarrollada por Thomas Crider, ingeniero de Red Hat y colaborador activo en proyectos clave del ecosistema gaming en Linux como Wine, Lutris y el popular Proton GloriousEggroll (Proton-GE), una variante de Proton de Valve ampliamente utilizada en Heroic Games Launcher y otros entornos. Gracias a esto, Nobara no es simplemente "una distro gaming más", sino una propuesta técnica sólida y diferenciada.

Nobara 42: basada en Fedora 42, pero con identidad propia

Lanzada poco después de Fedora 42, la nueva versión Nobara 42 hereda muchas de las mejoras del sistema base:

Kernel Linux 6.14
Mesa 25.1
GNOME 48
KDE Plasma 6.3

Sin embargo, Nobara se aleja en otros aspectos clave. Uno de los más destacados es que prioriza KDE Plasma como entorno de escritorio por encima de GNOME. Aunque ambas opciones están disponibles, KDE Plasma es la edición oficial y viene personalizada por defecto.

Actualmente, Nobara 42 ofrece cinco ediciones diferentes:

Edición oficial con KDE Plasma personalizado
Ediciones estándar con KDE Plasma o GNOME
Ediciones adaptadas para dispositivos como Steam Deck o centros multimedia

Además, cuatro de estas ediciones incluyen soporte para controladores privativos de NVIDIA preinstalados, un punto clave para los jugadores.

Brave sustituye a Firefox en Nobara 42

Una de las decisiones más notables de Nobara 42 es el cambio del navegador por defecto. Brave reemplaza a Firefox, pero no por razones ideológicas como en otros casos (como ocurrió con Zorin OS), sino por motivos técnicos. Según el equipo de desarrollo, tras diversas pruebas con Firefox, Vivaldi y otros navegadores basados en Chromium, Brave fue el único que ofreció una experiencia fluida con la aceleración gráfica y la reproducción de vídeos cortos (como YouTube Shorts o TikTok).

El navegador Brave se integra directamente desde su repositorio oficial, sin modificaciones en el código fuente. No obstante, Nobara aplica una configuración personalizada que desactiva funciones como:

Brave Rewards
Cartera de criptomonedas
VPN integrado
Modo Tor

Esta decisión busca ofrecer un navegador optimizado para rendimiento, seguridad y privacidad, sin características innecesarias.

Flatpost: nueva herramienta para gestionar aplicaciones Flatpak

Otra de las grandes novedades de Nobara 42 es la introducción de Flatpost, una herramienta propia diseñada para gestionar aplicaciones en formato Flatpak. Esta utilidad reemplaza a GNOME Software y Discover, y permite:

Instalar aplicaciones Flatpak fácilmente
Actualizar paquetes
Gestionar permisos desde una interfaz simplificada

Flatpost ha sido desarrollada para funcionar en cualquier entorno de escritorio, incluso en opciones no oficiales como Hyprland o Labwc, lo que la convierte en una solución versátil para usuarios avanzados.

Más novedades: controladores, compatibilidad y rolling release

Nobara 42 también incorpora mejoras importantes en la gestión de controladores gráficos:

Permite elegir entre versiones estables y en desarrollo de Mesa Vulkan Drivers
Soporta selección entre controladores de NVIDIA: versiones de producción, beta o con funciones nuevas
Incluye parches específicos en Mesa para mejorar la compatibilidad con Wine Wayland

Además, Nobara mantiene el enfoque de rolling release iniciado en su versión anterior. Esto significa que los usuarios existentes reciben las actualizaciones automáticamente a través del sistema de actualizaciones, sin necesidad de reinstalar.

Para nuevos usuarios, todas las ediciones de Nobara 42 están disponibles desde la página oficial de descargas.

Nobara 42, la mejor distro Linux para jugar en 2025

Si estás buscando una distribución Linux para juegos en 2025, Nobara 42 es una de las opciones más completas. Basada en Fedora, pero con un enfoque práctico en el rendimiento gráfico, compatibilidad con juegos y controladores preinstalados, Nobara no solo facilita la instalación, sino que optimiza el entorno desde el primer momento.

Con componentes clave como Proton-GE, Brave como navegador por defecto, y Flatpost para gestionar aplicaciones, Nobara se consolida como una alternativa ideal para gamers en Linux que buscan rendimiento, facilidad de uso y actualizaciones constantes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#70

Noticias Informáticas / GIMP 3 en Ubuntu: por qué la mejor opción podría ser Snap

Mayo 18, 2025, 05:05:59 PM

En el mundo de Linux, especialmente en Ubuntu, la recomendación general suele ser clara: usar aplicaciones en su formato nativo, es decir, paquetes DEB. Esto se debe a múltiples razones: mejor rendimiento, integración más fluida con el sistema, uso compartido de dependencias, entre otras.

Sin embargo, hay excepciones, y una de ellas se presenta si usas Ubuntu y GIMP es una de tus herramientas imprescindibles. Esta recomendación cobra aún más fuerza si ya has actualizado –o estás considerando hacerlo– a GIMP 3, la nueva y esperada versión del veterano editor de imágenes de código abierto.

¿Por qué no usar el paquete DEB o Flatpak?

En versiones recientes, Ubuntu no ha ofrecido siempre los paquetes más actualizados de ciertas aplicaciones en su repositorio oficial. Esta limitación ha motivado a muchos usuarios a buscar alternativas como PPA en Launchpad o formatos modernos como Flatpak, Snap y AppImage.

Aunque Flatpak se ha convertido en la opción preferida en muchas distribuciones gracias a su enfoque más abierto, lo cierto es que Snap, el formato impulsado por Canonical, puede seguir siendo la mejor alternativa para casos específicos. Y uno de esos casos es, sorprendentemente, GIMP 3 en Ubuntu.

Ventajas de instalar GIMP 3 desde Snap en Ubuntu

El lanzamiento de GIMP 3 ha traído consigo muchas novedades positivas: una interfaz más moderna, mejoras en el rendimiento y una experiencia más pulida. Sin embargo, también ha dejado atrás soporte para una gran cantidad de plugins populares, lo que ha generado ciertos inconvenientes.

En el caso de Ubuntu, una de las pérdidas más notables ha sido el paquete Plugins Registry, que incluía complementos tan utilizados como Save for Web, Liquid Rescale y especialmente G'MIC, uno de los más potentes. Este último no está disponible en la versión Flatpak de GIMP 3, lo que limita seriamente su funcionalidad para muchos usuarios.

Por el contrario, el paquete Snap de GIMP 3 sí incluye soporte para G'MIC, lo que resuelve este importante vacío. Además, ofrece una versión actualizada y estable compatible con todas las versiones de Ubuntu, sin necesidad de configuraciones complejas.

¿Y los demás plugins de GIMP?

Es cierto que algunos complementos presentes en Flatpak aún no han sido empaquetados en Snap, pero la disponibilidad inmediata de G'MIC y otros componentes críticos hacen que valga la pena optar por Snap si buscas la experiencia más completa con GIMP 3 en Ubuntu.

Además, el paquete Snap se actualiza con frecuencia, y aunque es mantenido por Snapcrafters (una colaboración entre comunidad y empleados de Canonical), se ha demostrado eficaz en mantener el ritmo de desarrollo del software.

Si usas Ubuntu, GIMP 3 funciona mejor con Snap

Aunque Flatpak se ha posicionado como la opción más abierta y flexible en muchas distribuciones Linux, en el caso de GIMP 3 en Ubuntu, Snap ofrece una solución más completa, especialmente si dependes de plugins como G'MIC.

Así que, si eres usuario de Ubuntu –sin importar la versión que utilices– y quieres disfrutar de la mejor experiencia con GIMP 3, considera seriamente instalarlo desde Snap Store. Sorprendentemente, es la opción más sólida en este caso.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#71

Noticias Informáticas / Wine 10.8 ya disponible: novedades, bugs corregidos y cómo instalar esta versión

Mayo 18, 2025, 04:41:43 PM

El proyecto WineHQ, responsable del conocido software que permite ejecutar aplicaciones de Windows en sistemas operativos como Linux, macOS y Android, ha lanzado oficialmente Wine 10.8, la más reciente versión de desarrollo de su rama estable.

Este lanzamiento se produce dos semanas después de Wine 10.7, en línea con el calendario quincenal de actualizaciones de desarrollo del proyecto. Estas versiones preliminares incorporan mejoras que serán consolidadas en la futura versión estable Wine 11.0, prevista para principios de 2026.

Novedades destacadas en Wine 10.8

Wine 10.8 introduce múltiples mejoras que impactan directamente en el rendimiento y la compatibilidad de aplicaciones de Windows sobre otros sistemas operativos. Entre los principales cambios de esta versión se incluyen:

Implementación de manejadores de usuario en memoria compartida, que optimizan el rendimiento general.
Mejoras en el soporte de imágenes TIFF, ampliando la compatibilidad con programas que utilizan este formato.
Avances significativos en el nuevo backend PDB, parte esencial para la depuración de aplicaciones.
Corrección de errores y ajustes menores que mejoran la estabilidad global del sistema.

En total, Wine 10.8 incorpora 241 cambios en su código base y corrige 18 errores identificados en versiones anteriores.

Lista de errores corregidos en Wine 10.8

A continuación se detallan algunos de los bugs solucionados en esta versión, muchos de ellos reportados por la comunidad de usuarios y desarrolladores:

Defiance no puede conectarse al servidor de inicio de sesión.
UrlGetPart devuelve resultados inconsistentes respecto a Windows.
Git clone falla en msys2/cygwin64 con error 'Socket operation on non-socket'.
Fallo al iniciar la ventana principal en Vegas Pro 14.
Crash en aplicaciones que usan ModernWPF, como Windows.UI.ViewManagement.UISettings.
Script ghidraRun.bat lanza error de sintaxis en cmd,for.
Bloqueo de aplicaciones al mostrar información sobre herramientas.
mintty.exe no muestra correctamente la salida de bash.exe en msys2/cygwin64.
Error de buffer underrun en dmsynth (synth_sink_write_data).
Problema con CoreMIDI al enviar eventos MIDI desde winmm.
Incompatibilidad de compilación con libglvnd <=1.3.3.
Glitches visuales en Final Fantasy XI Online.
Problemas al introducir datos en Adobe Lightroom Classic 10.4 (comctl32/edit).
Fallos en la interfaz de usuario de foobar2000 con DirectWrite.
EXCEPTION_ACCESS_VIOLATION en Hermanos de país con D3D11.
Compilación fallida de pruebas dwrite con mingw-gcc 15.
Problemas de cursor (Caret) en campos de texto largos.
Mal funcionamiento de boost::interprocess::named_mutex.

Cómo descargar e instalar Wine 10.8

Wine 10.8 ya se encuentra disponible para descarga desde la página oficial de WineHQ. En ella encontrarás instrucciones detalladas para instalar Wine en diferentes sistemas operativos:

Distribuciones Linux (como Ubuntu, Debian, Fedora, Arch Linux, etc.)
macOS
Android

Además, se ofrecen repositorios oficiales y paquetes precompilados para facilitar su implementación en entornos de prueba o desarrollo.

Próximas versiones: Wine 10.9 y Wine 11.0 en el horizonte

Si el equipo de WineHQ mantiene su ritmo habitual, la próxima versión de desarrollo, Wine 10.9, se publicará dentro de dos semanas. Estas actualizaciones forman parte del ciclo de mejoras continuas que culminará con el esperado lanzamiento de Wine 11.0 en 2026.

En conclusión, Wine 10.8 representa un paso más en la evolución de esta herramienta esencial para ejecutar aplicaciones de Windows en entornos no nativos. Con más de 240 cambios y 18 errores corregidos, esta versión de desarrollo refuerza el compromiso del equipo de WineHQ con la compatibilidad, estabilidad y mejora constante del software.

Si trabajas con aplicaciones de Windows en Linux, macOS o Android, mantenerte actualizado con estas versiones puede ofrecerte un rendimiento más pulido y nuevas capacidades.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#72

Noticias Informáticas / Debian 12.11: Nueva actualización estable con mejoras de seguridad y soporte

Mayo 18, 2025, 04:34:59 PM

La comunidad de desarrollo de Debian ha anunciado el lanzamiento oficial de Debian 12.11, la última actualización puntual de la serie estable "Bookworm" antes de la llegada de Debian 13. Esta nueva versión, sucesora de Debian 12.10, refuerza la estabilidad, seguridad y compatibilidad del sistema operativo GNU/Linux, siendo una opción ideal para quienes desean realizar una instalación limpia sin aplicar cientos de actualizaciones manuales.

Aunque se trata de la undécima versión numerada de Debian 12, es en realidad la décima revisión efectiva, ya que la versión 12.3 fue omitida debido a problemas críticos relacionados con el sistema de archivos EXT4.

Novedades y mejoras en Debian 12.11

Debian 12.11 incorpora un conjunto significativo de correcciones y mejoras de seguridad. Entre los principales cambios destacan:

81 errores corregidos en diversos paquetes del sistema.
45 actualizaciones de seguridad integradas directamente en la imagen de instalación.
Inclusión del kernel Linux 6.1 LTS, que proporciona mayor compatibilidad con hardware moderno y soporte a largo plazo.
Compatibilidad anticipada con futuras versiones de distribuciones como Debian 15 y Ubuntu 25.10, lo que evidencia un compromiso continuo con la actualización y preparación del sistema.

Estas mejoras consolidan a Debian 12.11 como una plataforma segura, estable y lista para entornos de producción exigentes.

Descarga de imágenes ISO y opciones de instalación de Debian 12.11`

Las imágenes ISO de Debian 12.11 ya están disponibles en el sitio web oficial de Debian. Están preparadas para múltiples arquitecturas, lo que garantiza su compatibilidad con una amplia variedad de equipos y servidores:

amd64 (64-bit)
i386 (32-bit)
ppc64el (PowerPC 64-bit Little Endian)
s390x (IBM System z)
mips64el, mipsel
armel, armhf, arm64 (AArch64)

También se ofrecen versiones live que permiten probar Debian sin instalación previa, disponibles con los siguientes entornos de escritorio preconfigurados:

GNOME 43.9
KDE Plasma 5.27.5 LTS
Xfce 4.18
Cinnamon 5.6.8
MATE 1.26.0
LXQt 1.2.0
LXDE 0.10.1

Para usuarios avanzados que prefieren un sistema sin entorno gráfico, también está disponible la imagen estándar sin escritorio.

Actualizar a Debian 12.11 desde versiones anteriores

Si ya estás utilizando Debian 12 "Bookworm", puedes actualizar a la versión 12.11 fácilmente mediante terminal con el siguiente comando:

Código: text

sudo apt update && sudo apt full-upgrade

Alternativamente, puedes utilizar herramientas gráficas como Synaptic para una experiencia visual e intuitiva.

Cambios técnicos y advertencias importantes

La actualización Debian 12.11 incluye modificaciones en paquetes clave como:

bash
busybox
nginx
redis
controladores NVIDIA

Sin embargo, se ha detectado un problema específico en sistemas con arquitectura amd64 relacionado con los módulos de vigilancia por hardware: watchdog y w83977f_wdt no funcionan correctamente. Los usuarios que dependan de estos watchdogs deberían considerar posponer la actualización del kernel o desactivar temporalmente dicha funcionalidad.

Asimismo, algunos paquetes han sido eliminados por obsolescencia o por carecer de soporte externo. Entre ellos destacan:

pidgin-skype
viagee

Este proceso de depuración permite mantener un sistema más limpio, seguro y alineado con las mejores prácticas de mantenimiento de software.

Preparación para Debian 13

Mientras se consolida Debian 12.11 como una versión estable y robusta, la comunidad ya trabaja en el congelamiento de paquetes de Debian 13, que marcará el próximo gran paso en la evolución de la distribución. El desarrollo sigue abierto a colaboradores y se puede seguir a través de los canales oficiales del proyecto.

En conclusión, Debian 12.11 representa una actualización fundamental dentro de la serie Bookworm, ofreciendo una experiencia mejorada en términos de estabilidad, seguridad y compatibilidad con arquitecturas modernas. Ya sea para nuevas instalaciones o para mantener sistemas existentes al día, esta versión consolida a Debian como una de las distribuciones GNU/Linux más confiables del ecosistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#73

Noticias Informáticas / Kaleidoscope: el malware que infecta más de 130 apps Android

Mayo 17, 2025, 11:37:12 AM

Un nuevo y peligroso malware llamado Kaleidoscope ha sido detectado en más de 130 aplicaciones Android que circulan fuera de la tienda oficial Google Play Store. Este virus no solo afecta al rendimiento de los dispositivos móviles, sino que también representa un riesgo real para la privacidad y seguridad de millones de usuarios en todo el mundo.

Malware Kaleidoscope: una amenaza que no deja de crecer

Expertos en ciberseguridad han estado alertando sobre Kaleidoscope, un malware para Android que se infiltra en dispositivos a través de aplicaciones aparentemente inofensivas descargadas desde tiendas no oficiales o páginas web externas. Aunque muchas de estas apps no están disponibles en Google Play, el número de afectados sigue creciendo rápidamente.

El gran problema es que muchos usuarios no son conscientes del riesgo al instalar apps de fuentes no verificadas. Este tipo de amenazas demuestra por qué la prevención y el uso responsable de nuestros dispositivos móviles es clave para mantenerlos seguros.

¿Qué hace Kaleidoscope una vez infectado el móvil?

Cuando una de estas aplicaciones infectadas se instala en un dispositivo, el malware Kaleidoscope se ejecuta en segundo plano, realizando actividades maliciosas como:

Mostrar anuncios invasivos sin posibilidad de cerrarlos.
Robar datos personales y credenciales almacenadas.
Permitir la instalación de malware adicional más peligroso.
Afectar el rendimiento del móvil, haciéndolo más lento e inestable.

Esto convierte a Kaleidoscope en una amenaza multifuncional que compromete tanto la experiencia del usuario como su privacidad.

Lista de aplicaciones infectadas con Kaleidoscope

Estas son 40 de las más de 130 aplicaciones infectadas con el malware Kaleidoscope:

• chemistry.chemistry.chemistry
• com.carromboard.friends.game
• com.citiesquiz.nearme.gamecenter
• com.herocraft.game.birdsonwire.freemium
• com.herocraft.game.dragon_and_dracula.free
• com.herocraft.game.free.mig29
• com.herocraft.game.freemium.catchthecandy
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta_ussr_usa
• com.herocraft.game.raceillegal
• com.herocraft.game.treasuresofthedeep
• com.herocraft.game.yumsters.free
• com.JDM4iKGames.Daily86
• com.onetouch.connect
• com.pro.drag.racing.burnout
• com.secondgames.dream.football.soccer.league
• com.shake.luxury.prado.car.parking.simulator
• com.tedrasoft.enigmas
• com.tuneonn.bhoot
• com.tuneonn.lovehindi
• com.tutu.robotwarrior
• com.zddapps.beautytips
• com.zddapps.totke
• com.zombiehunter.offline.games.fps.shooter
• constitution.indian.constitution
• environment.ecology.environment
• formula.math.formulas
• indian.geography.geography
• physics.physics.physics
• com.temperament.nearme.gamecenter
• math.Mathematics.exam.math
• english.idioms.english.phrases
• history.indian.history.hindi
• com.businessquo.nearme.gamecenter
• connect.dots
• english.preposition.english.preposition
• english.conversation.english.conversation
• science.ncert.science
• com.herocraft.game.free.medieval
• biology.biology.biology
• com.herocraft.game.ww2

Según los investigadores, este conjunto de apps acumula más de 2,5 millones de instalaciones mensuales y muchas continúan operativas en tiendas de terceros, donde se disfrazan como herramientas educativas, juegos o apps de entretenimiento.

¿Qué hacer si tienes una app sospechosa en tu móvil?

Si reconoces alguna de estas aplicaciones en tu dispositivo Android, sigue estos pasos para protegerte:

Desinstala inmediatamente cualquier app que figure en la lista o te parezca sospechosa.
Reinicia tu móvil tras eliminar las apps para evitar que sigan ejecutándose en segundo plano.
Revisa los permisos de aplicaciones instaladas, especialmente aquellas con acceso al micrófono, cámara o ubicación.
Identifica apps que consumen mucha batería o datos móviles sin razón aparente.
Presta atención a aplicaciones que se bloquean con frecuencia o generan anuncios fuera de lugar.

Ten en cuenta que esta lista no es definitiva y es probable que existan más apps infectadas aún no detectadas.

Cómo prevenir infecciones de malware en Android

Para mantener tu dispositivo protegido frente a amenazas como Kaleidoscope, ten en cuenta estas recomendaciones:

Instala aplicaciones solo desde Google Play o fuentes verificadas.
Evita descargar APKs desde sitios web no oficiales.
Utiliza un antivirus para Android confiable.
Revisa regularmente los permisos de tus apps.
Mantén actualizado el sistema operativo de tu dispositivo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#74

Noticias Informáticas / YouTube prueba anuncios con IA en momentos clave y genera críticas

Mayo 17, 2025, 11:29:59 AM

La publicidad digital es un mal necesario. Aunque muchas veces puede resultar molesta, representa la principal fuente de ingresos para plataformas gratuitas como YouTube. A cambio de contenido sin costo, los usuarios aceptan ver anuncios. Sin embargo, la forma en que se presentan estos anuncios puede marcar la diferencia entre una experiencia aceptable y una frustrante.

La inteligencia artificial transforma la publicidad en YouTube

Recientemente, YouTube ha comenzado a probar una nueva estrategia impulsada por inteligencia artificial que está generando controversia. Se trata de una función llamada "Puntos Clave", que utiliza IA para identificar los momentos más intensos, emotivos o importantes de un video, y colocar anuncios justo en esos instantes.

La lógica detrás de esta técnica es sencilla: si el espectador está completamente involucrado en el contenido, es más probable que preste atención al anuncio. Desde el punto de vista del marketing digital, puede parecer una jugada inteligente. Pero para la experiencia del usuario, el impacto es negativo.

Cortes publicitarios que rompen la experiencia

Imagina que estás viendo una escena icónica como la revelación de Darth Vader en El Imperio Contraataca, el trágico final de Titanic, o la batalla final en Avengers: Endgame, y justo en el momento más climático, el video se detiene para mostrarte un anuncio de seguros o de vuelos baratos.

Estos son momentos diseñados para provocar emociones intensas. Interrumpirlos no solo arruina la narrativa, sino que puede causar rechazo en el espectador. Según reportes de usuarios, ya se han visto ejemplos reales de esta estrategia, como un video de una propuesta de matrimonio que es interrumpido justo después de la gran pregunta.

¿Publicidad dirigida o presión para pagar?

Esta nueva función aún está en fase de pruebas, pero su implementación parece seguir una tendencia preocupante: empeorar la experiencia gratuita para empujar a los usuarios hacia YouTube Premium, la versión de pago sin anuncios. Es una táctica que recuerda a capítulos distópicos de series como Black Mirror, donde se crean problemas artificiales para vender soluciones.

El problema no es que haya anuncios, sino cómo y cuándo se presentan. Colocar publicidad en puntos clave emocionalmente cargados daña la experiencia del usuario, algo que puede traducirse en pérdida de fidelidad a largo plazo. Plataformas como YouTube deben encontrar un equilibrio entre monetización y respeto por la experiencia del espectador.

Alternativas y recomendaciones

Para quienes desean evitar estas interrupciones, la única solución actualmente es pagar por YouTube Premium, lo cual no todos los usuarios están dispuestos a hacer. Como alternativa, muchos recurren a bloqueadores de anuncios, aunque esto afecta directamente los ingresos de los creadores.

Mientras tanto, los expertos en marketing digital y UX recomiendan que las plataformas consideren el contexto emocional del contenido al insertar anuncios. La monetización es clave para la sostenibilidad de los servicios gratuitos, pero no debe ir en detrimento del valor que percibe el usuario.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#75

Noticias Informáticas / Chrome: CISA alerta por vulnerabilidad crítica explotada (CVE-2025-4664)

Mayo 17, 2025, 11:18:53 AM

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una alerta urgente dirigida a todas las agencias federales y profesionales de ciberseguridad, advirtiendo sobre ataques en curso que explotan activamente una vulnerabilidad crítica en el navegador Google Chrome.

CVE-2025-4664: Falla de alta gravedad en el componente Loader

La vulnerabilidad, identificada como CVE-2025-4664, fue descubierta por el investigador de seguridad Vsevolod Kokorin de Solidlab. El 5 de mayo de 2025, Kokorin compartió los detalles técnicos de esta falla, la cual afecta al componente Loader de Chrome debido a una aplicación insuficiente de políticas de seguridad.

Google respondió rápidamente con una actualización de seguridad lanzada el miércoles, corrigiendo el fallo que permitía a atacantes remotos filtrar datos de origen cruzado mediante páginas HTML diseñadas con fines maliciosos.

Riesgo de filtración de datos sensibles

Según Kokorin, la vulnerabilidad permite explotar el encabezado link en las solicitudes de subrecursos. Este comportamiento particular de Chrome —diferente de otros navegadores— puede ser aprovechado para definir políticas como unsafe-url y así capturar parámetros de consulta sensibles.

Citar"Los parámetros de consulta pueden incluir datos confidenciales, como tokens en flujos de OAuth. Esto podría facilitar el secuestro de cuentas si un atacante logra interceptarlos mediante una imagen alojada en un recurso de terceros", explicó Kokorin.

Exploit público y alerta de explotación activa

Aunque Google no confirmó si CVE-2025-4664 fue explotado antes de hacerse público, reconoció en su aviso de seguridad que ya existe un exploit disponible públicamente, una señal común de que hay explotación activa.

El jueves siguiente, CISA confirmó oficialmente que esta vulnerabilidad está siendo explotada en ataques reales, agregándola a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV), una base de datos que destaca las amenazas que requieren acción inmediata.

Requisitos de mitigación según la directiva BOD 22-01

En cumplimiento con la Directiva Operativa Vinculante 22-01, todas las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar el parche de seguridad antes del 7 de mayo de 2025, con el fin de mitigar cualquier riesgo de compromiso.

Aunque esta normativa es obligatoria solo para organismos gubernamentales, CISA recomienda encarecidamente a todas las organizaciones públicas y privadas actualizar inmediatamente sus instalaciones de Google Chrome.

Citar"Este tipo de vulnerabilidades representan vectores comunes de ataque para actores cibernéticos maliciosos y suponen un riesgo significativo para la infraestructura federal y empresarial", advirtió CISA.

Segundo día cero de Chrome explotado en 2025

Esta es la segunda vulnerabilidad de día cero en Chrome que ha sido explotada en lo que va de 2025. La anterior, CVE-2025-2783, fue utilizada en ataques dirigidos contra organizaciones gubernamentales rusas, medios de comunicación y centros educativos, como parte de campañas de ciberespionaje avanzado.

En esa ocasión, los investigadores de Kaspersky informaron que los atacantes usaron el exploit para eludir las protecciones de sandbox de Chrome e infectar los sistemas con malware personalizado.

Recomendaciones para proteger tu sistema

Para prevenir la explotación de CVE-2025-4664 en tu entorno, sigue estas recomendaciones:

Actualiza Google Chrome inmediatamente a la última versión disponible.
Implementa soluciones de seguridad perimetral que detecten actividad anómala relacionada con exfiltración de datos.
Supervisa el tráfico saliente para identificar intentos de acceso a recursos maliciosos.
Revisa la política de contenido (CSP) en tus aplicaciones web para limitar cargas de recursos externos.

En fin, la vulnerabilidad CVE-2025-4664 en Google Chrome representa una amenaza real, especialmente debido a su explotación activa en la naturaleza. Tanto organismos públicos como empresas privadas deben actuar con rapidez y aplicar los parches de seguridad correspondientes para prevenir fugas de información y accesos no autorizados.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#76

Noticias Informáticas / Error de BitLocker tras actualización KB5058379 en Windows 10

Mayo 17, 2025, 11:14:26 AM

Microsoft ha confirmado que las actualizaciones de seguridad lanzadas en mayo de 2025 están provocando problemas en algunos sistemas con Windows 10 y Windows 10 Enterprise LTSC 2021, los cuales se inician directamente en el modo de recuperación de BitLocker tras aplicar la actualización acumulativa KB5058379.

¿Qué es BitLocker y por qué entra en modo de recuperación?

BitLocker es una función de seguridad integrada en Windows que cifra las unidades de almacenamiento para proteger los datos contra accesos no autorizados. Generalmente, el sistema entra en el modo de recuperación de BitLocker tras detectar cambios significativos en la configuración del equipo, como actualizaciones del TPM (Trusted Platform Module) o modificaciones de hardware.

En este caso, tras instalar la actualización KB5058379, múltiples usuarios han reportado que sus dispositivos requieren la clave de recuperación de BitLocker al iniciar, lo cual impide el acceso normal al sistema operativo.

Confirmación del error por parte de Microsoft

Microsoft ha reconocido públicamente el problema y afirma estar investigando reportes de que "un número limitado" de PCs con Windows 10 presentan la pantalla de recuperación de BitLocker tras instalar la actualización. Según su comunicado:

Citar"En los dispositivos afectados, es posible que Windows no se inicie las veces necesarias para activar una reparación automática. Si BitLocker está habilitado, se solicita la clave de recuperación para continuar."

Señales de error en el Visor de eventos

Los usuarios que examinan el Visor de eventos de Windows pueden identificar los siguientes síntomas:

Errores de LSASS
Mensajes de error con el código 0x800F0845
Entradas fallidas relacionadas con la instalación de la actualización KB5058379

En algunos dispositivos, este comportamiento conduce a un bucle de recuperación de BitLocker. En otros, tras varios intentos fallidos de instalación, el sistema revierte correctamente a una versión previa de la actualización.

Cómo recuperar la clave de BitLocker

Si tu equipo muestra la pantalla de recuperación, puedes recuperar la clave iniciando sesión en el portal de recuperación de BitLocker mediante tu cuenta de Microsoft. Microsoft también ofrece una guía detallada sobre cómo localizar la clave de recuperación de BitLocker en Windows, disponible en su sitio de soporte técnico.

Dispositivos afectados: Dell, HP y Lenovo

Los informes hasta ahora incluyen una amplia gama de configuraciones de hardware, principalmente en equipos de fabricantes como Lenovo, Dell y HP. Esto sugiere que el problema podría no estar vinculado a un modelo específico, sino más bien a una incompatibilidad generalizada entre el software de seguridad de Windows y determinados entornos de hardware.

Comentarios de la comunidad

Los foros de Microsoft y plataformas como Reddit se han llenado de testimonios de usuarios afectados:

Citar"La actualización KB5058379 falló en dispositivos con Windows 10. Tras reiniciar, algunos equipos solicitan la clave de BitLocker", escribió un usuario.

Citar"Tenemos media docena de portátiles con problemas: algunas requieren la clave para iniciar, otras ni siquiera arrancan", señaló un administrador de sistemas.

Soluciones temporales sugeridas

Mientras Microsoft trabaja en una solución oficial, algunos usuarios y técnicos sugieren deshabilitar desde el BIOS ciertas funciones relacionadas con la seguridad, como:

Intel Trusted Execution Technology (TXT)
Secure Boot (Arranque seguro)
Tecnologías de virtualización
Protección de firmware

Estas medidas pueden ayudar a salir del modo de recuperación de BitLocker en algunos casos, aunque deben aplicarse con precaución.

Antecedentes: problemas similares en actualizaciones anteriores
Este no es el primer incidente en el que las actualizaciones de seguridad de Windows desencadenan problemas con BitLocker. En agosto de 2024, Microsoft ya solucionó un error similar que afectaba a Windows 10, Windows 11 y Windows Server tras aplicar las actualizaciones de julio.

Asimismo, en agosto de 2022, la actualización KB5012170 provocó que algunos dispositivos se iniciaran también en la pantalla de recuperación de BitLocker, lo que evidencia una tendencia de incompatibilidades recurrentes en ciertas actualizaciones acumulativas.

En conclusión, el error relacionado con BitLocker y la actualización KB5058379 de mayo de 2025 representa un problema crítico para usuarios y administradores de sistemas que dependen de la seguridad y disponibilidad continua de sus equipos con Windows 10. Mientras Microsoft investiga la causa raíz y desarrolla una solución definitiva, es esencial estar al tanto de los boletines de soporte y utilizar los recursos disponibles para recuperar el acceso al sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#77

Noticias Informáticas / openSUSE elimina Deepin Desktop por vulnerabilidades

Mayo 16, 2025, 11:48:03 AM

La distribución openSUSE ha tomado una decisión crucial: eliminar Deepin Desktop Environment (DDE) de sus repositorios oficiales. La causa principal radica en fallos de seguridad críticos detectados en componentes fundamentales del entorno Deepin, según el equipo de seguridad de SUSE.

Entre las vulnerabilidades destacan problemas en D-Bus, Polkit y el módulo dde-api-proxy, que dejaban a los sistemas expuestos a posibles ataques. Además, se denunció la inclusión de un paquete llamado deepin-feature-enable, que permitía la instalación de archivos de configuración sin pasar los controles de seguridad y empaquetado estándar de openSUSE.

Falta de respuesta por parte del equipo de Deepin

Pese a los avisos emitidos, los responsables del entorno Deepin no ofrecieron respuestas adecuadas ni correcciones rápidas, lo que terminó por socavar la confianza de SUSE en la capacidad de mantenimiento del proyecto. Esta situación forzó la retirada total de Deepin en futuras versiones como Leap 16.0 y Tumbleweed.

Qué implica este cambio para los usuarios de openSUSE

Los usuarios actuales de openSUSE Leap 15.6 que tengan instalado Deepin verán cómo el paquete deepin-feature-enable será eliminado automáticamente, aunque otros componentes seguirán funcionando mientras estén presentes. Sin embargo, Deepin Desktop no estará disponible oficialmente en próximas versiones de la distribución.

Para quienes deseen instalar Deepin manualmente, aún podrán acceder al repositorio del empaquetador. No obstante, openSUSE advierte que esta instalación será bajo la entera responsabilidad del usuario y no recibirá soporte ni actualizaciones de seguridad.

Deepin: popularidad, diseño atractivo y desafíos en seguridad

Deepin es uno de los entornos de escritorio más conocidos en el ecosistema Linux, especialmente por su estética moderna y su interfaz inspirada en Windows 11. Su popularidad ha sido notable en distribuciones como UbuntuDDE, Manjaro y versiones comunitarias de openSUSE.

Sin embargo, la calidad del código y los controles de seguridad del entorno Deepin no han estado a la altura de los estándares exigidos por proyectos como openSUSE. Aunque sigue siendo muy utilizado en China, su mantenimiento y transparencia han sido objeto de críticas.

openSUSE Leap 16: seguridad, modernización y gestión web

La decisión de abandonar Deepin coincide con una transformación significativa en openSUSE Leap 16, que apuesta por un modelo de distribución más seguro y moderno:

Wayland reemplaza a Xorg como servidor gráfico por defecto.
YaST cede protagonismo a herramientas como Cockpit y Myrlyn para la gestión del sistema.
Se promueve el uso de sistemas inmutables, que ofrecen mayor protección ante modificaciones accidentales o maliciosas.

Estos cambios representan una evolución hacia una distribución Linux más robusta, segura y adaptada a los nuevos estándares de administración.

openSUSE refuerza su compromiso con la seguridad

Al eliminar Deepin, openSUSE prioriza la seguridad del usuario y la integridad del sistema sobre las preferencias visuales o modas de entornos de escritorio. La comunidad podrá seguir utilizando Deepin por cuenta propia, pero con plena conciencia de los riesgos implicados.

Esta medida subraya el compromiso de la distribución con prácticas responsables, auditables y sostenibles dentro del mundo Linux.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#78

Noticias Informáticas / HTTPBot lanza más de 200 ataques DDoS contra sectores de juegos y tecnología

Mayo 16, 2025, 11:40:42 AM

Investigadores en seguridad cibernética han detectado una nueva y peligrosa variante de malware de botnet, llamada HTTPBot, que ha estado dirigiendo ataques DDoS altamente sofisticados contra sectores clave como la industria del videojuego, empresas tecnológicas y centros educativos en China.

De acuerdo con un informe reciente de la empresa NSFOCUS, el malware se ha expandido agresivamente desde agosto de 2024, aprovechando dispositivos comprometidos para lanzar ataques externos de denegación de servicio distribuidos (DDoS). HTTPBot utiliza técnicas avanzadas como floods HTTP simulados y ofuscación dinámica, lo que le permite evadir mecanismos tradicionales de detección basados en firmas y reglas.

¿Qué es HTTPBot y cómo opera este malware de botnet?

HTTPBot es un malware de botnet diseñado para Windows, escrito en el lenguaje de programación Golang, lo que lo convierte en una anomalía dentro del panorama habitual, ya que la mayoría de botnets DDoS están orientadas a Linux o dispositivos IoT.

Su principal vector de ataque son los protocolos HTTP, que utiliza para generar un volumen masivo de tráfico simulando sesiones reales, provocando la saturación de servicios en línea de alto valor como:

Portales de acceso a videojuegos
Plataformas de pago en línea
Interfaces de servicios digitales críticos

Este tipo de ataque ha sido calificado por NSFOCUS como un "ataque con precisión de bisturí", ya que no busca una denegación masiva, sino una interrupción dirigida a servicios clave, lo que representa una nueva generación de amenazas DDoS enfocadas en la estrangulación empresarial de alta precisión.

Técnicas de evasión y persistencia del malware HTTPBot

Una vez que el malware HTTPBot se instala en un sistema Windows, implementa varias técnicas para mantenerse oculto y persistente, como:

Ocultamiento de la interfaz gráfica de usuario (GUI) para evadir la detección manual y de herramientas antimalware.
Manipulación del Registro de Windows para asegurarse de ejecutarse automáticamente al iniciar el sistema.
Establecimiento de conexión con un servidor de comando y control (C2) para recibir instrucciones de ataque.

A partir de abril de 2025, se estima que HTTPBot ha ejecutado más de 200 comandos de ataque DDoS, específicamente dirigidos a infraestructuras digitales en sectores estratégicos como videojuegos, educación, tecnología y turismo.

Módulos de ataque avanzados integrados en HTTPBot

HTTPBot es altamente modular y dispone de diversos métodos de ataque basados en HTTP, diseñados para imitar tráfico legítimo y agotar los recursos del servidor objetivo. Entre sus principales módulos destacan:

BrowserAttack: usa instancias ocultas de Google Chrome para simular navegación real y consumir recursos.
HttpAutoAttack: utiliza cookies para simular sesiones de usuario legítimas.
HttpFpDlAttack: basado en el protocolo HTTP/2, genera respuestas de gran tamaño para saturar el CPU del servidor.
WebSocketAttack: explota conexiones WebSocket (ws:// y wss://) para mantener sesiones persistentes y prolongadas.
PostAttack: ejecuta ataques mediante solicitudes HTTP POST para imitar interacciones legítimas.
CookieAttack: mejora BrowserAttack con un flujo adicional de gestión de cookies para dificultar la detección.

¿Por qué HTTPBot representa una amenaza significativa para la ciberseguridad?

A diferencia de otras botnets DDoS tradicionales, HTTPBot se caracteriza por su capacidad de simular de manera realista el comportamiento de navegadores legítimos, lo que le permite:

Evadir sistemas de defensa basados en la integridad del protocolo
Saturar sesiones activas del servidor utilizando rutas URL aleatorias y mecanismos de renovación de cookies
Minimizar el volumen de tráfico anómalo para evitar ser detectado por soluciones anti-DDoS convencionales

Este enfoque de bajo perfil pero altamente efectivo lo convierte en una herramienta peligrosa para interrumpir operaciones digitales críticas sin levantar alertas tempranas.

Un cambio de paradigma en los ataques DDoS con malware de botnet

HTTPBot representa una evolución alarmante en el arsenal de los ciberdelincuentes, al combinar lo mejor del camuflaje con una arquitectura modular poderosa, orientada a derribar servicios esenciales con precisión quirúrgica.

La aparición de este malware de botnet para Windows indica un cambio estratégico en las tácticas de ataque DDoS, alejándose de los enfoques masivos y orientándose hacia objetivos específicos de alto valor empresarial.

Las organizaciones deben reforzar sus capacidades de defensa con:

Sistemas de detección basados en comportamiento
Monitoreo avanzado de tráfico HTTP
Políticas de ciberseguridad proactiva

El conocimiento de amenazas como HTTPBot es fundamental para mantenerse un paso adelante en la lucha contra el cibercrimen y la protección de infraestructuras críticas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#79

Noticias Informáticas / Deepfakes de voz generados por IA dirigidos a funcionarios de EE. UU

Mayo 16, 2025, 11:31:37 AM

El FBI ha emitido una advertencia urgente sobre el uso de deepfakes de audio generados por inteligencia artificial (IA) para lanzar ataques de phishing de voz (vishing) contra funcionarios del gobierno de Estados Unidos. Esta nueva campaña maliciosa, iniciada en abril de 2025, forma parte de una oleada creciente de amenazas que combinan ingeniería social y tecnologías de IA para engañar a las víctimas.

La advertencia fue emitida el jueves como parte de un anuncio de servicio público, que además proporciona recomendaciones clave para detectar y mitigar ataques que emplean deepfakes de voz, también conocidos como clonación de voz generada por IA.

Funcionarios estadounidenses son los principales objetivos del vishing con audio falso

Desde abril, actores maliciosos han estado suplantando la identidad de altos funcionarios del gobierno federal y estatal de EE. UU., tanto en funciones como retirados, para engañar a sus contactos personales y profesionales. Según el FBI:

Citar"Si recibe un mensaje que aparenta provenir de un alto funcionario de EE. UU., no asuma automáticamente que es legítimo", advirtió la agencia.

Estos ataques utilizan una combinación de:

Mensajes de texto maliciosos (smishing)
Mensajes de voz manipulados con IA (vishing)

Ambas técnicas buscan generar una falsa sensación de confianza antes de solicitar información sensible o acceso a cuentas personales.

Cómo operan los atacantes con deepfakes de audio

Los ciberdelincuentes emplean enlaces disfrazados en los mensajes, aparentando que son invitaciones a continuar la conversación en otra plataforma de mensajería (como WhatsApp, Signal o Telegram). Una vez que la víctima accede a estos enlaces:

Se expone a la descarga de malware o troyanos de acceso remoto.
Permite a los atacantes obtener acceso a sus cuentas personales o institucionales.
Los atacantes extraen la lista de contactos, especialmente de otros funcionarios gubernamentales.
Usan esa información para amplificar la campaña de suplantación de identidad, presentándose como figuras legítimas para obtener información confidencial o realizar fraudes financieros.

Este ciclo de manipulación mediante ingeniería social y suplantación con voz sintética representa una amenaza creciente en la ciberseguridad gubernamental.

Deepfakes como herramienta emergente en operaciones cibernéticas

El FBI ya había anticipado este tipo de amenazas en su Notificación a la Industria Privada (PIN) de marzo de 2021, donde alertaba sobre el uso creciente de deepfakes —audio, texto, imágenes y video generados por IA— en operaciones cibernéticas y campañas de influencia extranjera.

En 2022, Europol reforzó esta preocupación, advirtiendo que los deepfakes podrían utilizarse comúnmente en:

Estafas tipo CEO fraud
Pornografía no consentida
Manipulación de pruebas judiciales o legales

Casos recientes de phishing con voz sintética

El uso de deepfakes de voz por parte de ciberdelincuentes no es un fenómeno aislado. En abril de 2024, el Departamento de Salud y Servicios Humanos de EE. UU. (HHS) también advirtió sobre ataques dirigidos a centros de asistencia técnica (IT Help Desks) mediante clonación de voz para engañar a los empleados y obtener acceso a sistemas internos.

Ese mismo mes, la empresa LastPass reveló un incidente grave: un atacante utilizó un deepfake de audio para suplantar a su director ejecutivo, Karim Toubba, durante un intento de phishing de voz dirigido a un empleado de la compañía. Este incidente subraya la verosimilitud de las voces generadas por IA y el alto riesgo que representan incluso en entornos empresariales altamente seguros.

Medidas de prevención ante ataques con audio generado por IA

El FBI recomienda al público y a los responsables de seguridad en empresas e instituciones gubernamentales:

Desconfiar de mensajes de voz o texto no solicitados, incluso si parecen provenir de autoridades conocidas.
Verificar la autenticidad de las comunicaciones a través de canales seguros y directos.
Evitar hacer clic en enlaces de plataformas no oficiales enviados por supuestas figuras públicas.
Implementar controles de autenticación multifactor en todas las cuentas sensibles.
Capacitar al personal en detección de ingeniería social avanzada, especialmente con IA.

En conclusión, la advertencia del FBI sobre el uso de deepfakes de voz en ataques de vishing dirigidos a funcionarios de EE. UU. confirma una preocupante tendencia en el uso malicioso de tecnologías basadas en IA. A medida que los deepfakes de audio se vuelven más sofisticados y difíciles de detectar, la educación en ciberseguridad y la verificación de identidad se convierten en herramientas esenciales para frenar esta forma de suplantación de identidad digital.

Las organizaciones públicas y privadas deben tomar medidas proactivas para blindarse contra ataques de ingeniería social potenciados por IA, que amenazan no solo la integridad de las comunicaciones, sino también la seguridad nacional y financiera.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#80

Noticias Informáticas / Skitnet: el malware post-explotación favorito de las bandas de ransomware

Mayo 16, 2025, 11:21:17 AM

Durante 2025, investigadores de ciberseguridad han detectado un aumento en el uso de Skitnet, también conocido como Bossnet, un malware avanzado utilizado por bandas de ransomware para ejecutar actividades post-explotación en redes comprometidas. Este software malicioso está ganando popularidad por su eficacia, bajo costo y capacidades evasivas.

El malware fue identificado por primera vez en foros clandestinos como RAMP en abril de 2024, pero no fue hasta principios de 2025 cuando comenzó a tener una adopción significativa entre actores de amenazas. Según el equipo de Prodaft, varias operaciones de ransomware ya están utilizando activamente Skitnet, incluyendo grupos notorios como BlackBasta, que lo ha empleado en campañas de phishing a través de Microsoft Teams, y Cactus.

¿Cómo funciona Skitnet? Técnicas de infección y persistencia

Skitnet inicia su actividad con un loader programado en Rust, que se ejecuta en el sistema de la víctima y descifra un binario escrito en Nim cifrado con ChaCha20. Esta carga útil se mantiene en la memoria para evitar la detección por parte de soluciones antivirus tradicionales.

Una vez cargado, el binario Nim establece un shell inverso a través de DNS, lo que permite la comunicación con el servidor C2 (comando y control) sin levantar sospechas. Para ello, genera consultas DNS aleatorias como parte del proceso de conexión.

El malware ejecuta tres subprocesos principales:

Envío periódico de consultas de latido DNS.
Monitoreo de la salida del shell y su filtrado.
Escucha activa de comandos cifrados recibidos desde el servidor C2.

Dependiendo de la configuración, Skitnet puede usar tanto protocolo DNS como HTTP para la transmisión de comandos, controlados desde un panel de administración C2 que muestra información sobre la víctima (dirección IP, ubicación geográfica, estado del sistema) y permite la ejecución remota de comandos.

Comandos principales de Skitnet

Skitnet ofrece un conjunto de funciones potentes que permiten a los operadores mantener el acceso y explotar al máximo los sistemas comprometidos. Algunos de sus comandos más destacados son:

inicio: establece persistencia descargando varios archivos, incluyendo una DLL maliciosa, y aprovechando un ejecutable legítimo de Asus (ISP.exe) para realizar un secuestro de DLL y ejecutar un script de PowerShell (pas.ps1) para mantener la comunicación con el C2.
pantalla: captura pantallas del escritorio de la víctima utilizando PowerShell, las sube a Imgur y envía la URL al servidor de control.
anydesk: descarga e instala silenciosamente AnyDesk, una herramienta de acceso remoto legítima, ocultando todos los indicios visuales de su presencia.
rutserv: instala RUT-Serv, otra herramienta de acceso remoto, de forma similar a AnyDesk.
shell: permite la ejecución continua de comandos de PowerShell mediante un bucle que consulta el servidor cada 5 segundos y ejecuta las instrucciones usando Invoke-Expression.
av: enumera las soluciones antivirus y de seguridad instaladas a través de consultas WMI, enviando los resultados al servidor C2.

Capacidades avanzadas con .NET y PowerShell

Además de los comandos estándar, Skitnet cuenta con una función avanzada que permite la ejecución de scripts de PowerShell directamente en memoria usando un cargador .NET independiente. Esto amplía significativamente la personalización y adaptabilidad de los ataques, permitiendo a los operadores realizar acciones más sofisticadas sin dejar rastros en el disco.

¿Por qué las bandas de ransomware eligen Skitnet?

Mientras que muchos grupos de ransomware desarrollan sus propias herramientas personalizadas para evitar la detección, este proceso suele requerir tiempo, inversión económica y desarrolladores especializados. En contraste, Skitnet representa una solución lista para usar, económica y eficaz, accesible incluso para grupos con menos recursos o experiencia técnica.

Además, su uso masivo dificulta la atribución de ataques, ya que múltiples actores pueden operar con el mismo malware, lo que complica los esfuerzos de análisis forense y respuesta a incidentes.

En el panorama actual del ransomware como servicio (RaaS), donde la rapidez de ejecución y la eficiencia son clave, Skitnet se posiciona como una herramienta extremadamente valiosa, adaptable tanto a ataques de alta sofisticación como a campañas masivas menos elaboradas.

Indicadores de compromiso (IoCs) disponibles

Para ayudar a los equipos de seguridad a detectar y mitigar ataques relacionados con Skitnet, Prodaft ha publicado una lista de Indicadores de Compromiso (IoCs) en su repositorio oficial de GitHub. Esta información es crucial para la detección temprana y la protección de infraestructuras vulnerables frente a esta amenaza emergente.

En conclusión, Skitnet es una amenaza en crecimiento que está redefiniendo el panorama de los ataques post-explotación en 2025. Su capacidad para evadir detección, establecer persistencia y ejecutar comandos avanzados lo convierte en una opción preferida por los grupos de ransomware. Estar al tanto de sus técnicas y herramientas asociadas es esencial para cualquier organización que desee fortalecer su postura de ciberseguridad frente a amenazas modernas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Páginas 1 2 3 4 ... 76