Se ha publicado una herramienta de explotación de prueba de concepto (PoC) para una vulnerabilidad crítica en Apache Parquet, identificada como CVE-2025-30065, lo que facilita la detección de servidores vulnerables expuestos a ataques. Esta falla, de gravedad máxima, afecta a todas las versiones de Apache Parquet hasta la 1.15.0 inclusive.

La herramienta fue desarrollada por investigadores de F5 Labs, quienes analizaron la vulnerabilidad tras comprobar que las PoC existentes eran ineficaces o completamente no funcionales. Esta nueva PoC no solo demuestra que la explotación práctica de CVE-2025-30065 es posible, sino que también ofrece a los administradores de sistemas una forma efectiva de evaluar la seguridad de sus entornos frente a esta amenaza.

¿Qué es Apache Parquet y por qué es relevante esta vulnerabilidad?

Apache Parquet es un formato de almacenamiento columnar de código abierto, ampliamente utilizado en entornos de big data, análisis de datos e ingeniería de datos. Gracias a su eficiencia en el procesamiento, Parquet se ha convertido en una pieza clave en plataformas como Apache Spark, Hive, y otras herramientas de análisis distribuidas.

La vulnerabilidad CVE-2025-30065 fue divulgada públicamente el 1 de abril de 2025 y descubierta inicialmente por Keyi Li, investigador de Amazon. Se clasifica como una falla de ejecución remota de código (RCE), concretamente una vulnerabilidad de deserialización en el módulo parquet-avro de Apache Parquet para Java. El fallo permite la creación de instancias de clases Java arbitrarias al leer datos Avro embebidos en archivos Parquet, sin aplicar restricciones adecuadas.

Detalles técnicos y riesgos asociados


Desde una perspectiva técnica, la vulnerabilidad no constituye una deserialización RCE completa, pero puede ser aprovechada si se invocan clases con efectos secundarios durante la instanciación, como el envío de solicitudes de red a servidores controlados por atacantes. Un análisis posterior de F5 Labs confirmó este riesgo y demostró su potencial mediante una herramienta de tipo exploit canary, que genera una solicitud HTTP GET utilizando la clase javax.swing.JEditorKit.

Aunque la explotación de CVE-2025-30065 requiere una serie de condiciones específicas y poco comunes, sigue representando una amenaza para organizaciones que procesan archivos Parquet de fuentes externas, especialmente si estos archivos no son validados adecuadamente.

Citar"Si bien Apache Parquet y Avro son tecnologías ampliamente adoptadas, este tipo de ataque necesita un conjunto muy particular de condiciones. Incluso en ese caso, el CVE solo permite la instanciación de objetos Java, y estos deben tener efectos secundarios explotables", se destaca en el informe de F5 Labs.

Recomendaciones de seguridad para Apache Parquet

Para mitigar los riesgos derivados de CVE-2025-30065, se recomienda:

• Actualizar Apache Parquet a la versión 1.15.1 o superior, donde la vulnerabilidad ha sido corregida.
• Restringir la deserialización de clases configurando la propiedad org.apache.parquet.avro.SERIALIZABLE_PACKAGES para permitir únicamente paquetes de confianza.
• Utilizar la herramienta de detección publicada por F5 Labs (disponible en GitHub), que permite verificar si los servidores son susceptibles a la explotación mediante una prueba controlada.

La divulgación de esta herramienta subraya la importancia de revisar periódicamente las configuraciones de seguridad en entornos que manejan grandes volúmenes de datos y emplean tecnologías como Apache Parquet. Aunque la probabilidad de explotación masiva sea baja, el impacto potencial en sistemas expuestos a archivos no verificados sigue siendo considerable.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha emitido una advertencia crítica sobre los riesgos de seguridad asociados a las configuraciones predeterminadas en Kubernetes, especialmente en aquellas implementaciones que utilizan Helm Charts listos para usar. Según un reciente informe de Microsoft Defender for Cloud Research, estas configuraciones inseguras podrían exponer datos sensibles públicamente, dejando las cargas de trabajo vulnerables ante posibles ataques.

Helm Charts inseguros: un problema común en Kubernetes

Helm es el gestor de paquetes más popular para Kubernetes, ya que facilita la implementación de aplicaciones complejas mediante gráficos o "charts" que contienen plantillas YAML con los recursos necesarios para ejecutar una aplicación.

Sin embargo, la facilidad de uso puede comprometer la seguridad. Investigadores de Microsoft, Michael Katchinskiy y Yossi Weizman, advierten que muchos de estos Helm Charts prediseñados:

• No requieren autenticación.
• Dejan abiertos puertos explotables.
• Usan contraseñas débiles o codificadas de forma insegura.

Estas prácticas inseguras son especialmente peligrosas cuando las implementaciones se realizan por usuarios sin experiencia en seguridad en la nube, quienes tienden a desplegar los charts tal como están, sin validaciones ni ajustes de configuración. Esto deja los servicios expuestos a escaneos automatizados, accesos no autorizados y ataques dirigidos.

"Facilidad vs Seguridad": el dilema en entornos Kubernetes

Kubernetes es una plataforma de código abierto ampliamente adoptada por organizaciones para automatizar la implementación, escalado y gestión de aplicaciones en contenedores. Si bien Helm simplifica este proceso, Microsoft subraya que las configuraciones por defecto sin controles de seguridad representan una amenaza seria.

Citar"Sin revisar cuidadosamente los manifiestos YAML y los Helm Charts, las organizaciones pueden implementar servicios totalmente expuestos a atacantes", señala el informe.

Además, cuando estas aplicaciones permiten la consulta de API sensibles o acceso administrativo, las consecuencias pueden ser graves. Los investigadores detallan tres ejemplos reales de gráficos de Helm inseguros que ilustran este riesgo:

Casos destacados de Helm Charts con vulnerabilidades:

1. Apache Pinot

Expone los servicios pinot-controller y pinot-broker mediante un LoadBalancer, sin autenticación.

2. Meshery

Permite el registro público desde IPs expuestas, dando acceso total al clúster a cualquier usuario externo.

3. Selenium Grid

Usa un NodePort que expone servicios en todos los nodos del clúster, dependiendo únicamente de reglas externas de firewall. Aunque el gráfico oficial de Helm no está afectado, muchos proyectos en GitHub sí lo están.

Este último caso ha sido explotado anteriormente por atacantes para desplegar mineros de criptomonedas como XMRig, usados para minar Monero en entornos Kubernetes vulnerables, según han reportado empresas como Wiz.

Recomendaciones de Microsoft para asegurar Helm y Kubernetes

Para mitigar estos riesgos, Microsoft recomienda a los administradores de Kubernetes adoptar las siguientes mejores prácticas de seguridad:

Auditar cada Helm Chart antes de la implementación, prestando especial atención a:

• Reglas de autenticación.
• Exposición de puertos.
• Aislamiento de red.
• Evitar el uso de contraseñas por defecto o codificadas dentro de los manifiestos YAML.
• Configurar controles de acceso estrictos para los recursos desplegados.
• Supervisar continuamente los contenedores y cargas de trabajo en busca de actividades sospechosas o inusuales.
• Realizar análisis periódicos de configuración para detectar exposiciones no intencionadas en interfaces y servicios.

Seguridad en Kubernetes: una prioridad en entornos en la nube

El informe de Microsoft destaca la importancia de no confiar ciegamente en las configuraciones predeterminadas, especialmente en entornos como Kubernetes, donde la exposición de servicios puede tener consecuencias críticas. Las organizaciones deben tratar cada despliegue como una potencial superficie de ataque y aplicar principios de "zero trust" desde el inicio.

La creciente adopción de Kubernetes en entornos de producción hace imprescindible implementar políticas de seguridad sólidas. Ignorar los riesgos que suponen configuraciones inseguras en Helm Charts podría significar la pérdida de datos confidenciales, la interrupción del servicio o incluso costos económicos y reputacionales significativos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El grupo de cibercrimen conocido como Luna Moth, también identificado como Silent Ransom Group (SRG), ha intensificado sus campañas de phishing de devolución de llamada (callback phishing), apuntando especialmente a firmas legales y entidades financieras en los Estados Unidos. Este grupo ha adoptado tácticas avanzadas de ingeniería social, prescindiendo del uso de ransomware en sus ataques recientes, pero con un objetivo claro: robo de datos y extorsión.

Según el investigador de EclecticIQ, Arda Büyükkaya, Luna Moth ha evolucionado desde sus inicios vinculados a BazarCall —una técnica usada para obtener acceso inicial a redes corporativas que luego facilitaban ataques con ransomware como Ryuk y Conti— hacia operaciones más sofisticadas centradas exclusivamente en el engaño a través de interacción directa con la víctima.

Origen y evolución de Silent Ransom Group

En marzo de 2022, tras la desintegración del grupo Conti, los actores detrás de BazarCall establecieron una operación independiente bajo el nombre de Silent Ransom Group. Desde entonces, han centrado sus esfuerzos en la suplantación de soporte técnico mediante correos electrónicos falsos, sitios web fraudulentos y llamadas telefónicas.

A diferencia de otros ataques cibernéticos tradicionales, las campañas actuales de Luna Moth no requieren malware ni enlaces infectados. El enfoque se basa únicamente en el engaño humano, lo que las hace más difíciles de detectar por soluciones antivirus convencionales.

Cómo opera Luna Moth en sus ataques recientes

Desde marzo de 2025, EclecticIQ ha identificado al menos 37 dominios registrados a través de GoDaddy utilizados por Luna Moth para suplantar a servicios de soporte técnico. Estos dominios imitan portales legítimos de asistencia de reconocidas firmas legales y empresas financieras, empleando errores tipográficos y patrones de nombres comunes como:

• [nombre_empresa]-helpdesk.com
• [nombreempresa]helpdesk.com

El ataque comienza con un correo electrónico fraudulento que solicita a la víctima llamar a un número de asistencia técnica. Cuando la víctima llama, un operador de Luna Moth —haciéndose pasar por personal de TI— la persuade para instalar software de acceso remoto legítimo (RMM), como:

• AnyDesk
• Zoho Assist
• Atera
• SuperOps
• Syncro
• Splashtop

Estas herramientas están firmadas digitalmente y, al ser comúnmente utilizadas en entornos corporativos, no generan alertas de seguridad.

Acceso, exfiltración de datos y extorsión

Una vez instalada la herramienta RMM, el atacante obtiene control total del equipo, lo que le permite:

• Explorar carpetas locales y unidades compartidas
• Identificar y extraer datos confidenciales
• Propagarse a otros dispositivos conectados

La exfiltración se realiza mediante herramientas como WinSCP (vía SFTP) o Rclone para sincronización en la nube. Posteriormente, Luna Moth contacta a la organización víctima para exigir un rescate millonario, advirtiendo que los datos serán publicados en su portal de la clear web si no se paga. Las demandas oscilan entre 1 y 8 millones de dólares, dependiendo del perfil de la organización afectada.

Un ataque silencioso pero efectivo

Büyükkaya destaca que el éxito de estos ataques radica en su sigilo. No involucran archivos adjuntos, malware ni enlaces maliciosos. La víctima instala voluntariamente el software RMM, creyendo estar en contacto con su equipo de soporte técnico. Debido a que estas herramientas son habituales en entornos corporativos, las soluciones de seguridad no las consideran una amenaza, lo que permite que los atacantes operen sin obstáculos.

Recomendaciones de seguridad

EclecticIQ ha publicado una lista de indicadores de compromiso (IoC), que incluye direcciones IP y dominios de phishing que deberían ser añadidos a listas de bloqueo corporativas. Además, se recomienda:

• Restringir el uso de herramientas RMM que no estén autorizadas dentro del entorno organizacional.
• Implementar medidas de verificación de identidad para solicitudes de asistencia técnica.
• Capacitar al personal sobre ingeniería social y phishing de devolución de llamada.

La sofisticación y efectividad de Luna Moth demuestran cómo el factor humano sigue siendo uno de los eslabones más débiles en la ciberseguridad. A medida que los grupos de amenazas evolucionan, es crucial que las organizaciones adapten sus estrategias de defensa para identificar, bloquear y responder a este tipo de ataques altamente personalizados.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cuando hablamos de videojuegos en formato digital, Steam sigue siendo la primera tienda que viene a la mente de la mayoría de usuarios. Esta plataforma ha dominado durante años el mercado gracias a su extenso catálogo que incluye desde juegos AAA hasta títulos independientes. Sin embargo, hoy en día existen alternativas sólidas a Steam que ofrecen mejores condiciones para los desarrolladores, como Epic Games Store y GOG.

Steam y su polémica comisión del 30%

Hasta hace poco, los desarrolladores que querían publicar sus juegos no tenían más remedio que aceptar las condiciones de Steam, que aplica una comisión del 30% sobre cada venta, una cifra similar a la que imponen Apple y Google en sus respectivas tiendas. Aunque este porcentaje puede variar según los ingresos generados, sigue siendo considerado como una tarifa elevada teniendo en cuenta que Steam solo ofrece infraestructura para vender y distribuir el contenido.

Epic Games Store cambia las reglas del juego

Frente a estas políticas restrictivas, Epic Games —liderada por Tim Sweeney— ha revolucionado el panorama con su propia tienda digital. Además de desafiar legalmente a Apple y Google por sus comisiones abusivas, Epic ha establecido un modelo más favorable para los desarrolladores, reteniendo solo el 12% de los ingresos, frente al 30% de Steam.

Un claro ejemplo del impacto de esta política es Alan Wake 2, desarrollado por Remedy Entertainment, disponible exclusivamente en la Epic Games Store. El primer título de la saga sí puede encontrarse en Steam, pero la segunda entrega fue lanzada exclusivamente en Epic debido a las mejores condiciones económicas.

Otro caso destacado es Escape from Tarkov: Arena, desarrollado por Battlestate Games Limited, que también apostó por lanzar su título únicamente en Epic Games Store.

Epic Games reducirá aún más las comisiones a partir de junio

Epic no se conforma con su actual modelo y ha anunciado una mejora aún más agresiva para atraer a desarrolladores independientes y estudios pequeños. Según un comunicado oficial en el blog de Epic, a partir de junio, todos los juegos que generen menos de 1 millón de dólares en ventas estarán exentos de pagar comisiones. Es decir, Epic se quedará con el 0% de los ingresos hasta alcanzar esa cifra.

Una vez superado ese umbral, se aplicará la tarifa habitual del 12%, lo que sigue siendo muy inferior al 30% que impone Steam. Esta medida representa una gran oportunidad para desarrolladores emergentes, quienes ahora podrán publicar sus juegos digitales sin sacrificar una parte significativa de sus ganancias.

Comparativa económica: Steam vs Epic Games Store

Tomemos como ejemplo Alan Wake 2, cuyo precio base es de 49,99 euros. En Steam, con una comisión del 30%, la plataforma se quedaría con 15 euros por unidad vendida. En cambio, en Epic Games Store, con una comisión del 12%, la retención sería de solo 6 euros.

Si el juego ha vendido más de un millón de unidades desde su lanzamiento en 2024, la diferencia en ingresos para el desarrollador es millones de euros, no simples cientos. Esta realidad está motivando a muchos estudios a priorizar plataformas que ofrecen una mayor rentabilidad.

¿Puede Steam mantener su posición dominante?

Steam ha gozado de una posición privilegiada como la tienda de videojuegos digitales más antigua y conocida a nivel mundial. Sin embargo, si no revisa sus políticas de comisión, podría perder atractivo frente a nuevas plataformas que ofrecen condiciones más justas para los desarrolladores.

Por ahora, los usuarios de consola siguen atados a las tiendas oficiales de cada fabricante, como PlayStation Store o Xbox Store, donde no existen alternativas viables. Pero en PC, el mercado es más competitivo que nunca, y Epic Games Store se perfila como un serio competidor en el terreno de los videojuegos digitales.

El futuro de la distribución digital está cambiando

El dominio de Steam en el mercado de juegos digitales ya no es incuestionable. Con iniciativas como las de Epic Games Store, que eliminan comisiones para ingresos bajos y reducen significativamente los porcentajes para el resto, los desarrolladores tienen ahora más poder de decisión.

Este nuevo panorama impulsa una mayor competencia, lo que podría beneficiar tanto a estudios independientes como a grandes desarrolladores. A largo plazo, también podría repercutir positivamente en los precios para los usuarios finales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las restricciones impuestas por el gobierno de Estados Unidos a la exportación de chips de alta gama a países como China han tenido un fuerte impacto económico en NVIDIA, que ha perdido miles de millones de dólares. Sin embargo, la compañía no tiene intención de abandonar ese mercado. En lugar de rendirse, está adoptando una estrategia más ágil: crear nuevos chips adaptados a las regulaciones estadounidenses.

Desde hace años, Estados Unidos ha endurecido sus políticas para evitar que China acceda a tecnologías avanzadas, especialmente aquellas relacionadas con la inteligencia artificial (IA), por temor a su posible uso militar. Esto ha derivado en una serie de sanciones tecnológicas que restringen la exportación de GPUs de alto rendimiento.

El chip H20 de NVIDIA no logró superar las últimas restricciones

Una de las medidas más notables de NVIDIA fue el desarrollo del chip H20, diseñado específicamente para cumplir con los límites de exportación hacia China. Sin embargo, una nueva ronda de regulaciones exigió permisos especiales incluso para este modelo, obligando a la empresa a replantear su estrategia.

Este cambio ha dejado en claro que NVIDIA necesita un enfoque más flexible para mantener su presencia en el gigantesco mercado chino, en el que empresas como Alibaba, Tencent y ByteDance son clientes clave en el ámbito de la inteligencia artificial.

NVIDIA prepara nuevos chips basados en la arquitectura Blackwell

La respuesta de NVIDIA a esta situación podría ser el desarrollo de nuevas GPUs basadas en su arquitectura Blackwell, presentadas en 2024 como el futuro de la computación acelerada por IA. Estas nuevas GPU tendrían capacidades reducidas para cumplir con las regulaciones de EE. UU., pero seguirían ofreciendo un rendimiento competitivo en tareas de IA.

Se espera que las versiones limitadas estén basadas en los chips B100 y B200, diseñados originalmente para el mercado global. Estas variantes serían optimizadas para China, respetando los umbrales impuestos por las restricciones de exportación sin comprometer por completo el rendimiento.

NVIDIA mantiene relaciones con socios estratégicos en China

A pesar del escenario geopolítico, NVIDIA ha comunicado a sus principales socios chinos —entre ellos ByteDance, Alibaba y Tencent— su intención de mantener las relaciones comerciales. La estrategia gira en torno a proveerles soluciones viables de IA, incluso si eso significa rediseñar continuamente sus productos.

Con esta jugada, la empresa pretende seguir presente en uno de los mercados más grandes y estratégicos para la inteligencia artificial, sin romper las normativas impuestas por el Departamento de Comercio de EE. UU.

¿Qué pasará si Estados Unidos impone nuevas restricciones?

Aun con estos nuevos desarrollos, existe un riesgo importante: que Estados Unidos imponga futuras restricciones también sobre estos chips adaptados. Ya ha ocurrido antes con modelos anteriores, por lo que la incertidumbre regulatoria se mantiene como un factor clave que puede frenar los planes de NVIDIA.

En este contexto, la compañía se enfrenta a un difícil equilibrio: innovar tecnológicamente mientras sortea las barreras geopolíticas. Pero si algo ha demostrado NVIDIA es su capacidad para adaptarse rápidamente a los cambios del mercado, especialmente en un campo tan competitivo como el de la inteligencia artificial.

NVIDIA no se rinde y redobla su apuesta por China

Las restricciones de exportación de chips impuestas por Estados Unidos representan un enorme reto para NVIDIA. Sin embargo, la empresa ha optado por una estrategia de adaptación tecnológica, desarrollando chips personalizados para el mercado chino, cumpliendo con las regulaciones y manteniendo su liderazgo en IA.

Con la introducción de nuevos chips basados en la arquitectura Blackwell, NVIDIA busca seguir siendo un socio estratégico en China, sin perder su posición dominante en la carrera global por el desarrollo de la inteligencia artificial.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft anunció oficialmente que Skype dejará de funcionar el 5 de mayo de 2025. La icónica plataforma de videollamadas y mensajería instantánea, que durante años fue el referente en comunicación digital, se despide para siempre. El motivo principal de esta decisión es el crecimiento y adopción masiva de Microsoft Teams, una solución más completa y moderna para reuniones virtuales, eventos y trabajo colaborativo.

¿Qué pasará con tus datos de Skype?

Microsoft ha informado que los datos asociados a las cuentas de Skype —como historiales de conversación, contactos y archivos— seguirán disponibles hasta finales de 2025. A partir de esa fecha, todo el contenido será eliminado de forma permanente. Por esta razón, se recomienda a los usuarios realizar cuanto antes la migración de datos a Microsoft Teams, proceso que se puede hacer fácilmente iniciando sesión con la cuenta de Skype.

Las 4 mejores alternativas a Skype en 2025

Si aún usabas Skype para comunicarte con amigos, familiares o colegas, no te preocupes. Existen excelentes alternativas a Skype disponibles para mantener tus videollamadas y chats activos sin complicaciones. A continuación, te mostramos las opciones más recomendables.

1. Microsoft Teams – La alternativa oficial a Skype

Microsoft Teams es la opción más recomendada por Microsoft y la alternativa más directa a Skype. Está pensada tanto para uso personal como profesional y ofrece:

• Mensajes por chat.
• Llamadas de audio y video individuales o grupales.
• Compartir pantalla y archivos.
• Integración con Microsoft 365 y OneDrive.

La ventaja principal es la sincronización directa con tu cuenta de Skype, lo que permite migrar tus datos automáticamente. Además, existe una versión gratuita con todas las funciones esenciales, ideal para usuarios domésticos.

2. WhatsApp – Una solución rápida y fácil para videollamadas

WhatsApp se ha convertido en una de las aplicaciones más utilizadas para videollamadas y mensajes instantáneos. Aunque originalmente no fue diseñada como alternativa a Skype, hoy en día ofrece:

V

• ideollamadas individuales y grupales.
• Llamadas de voz de alta calidad.
• Envío de mensajes de texto, imágenes, documentos y notas de voz.
• Compatibilidad con móviles Android e iOS.

Lo mejor es que ya viene instalada en la mayoría de teléfonos móviles, por lo que no necesitas descargar nada adicional.

3. Google Meet – Integración total con tu cuenta de Google

Google Meet es la plataforma oficial de Google para videollamadas, integrada directamente en dispositivos Android y en el ecosistema de Google. Es una alternativa ideal a Skype para quienes buscan algo simple y accesible:

• No requiere instalación en móviles Android.
• Inicia sesión con tu cuenta de Google.
• Videollamadas fáciles de iniciar.
• Permite invitar por correo electrónico y sincronizar con Google Calendar.

Su interfaz es amigable, lo que la convierte en una opción perfecta incluso para quienes no tienen experiencia tecnológica.

4. Discord – La mejor opción para gamers y comunidades online

Discord es una plataforma muy popular entre gamers, pero su uso se ha extendido a comunidades de todo tipo. Es ideal si solías usar Skype para jugar online o hablar en grupo con amigos:

• Videollamadas y llamadas de voz.
• Chats de texto.
• Compartir pantalla.
• Crear servidores temáticos y unirte a comunidades activas.

Además, permite personalizar notificaciones y crear canales específicos para diferentes temas, algo que Skype no ofrecía de forma tan avanzada.

Skype se despide, pero las opciones sobran

La desaparición de Skype marca el final de una era en las comunicaciones digitales, pero no significa que te quedes sin opciones. Ya sea que busques una plataforma sencilla como WhatsApp o una herramienta profesional como Microsoft Teams, hay alternativas a Skype en 2025 para todo tipo de necesidades.

Recuerda que tienes hasta finales de 2025 para respaldar tus datos y migrar tus conversaciones. No dejes pasar el tiempo y prepárate para dar el salto a una nueva plataforma de comunicación.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El malware StealC, uno de los descargadores de malware y ladrones de información más populares en foros clandestinos, ha lanzado su segunda versión principal con mejoras significativas en capacidades de evasión, robo de datos y distribución de cargas útiles.

La versión 2.2.4 de StealC fue puesta a disposición de actores maliciosos en marzo de 2025, y desde entonces ha recibido varias actualizaciones menores que fortalecen su funcionalidad. Investigadores de Zscaler ThreatLabz han publicado recientemente un análisis técnico en profundidad sobre esta peligrosa herramienta de cibercrimen.

StealC: evolución de un malware de bajo perfil a una amenaza sofisticada

StealC se detectó por primera vez a principios de 2023, cuando comenzó a circular en la dark web como un malware ligero enfocado en el robo de información sensible. Su modelo de negocio tipo "malware como servicio" (MaaS) ofrecía acceso por 200 dólares mensuales, atrayendo a múltiples operadores.

En 2024, StealC participó en campañas de publicidad maliciosa a gran escala y en ataques que bloqueaban los sistemas en modos quiosco ineludibles. A finales del mismo año, se confirmó que sus desarrolladores seguían activos y habían implementado mecanismos avanzados de evasión, como la bypass de 'App-Bound Encryption' en Google Chrome, permitiendo la reutilización de cookies caducadas para secuestrar cuentas de Google.

Principales mejoras en StealC 2.2.4

La versión 2 de StealC, lanzada oficialmente en marzo de 2025, incluye una serie de funciones que elevan su nivel de sofisticación. Según el informe de Zscaler, se destacan las siguientes mejoras clave:

1. Entrega flexible de cargas útiles

• Soporte para múltiples formatos: ejecutables (.exe), paquetes MSI y scripts de PowerShell.
• Activación de carga configurable, adaptable según el entorno del objetivo.

2. Comunicación cifrada y aleatoriedad

• Implementación de cifrado RC4 en cadenas de código y tráfico C2 (comando y control).
• Parámetros aleatorios en las respuestas C2 para dificultar la detección por firmas.

3. Mejora de arquitectura y persistencia

• Compatibilidad con sistemas de 64 bits mediante nuevas cargas compiladas.
• Resolución dinámica de funciones de API en tiempo de ejecución.
• Rutina de autoeliminación para reducir huellas tras la ejecución.

4. Constructor de malware integrado

• Herramienta interna para generar nuevas variantes con reglas de robo personalizadas.
• Permite una rápida personalización por parte de los operadores.

5. Funciones avanzadas de vigilancia

• Captura de pantallas de escritorio con soporte para múltiples monitores.
• Integración con bots de Telegram para enviar alertas en tiempo real.

Cambios y posibles direcciones futuras

Junto con las nuevas capacidades, algunas funciones fueron eliminadas, como las comprobaciones anti-VM (máquinas virtuales) y la ejecución de DLLs remotas. Esto podría indicar un rediseño del malware enfocado en una ejecución más ágil, aunque no se descarta que se reintroduzcan con mejoras en futuras versiones.

Técnicas de distribución detectadas

En campañas recientes analizadas por Zscaler, se observó que StealC fue desplegado mediante el malware Amadey, utilizado como loader o cargador. Sin embargo, es probable que distintos operadores utilicen otros métodos de distribución o cadenas de ataque para propagar el malware.

Cómo protegerse del malware StealC y otras amenazas similares

Para reducir el riesgo de ser víctima de StealC u otros malwares de robo de información, se recomienda seguir estas buenas prácticas:

• Evite almacenar contraseñas u otros datos sensibles en navegadores web.
• Active la autenticación multifactor (MFA) en todas sus cuentas críticas.
• No descargue software de fuentes no confiables, especialmente contenido pirata.
• Utilice soluciones antivirus con protección contra amenazas avanzadas (ATP).
• Mantenga actualizado su sistema operativo y navegadores web.

En conclusión, el lanzamiento de StealC 2.2.4 confirma la evolución constante del malware orientado al robo de credenciales y datos sensibles. Con nuevas técnicas de evasión, entrega y vigilancia, esta herramienta representa una amenaza creciente para usuarios individuales y organizaciones por igual. La conciencia sobre ciberseguridad y la adopción de buenas prácticas son fundamentales para mitigar su impacto.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El loader de malware MintsLoader ha sido identificado como un componente clave en recientes campañas de ciberataques, utilizado para distribuir GhostWeaver, un troyano de acceso remoto (RAT) avanzado escrito en PowerShell. Este cargador opera a través de una compleja cadena de infección de múltiples etapas que combina JavaScript y PowerShell ofuscado.

Según un informe del Insikt Group de Recorded Future, MintsLoader emplea las siguientes técnicas avanzadas:

• Evasión de máquinas virtuales y entornos sandbox
• Algoritmo de generación de dominios (Domain Generation Algorithm, DGA)
• Comunicación C2 (comando y control) sobre protocolo HTTP

Estas capacidades hacen que MintsLoader sea especialmente difícil de detectar y analizar, convirtiéndolo en una herramienta atractiva para grupos de amenazas persistentes avanzadas (APT).

Campañas activas desde 2023 con MintsLoader y GhostWeaver

Desde inicios de 2023, Orange Cyberdefense ha documentado múltiples campañas de phishing y descarga maliciosa que distribuyen MintsLoader como etapa inicial de infección. El cargador ha sido observado desplegando malware como:

• StealC, un infostealer especializado
• Una versión modificada del cliente BOINC (Berkeley Open Infrastructure for Network Computing)

Además, MintsLoader ha sido utilizado por grupos de delitos cibernéticos como:

• SocGholish (también conocido como FakeUpdates)
• LandUpdate808 (TAG-124)

Estos actores han apuntado a sectores sensibles como el industrial, legal y energético, usando correos electrónicos de phishing y falsas actualizaciones de navegador para propagar el malware.

ClickFix: ingeniería social que potencia la propagación del malware

Una táctica destacada en campañas recientes es el uso del método de ingeniería social ClickFix, que busca engañar a los usuarios para que copien y ejecuten manualmente código malicioso en sus sistemas.

Los atacantes distribuyen enlaces a páginas falsas de ClickFix mediante spam y correos no deseados, donde los usuarios son inducidos a ejecutar scripts JavaScript y PowerShell, facilitando así la infección por MintsLoader y sus cargas útiles secundarias.

Técnicas de evasión y persistencia empleadas por MintsLoader

Aunque MintsLoader se limita a funcionar como loader sin funciones de robo de información, su eficacia reside en su sofisticación técnica. Entre sus métodos destacan:

• Evasión de sandboxing
• Ofuscación de scripts
• DGA que genera dominios basados en la fecha de ejecución
• Carga de scripts PowerShell desde dominios generados dinámicamente

Estas características permiten ocultar su actividad maliciosa, obstaculizar el análisis forense y evadir herramientas de detección tradicionales.


GhostWeaver: troyano persistente con complementos y cifrado TLS

El troyano GhostWeaver, cargado por MintsLoader, es un malware complejo que:

• Mantiene conexión persistente con el servidor C2
• Genera dominios C2 a través de un DGA con semillas semanales y anuales
• Entrega cargas útiles adicionales en forma de complementos
• Roba información del navegador y manipula contenido HTML

Un aspecto técnico clave es que GhostWeaver puede reutilizar MintsLoader como carga útil secundaria mediante su comando sendPlugin.

Además, la comunicación entre GhostWeaver y su infraestructura de comando y control está cifrada mediante TLS, utilizando un certificado X.509 ofuscado y autofirmado, incrustado directamente en el script PowerShell. Esto fortalece la autenticación del lado del cliente y complica aún más el análisis del tráfico malicioso.

Nuevas campañas asociadas: ClickFix y Lumma Stealer

Paralelamente, la firma Kroll ha reportado intentos recientes de obtener acceso inicial utilizando la campaña denominada CLEARFAKE, que también explota el mecanismo de ClickFix. Esta campaña induce a los usuarios a ejecutar comandos MSHTA, culminando en la ejecución del malware Lumma Stealer, un infostealer popular en foros clandestinos.

MintsLoader y GhostWeaver, una amenaza avanzada para entornos corporativos

El dúo MintsLoader–GhostWeaver representa una evolución peligrosa en los métodos de entrega de malware, integrando PowerShell malicioso, evasión avanzada, DGA dinámico y cifrado TLS. Esta amenaza está diseñada para infiltrarse sigilosamente en entornos corporativos, especialmente aquellos menos protegidos contra técnicas modernas de ingeniería social y evasión.

Recomendaciones para mitigar el riesgo:

• Bloquear el uso de PowerShell no autorizado
• Monitorizar dominios DGA y tráfico HTTP sospechoso
• Utilizar herramientas de seguridad capaces de detectar evasión sandbox
• Educar a los usuarios sobre ataques como ClickFix y MSHTA
• Auditar continuamente los scripts y macros ejecutados desde el correo

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de seguridad cibernética han identificado tres módulos maliciosos escritos en Go que contienen código ofuscado capaz de ejecutar una carga útil destructiva en sistemas Linux. Esta amenaza puede sobrescribir completamente el disco principal y dejar la máquina inoperativa.

Nombres de los paquetes maliciosos de Go:

• github[.]com/truthfulpharm/prototransform
• github[.]com/blankloggia/go-mcp
• github[.]com/steelpoor/tlsproxy

Según Kush Pandya, investigador de la firma de seguridad Socket, estos módulos aparentemente legítimos incluían scripts ocultos que descargan cargas útiles remotas utilizando wget, específicamente cuando detectan que están ejecutándose en un sistema operativo Linux.

Una carga útil diseñada para inutilizar servidores Linux

La carga maliciosa descargada es un script de shell destructivo que sobrescribe el disco primario (/dev/sda) con ceros, eliminando por completo cualquier dato. Este tipo de ataque:

• Imposibilita el arranque del sistema
• Evita la recuperación con herramientas forenses
• Deja servidores y entornos de desarrollo completamente inutilizados

Esta amenaza demuestra el peligro extremo de los ataques a la cadena de suministro, en los que código aparentemente confiable puede convertirse en una herramienta de sabotaje devastadora.

Paquetes npm maliciosos orientados al robo de criptomonedas

En paralelo, se han descubierto múltiples paquetes npm maliciosos diseñados para robar frases semilla mnemotécnicas y claves privadas de billeteras de criptomonedas, además de exfiltrar otros datos sensibles.

Lista de paquetes npm identificados:

• cripto-encript-ts
• react-native-scrollpageviewtest
• de bancabundleserv
• buttonfactoryserv-PayPal
• TommyboyTesting
• cumplimientoreadserv-PayPal
• oauth2-PayPal
• de pagoapiplataformaservicio-PayPal
• userbridge-PayPal
• Relación de usuario-PayPal

Estos paquetes fueron detectados por Socket, Sonatype y Fortinet, quienes alertan sobre el uso de nombres relacionados con PayPal para ganar legitimidad falsa y atraer desarrolladores desprevenidos.

Malware en PyPI con capacidades de exfiltración y control remoto

También se han identificado paquetes maliciosos en el Python Package Index (PyPI), centrados en robo de frases semilla de criptomonedas y técnicas de exfiltración encubierta de datos utilizando Gmail y WebSockets.

Paquetes PyPI con funcionalidades maliciosas:

• web3x
• herewalletbot
• CFC-BSB (2.913 descargas)
• Coffin2022 (6.571 descargas)
• coffin-codes-2022 (18.126 descargas)
• coffin-codes-net (6.144 descargas)
• coffin-codes-net2 (6.238 descargas)
• coffin-codes-pro (9.012 descargas)
• Ataúd-Tumba (6.544 descargas)

Estos paquetes utilizan credenciales codificadas de cuentas de Gmail para iniciar sesión en el servidor SMTP y enviar correos que confirman la infección del sistema. Luego, establecen canales WebSocket para permitir ejecución remota de comandos por parte del atacante.

CitarEl paquete CFC-BSB, a diferencia de los demás, no utiliza Gmail pero sí incorpora lógica WebSocket para control remoto, lo que lo convierte en una variante igualmente peligrosa.

Tácticas evasivas para evitar la detección

Estos actores de amenazas aprovechan la confianza en dominios legítimos como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.]com, que no suelen ser marcados como sospechosos por proxies corporativos ni soluciones de seguridad de endpoints. Esta táctica aumenta el sigilo de la comunicación maliciosa, dificultando su detección y respuesta temprana.

Cómo mitigar ataques a la cadena de suministro de software

Para protegerse de estos paquetes maliciosos y mantener entornos de desarrollo seguros, se recomienda:

• Verificar el historial del editor del paquete y los enlaces del repositorio en GitHub
• Auditar dependencias con herramientas automáticas
• Controlar estrictamente el acceso a claves privadas
• Monitorear conexiones salientes inusuales, especialmente tráfico SMTP
• No confiar en paquetes solo por su antigüedad o popularidad

Citar"No confíes ciegamente en un paquete solo porque ha existido por años", advierte Olivia Brown, investigadora de Socket. "Los atacantes pueden tomar control de paquetes aparentemente inofensivos en cualquier momento".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La comunidad de Tails (The Amnesic Incognito Live System) ha anunciado el lanzamiento de la versión 6.15, una actualización que llega poco después de su versión anterior, con un enfoque claro en mejorar la seguridad digital, la estabilidad del sistema y el soporte de hardware.

Entre las novedades más destacadas se incluyen:

• Actualización del navegador Tor a la versión 14.5.1
• Integración del kernel de Linux 6.1.135
• Eliminación de drivers obsoletos o problemáticos
• Correcciones menores que mejoran la estabilidad general del sistema

Navegador Tor 14.5.1: más seguridad y compatibilidad web

Una de las principales mejoras de Tails 6.15 es la integración del navegador Tor 14.5.1, basado en Firefox ESR (Extended Support Release). Esta nueva versión proporciona:

• Mayor compatibilidad con sitios web actuales
• Parcheo de vulnerabilidades críticas
• Mejora en la navegación segura dentro de la red Tor

Para los usuarios de Tails, que utilizan Tor como su principal herramienta de acceso a Internet de forma anónima, esta actualización es esencial para evitar seguimiento, vigilancia y ataques de explotación remota.

Kernel Linux 6.1.135: soporte ampliado para hardware y mayor protección

La adopción del Linux kernel 6.1.135, una versión LTS (Long-Term Support), garantiza mejoras en:

• Compatibilidad con hardware moderno
• Estabilidad del sistema operativo
• Aplicación de correcciones de seguridad recientes

Aunque no es el kernel más nuevo del ecosistema Linux, su madurez y mantenimiento a largo plazo lo hacen ideal para un sistema centrado en la privacidad y el anonimato como Tails.

Eliminación de drivers obsoletos: más rendimiento, menos riesgos

Tails 6.15 también incluye una limpieza de controladores de dispositivos que ya no cuentan con soporte o que han presentado problemas. Se han eliminado drivers relacionados con:

• Audio
• Red
• Gráficos
• Otros periféricos obsoletos o inestables

Esta decisión reduce la superficie de ataque del sistema y previene errores que podrían comprometer la seguridad o la experiencia del usuario. No obstante, quienes utilicen hardware antiguo pueden notar pérdida de compatibilidad, mientras que los usuarios con dispositivos actualizados no deberían verse afectados.

Correcciones adicionales y mejoras de estabilidad

Además de las actualizaciones principales, Tails 6.15 incorpora diversas mejoras internas y ajustes funcionales, como:

• Optimización en la conexión automática a la red Tor
• Mejoras en la interfaz de usuario
• Ajustes en los scripts internos que mantienen el anonimato del sistema

Estas correcciones contribuyen a un funcionamiento más fluido y robusto, acorde con la misión del sistema operativo.

¿Por qué actualizar a Tails 6.15?

Los desarrolladores de Tails recomiendan encarecidamente que todos los usuarios actualicen a la versión 6.15 lo antes posible. Esta versión refuerza:

• La seguridad frente a vigilancia digital
• La estabilidad en entornos críticos
• El soporte para nuevos dispositivos y controladores compatibles

Tails es un sistema operativo que se ejecuta desde una unidad USB sin dejar rastros en el equipo, lo que lo convierte en una herramienta indispensable para periodistas, activistas, defensores de derechos humanos y usuarios preocupados por su privacidad digital.

Con cada nueva versión, Tails reafirma su compromiso con la libertad, el anonimato y la protección frente a amenazas cibernéticas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha confirmado que Microsoft Authenticator, su popular aplicación de autenticación multifactor (MFA), dejará de ofrecer funciones de almacenamiento de contraseñas y autocompletado a partir de julio de 2025. La eliminación será definitiva en agosto de 2025, marcando una transición hacia el navegador Microsoft Edge como plataforma principal de gestión de credenciales.

Esta medida tiene como objetivo consolidar la administración de contraseñas y optimizar la experiencia de autocompletado en una sola herramienta más robusta y segura.

¿Qué pasará y cuándo? Fechas clave del cambio

La desactivación de funciones será progresiva y se realizará en tres fases:

• Junio de 2025: ya no se podrán guardar nuevas contraseñas en Authenticator.
• Julio de 2025: la función de autocompletar será deshabilitada y se eliminará la información de pago almacenada.
• Agosto de 2025: se perderá el acceso a las contraseñas guardadas y a las contraseñas generadas no almacenadas en la app.

¿Qué deben hacer los usuarios de Microsoft Authenticator?

Los usuarios tienen hasta el 1 de agosto de 2025 para exportar sus contraseñas desde Authenticator. De no hacerlo, podrían perder permanentemente sus datos de acceso.

¿Cómo exportar tus contraseñas?

Abre la app Microsoft Authenticator.

• Dirígete a Menú > Configuración > Autocompletar > Exportar contraseñas.
• Selecciona una ubicación de exportación.
• Toca "Guardar" para completar el proceso.

⚠️ Nota: solo las contraseñas de cuentas pueden exportarse. La información de pago deberá ingresarse manualmente por motivos de seguridad.

Microsoft Edge: el nuevo hogar para tus contraseñas

Con la retirada de estas funciones en Authenticator, Microsoft redirige a los usuarios hacia Microsoft Edge, que ahora incorpora un gestor de contraseñas completo y sincronización segura con cuentas de Microsoft.

Para mantener la funcionalidad de autocompletado, se recomienda:

• Instalar Microsoft Edge en tu dispositivo iOS o Android.
• Abrir Edge e iniciar sesión con tu cuenta de Microsoft.
• Ir a Configuración del dispositivo > Autocompletar / Contraseñas y elegir Edge como servicio predeterminado.
• Verifica que puedes acceder a tus contraseñas en Configuración > Contraseñas dentro del navegador.

¿Y si no quiero usar Edge?

Microsoft permite exportar las contraseñas a otros gestores antes del 1 de agosto de 2025. Esto proporciona flexibilidad a quienes prefieran alternativas como 1Password, Bitwarden o LastPass.

La fecha límite para exportar información de pago es julio de 2025, por lo que se recomienda actuar cuanto antes.

Funciones que permanecen en Microsoft Authenticator

A pesar de los cambios, Microsoft Authenticator seguirá admitiendo claves de acceso (passkeys) y métodos de autenticación multifactor como:

• Contraseñas de un solo uso basadas en el tiempo (TOTP).
• Notificaciones push.
• Autenticación biométrica.

Esto asegura que los usuarios puedan seguir utilizando la app como herramienta MFA segura para iniciar sesión en cuentas de Microsoft, Azure AD, GitHub y otros servicios, incluso después del cambio.

Con esta transición, Microsoft apuesta por centralizar sus funciones de seguridad en Microsoft Edge, reforzando la integración entre navegador y servicios de autenticación. Es crucial que los usuarios de Authenticator realicen la migración o exportación de datos a tiempo para evitar la pérdida de información sensible.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un joven de 25 años de California, identificado como Ryan Kramer y conocido en línea como "NullBulge", se ha declarado culpable de un grave incidente de ciberataque y robo de datos contra The Walt Disney Company. El atacante logró acceder de forma no autorizada a canales internos de Slack y exfiltrar más de 1,1 terabytes (TB) de información confidencial.

El Departamento de Justicia de EE. UU. (DOJ) confirmó que el ataque se originó tras la creación y distribución de un programa malicioso a inicios de 2024. Kramer promocionó el software en GitHub y otras plataformas como una supuesta herramienta de generación de imágenes mediante inteligencia artificial, pero en realidad se trataba de un malware diseñado para robar credenciales y datos sensibles de los dispositivos en los que se instalaba.

Acceso no autorizado a Slack mediante malware oculto

De acuerdo con el DOJ, uno de los afectados fue Matthew Van Andel, un empleado de Disney que, sin saberlo, descargó y ejecutó el software malicioso en su equipo. Al hacerlo, Kramer obtuvo acceso a su ordenador y, específicamente, a las contraseñas almacenadas en su gestor de contraseñas 1Password.

Con estas credenciales robadas, Kramer logró infiltrarse en los canales internos de Slack de Disney, accediendo a miles de canales no públicos. A partir de mayo de 2024, descargó aproximadamente 1,1 TB de datos corporativos sensibles, incluyendo mensajes, archivos, proyectos confidenciales, código fuente, imágenes inéditas y enlaces a herramientas internas de Disney.

Extorsión y filtración de datos en BreachForums

Luego del robo de datos, Kramer intentó extorsionar a Van Andel, haciéndose pasar por un supuesto grupo hacktivista ruso llamado NullBulge. Le advirtió que si no cooperaba, su información personal y los datos robados de Disney serían publicados en línea.

Ante la falta de respuesta, el 12 de julio de 2024, NullBulge publicó un mensaje en el conocido foro de cibercriminales BreachForums, bajo el título "DISNEY INTERNAL SLACK". En dicho post, el atacante reveló la magnitud del ataque:

Citar"1,1 TiB de datos. Casi 10.000 canales, todos los mensajes y archivos posibles, volcados. Proyectos inéditos, imágenes y código en bruto, algunos inicios de sesión, enlaces a páginas web / API internas, ¡y más! Diviértete revisándolo, hay mucho allí".

La publicación causó gran preocupación en la comunidad de ciberseguridad, ya que incluía referencias a datos altamente sensibles y herramientas internas no divulgadas públicamente por Disney.

Cargos penales y consecuencias legales para el atacante

Ryan Kramer enfrenta dos cargos federales: uno por acceso no autorizado a una computadora para obtener información y otro por amenazar con dañar una computadora protegida. Cada uno de estos cargos conlleva una pena máxima de hasta cinco años de prisión en una cárcel federal.

Además, Kramer admitió que al menos otras dos personas descargaron su malware, lo que le permitió acceder también a sus dispositivos. El FBI continúa investigando estos casos adicionales para determinar la extensión completa de la operación de Kramer.

Su primera audiencia en la corte federal de Los Ángeles está programada para las próximas semanas.

Disney, Slack y las implicaciones en la ciberseguridad corporativa

Este incidente pone de relieve los riesgos asociados con plataformas de colaboración empresarial como Slack, especialmente cuando se usan de forma intensiva por empresas como Disney para manejar información sensible. También destaca el creciente uso de malware disfrazado de herramientas legítimas basadas en inteligencia artificial como método para comprometer dispositivos de empleados.

Empresas de todos los sectores deben reforzar sus estrategias de ciberseguridad corporativa, implementar sistemas de detección de amenazas avanzadas, y capacitar a su personal en la identificación de software potencialmente malicioso.

En conclusión, el caso de Ryan Kramer y el robo de 1,1 TB de datos internos de Disney mediante acceso a Slack es uno de los ciberataques más relevantes de 2024 hasta la fecha. El uso de malware disfrazado, la explotación de credenciales robadas y la publicación masiva de información en foros de hacking refuerzan la urgencia de adoptar medidas más estrictas para proteger los entornos digitales corporativos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha anunciado un importante avance en materia de seguridad: todas las nuevas cuentas de Microsoft serán configuradas sin contraseña de forma predeterminada, como parte de su estrategia para combatir amenazas como el phishing, los ataques de fuerza bruta y el relleno de credenciales.

Este cambio coincide con el despliegue de nuevas experiencias de inicio de sesión en sus aplicaciones web y móviles, optimizadas para el uso de métodos de autenticación sin contraseña, como las claves de paso.

¿Qué implica este cambio para los nuevos usuarios?

Según anunciaron Joy Chik, presidenta de Identidad y Acceso en Microsoft, y Vasu Jakkal, vicepresidente corporativo de Seguridad, las nuevas cuentas de Microsoft ya no requerirán establecer una contraseña durante su configuración. En su lugar, los usuarios tendrán acceso a varias opciones de autenticación segura sin contraseña.

Citar"Las nuevas cuentas de Microsoft ahora serán 'sin contraseña por defecto'. Los nuevos usuarios podrán iniciar sesión usando opciones sin contraseña desde el principio y nunca necesitarán registrar una contraseña", explicaron los ejecutivos.

Los usuarios existentes también pueden adoptar este modelo accediendo a la configuración de su cuenta y eliminando su contraseña manualmente.

Claves de paso: el futuro del inicio de sesión en Microsoft

Como parte de este cambio, Microsoft está promoviendo activamente el uso de las claves de paso (passkeys), una alternativa más segura y moderna a las contraseñas tradicionales. Estas claves funcionan mediante autenticación biométrica (huellas dactilares, reconocimiento facial) o mediante dispositivos seguros, como smartphones, que almacenan la clave privada del usuario.

Una vez que el usuario inicia sesión por primera vez, se le solicitará registrar una clave de paso. En futuras sesiones, el acceso se realizará directamente mediante esa clave, eliminando la necesidad de recordar o ingresar contraseñas.

Este nuevo enfoque ha demostrado ser eficiente. Según Microsoft, la implementación de claves de paso ha reducido el uso de contraseñas en más del 20% en pruebas internas, con la expectativa de que este número continúe disminuyendo a medida que se extiende su adopción.

Microsoft y su rol en la FIDO Alliance

Microsoft no está sola en esta iniciativa. Es miembro activo de la FIDO Alliance, una organización que impulsa estándares abiertos para autenticación sin contraseña. Esta alianza incluye a empresas tecnológicas líderes y promueve el uso de claves de paso en más de 15.000 millones de cuentas de usuario en todo el mundo.

Como parte de este esfuerzo, Microsoft ha ido introduciendo gradualmente soporte para claves de paso en sus productos:

• En 2023, habilitó la autenticación sin contraseña para cuentas personales de Microsoft.
• Con la actualización Windows 11 22H2, se incorporó un administrador de claves de paso directamente en Windows Hello.
• Más recientemente, Microsoft comenzó a probar nuevas API de WebAuthn para permitir la autenticación mediante proveedores externos de claves de paso en Windows 11.

Seguridad sin contraseñas: un futuro más seguro

La eliminación progresiva de contraseñas no solo mejora la experiencia de usuario, sino que refuerza la seguridad digital. Las contraseñas son uno de los eslabones más débiles en la cadena de seguridad, y Microsoft lo sabe. Por eso, su objetivo es reducir su uso hasta que ya no sean necesarias en absoluto.

Con estas medidas, Microsoft busca:

• Prevenir ataques de phishing dirigidos a obtener contraseñas.
• Eliminar la reutilización de contraseñas entre servicios.
• Impedir accesos no autorizados mediante técnicas de fuerza bruta.
• Ofrecer una experiencia de inicio de sesión más rápida y segura.

En conclusión, la transición hacia un mundo sin contraseñas es una prioridad para Microsoft y para toda la industria de la ciberseguridad. Al establecer la autenticación sin contraseña como el estándar para nuevas cuentas, Microsoft da un paso firme hacia un futuro digital más seguro, eficiente y fácil de usar.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de la empresa ARMO han encendido las alarmas en la comunidad de ciberseguridad tras descubrir una preocupante evolución en el desarrollo de rootkits para Linux. Según su reciente publicación, los atacantes están utilizando la interfaz io_uring del kernel de Linux para crear malware completamente funcional capaz de evadir los métodos tradicionales de detección.

Esta técnica representa un cambio de paradigma en la seguridad de sistemas Linux, ya que io_uring permite realizar operaciones de entrada/salida sin recurrir a las clásicas llamadas al sistema que las herramientas de detección suelen monitorear.

¿Qué es io_uring y por qué es relevante para la seguridad?

io_uring es una API introducida en Linux 5.1 diseñada para optimizar las operaciones de E/S asíncronas. Su arquitectura se basa en dos búferes en forma de anillo compartidos entre el espacio de usuario y el del kernel, lo que permite a las aplicaciones ejecutar múltiples solicitudes de E/S sin bloquear el hilo principal.

A diferencia de las API tradicionales basadas en llamadas como read(), write() o connect(), io_uring permite realizar estas acciones sin invocar directamente dichas llamadas. Esto reduce el overhead del sistema, pero también oculta las actividades maliciosas de muchas herramientas de seguridad, ya que estas dependen de interceptar las llamadas al sistema para detectar comportamientos anómalos.

Investigación y antecedentes técnicos

ARMO ya había explorado en investigaciones anteriores la evasión de mecanismos de seguridad basados en eBPF, como la manipulación de mapas o los ataques TOC-TOU (Time-of-Check to Time-of-Use). Sin embargo, un hallazgo clave fue una publicación del 6 de junio de 2022 de Daniel Teixeira, operador sénior del Red Team, en la que demostró cómo io_uring puede burlar la monitorización de llamadas al sistema.

Motivados por este enfoque, los expertos de ARMO decidieron investigar a fondo las implicaciones de io_uring en el desarrollo de rootkits avanzados.

Curing: el rootkit indetectable basado en io_uring

Para demostrar esta técnica, el equipo de ARMO desarrolló Curing, un prototipo de rootkit funcional que utiliza exclusivamente io_uring para comunicarse con un servidor remoto y ejecutar comandos maliciosos. En una de sus pruebas, Curing logró exfiltrar el archivo crítico /etc/shadow mediante una conexión TCP en el puerto 8888 sin ser detectado por soluciones como Falco o Tetragon.

Ambas herramientas fallaron porque no contemplan io_uring como un canal de comunicación relevante para sus sistemas de monitoreo, lo cual también ocurre en la mayoría de las soluciones comerciales de detección de amenazas para entornos Linux.

¿Cómo defenderse ante esta nueva técnica?

Los investigadores de ARMO recomiendan adoptar métodos más avanzados de monitoreo en tiempo real, como KRSI (Kernel Runtime Security Instrumentation), disponible desde Linux 5.7. KRSI permite conectar programas eBPF a ganchos LSM (Linux Security Modules), lo que brinda visibilidad profunda incluso en operaciones que no involucran llamadas al sistema.

Gracias a KRSI, es posible detectar comportamientos sospechosos relacionados con:

• Acceso no autorizado a archivos.
• Establecimiento de conexiones de red.
• Ejecución de procesos mediante io_uring.

La integración de KRSI en soluciones de seguridad modernas podría cerrar la brecha que técnicas como la usada por Curing están explotando actualmente.

io_uring y sus implicaciones en seguridad

No es la primera vez que io_uring genera preocupaciones en materia de seguridad. De hecho, ha estado en el centro de diversas vulnerabilidades críticas en los últimos años. Google ha optado por desactivarlo por defecto en sistemas como ChromeOS, Android y en su propia infraestructura de servidores.

En línea con estas preocupaciones, a partir de Linux 6.6 se ha introducido el parámetro io_uring_disabled en sysctl, el cual permite a los administradores del sistema desactivar io_uring sin necesidad de recompilar el kernel. Esta opción representa una capa adicional de defensa para quienes no requieren el uso de esta interfaz.

En conclusión, el uso de io_uring en rootkits para Linux representa una amenaza emergente que pone en evidencia las limitaciones de las herramientas de detección tradicionales. La investigación de ARMO, materializada en el prototipo Curing, demuestra que es posible desarrollar malware indetectable que opere fuera del radar del monitoreo convencional basado en llamadas al sistema.

La implementación de soluciones como KRSI y la revisión de políticas de activación de io_uring serán fundamentales para enfrentar estos nuevos desafíos en la ciberseguridad en Linux.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Valve ha anunciado una decisión crucial que afectará a los usuarios de Steam en Linux: a partir del 15 de agosto de 2025, el cliente de Steam dejará de funcionar en cualquier distribución Linux que utilice una versión de la biblioteca GNU C Library (glibc) anterior a la 2.31. Este cambio impactará especialmente a usuarios que aún utilizan sistemas operativos antiguos o sin soporte.

¿Qué significa este cambio para los usuarios de Steam en Linux?

Según la nota oficial publicada por Valve, los usuarios que deseen seguir utilizando Steam deberán actualizar su sistema operativo a una versión que incluya una versión de glibc igual o superior a la 2.31. Esta medida no solo busca garantizar la compatibilidad del cliente de Steam con las bibliotecas del sistema, sino también mejorar la seguridad del entorno Linux, ya que muchas distribuciones antiguas son vulnerables a malware, exploits y otros riesgos de ciberseguridad.

Valve hace hincapié en que mantener el sistema actualizado no es únicamente una cuestión técnica, sino una necesidad para proteger los datos del usuario, mejorar el rendimiento de los juegos y asegurar el correcto funcionamiento de la plataforma.

¿Qué distribuciones Linux se verán afectadas?

Este cambio afectará principalmente a las versiones de Linux lanzadas antes de 2020, que aún utilizan versiones antiguas de glibc. Entre las distribuciones y versiones potencialmente afectadas se encuentran:

• Debian 10 (Buster)
• Ubuntu 18.04 LTS
• Linux Mint 19
• Red Hat Enterprise Linux 8
• Fedora 31

Aunque la mayoría de los usuarios activos de Steam probablemente ya utilicen versiones más modernas, todavía existen entornos (como máquinas virtuales, entornos corporativos o usuarios con hardware antiguo) donde estas versiones siguen vigentes. En estos casos, será imprescindible planificar una actualización del sistema operativo para continuar disfrutando de Steam y sus juegos.

¿Qué deben hacer los usuarios?

La solución es clara: actualizar a una distribución Linux moderna que incorpore glibc 2.31 o superior. Algunas opciones populares y compatibles incluyen:

• Ubuntu 20.04 LTS o superior
• Debian 11 o 12
• Linux Mint 20.x o 21.x
• Fedora 34 o superior
• Arch Linux (con glibc siempre actualizada)

Esta medida puede parecer drástica para algunos, pero es coherente con las prácticas recomendadas en seguridad informática y mantenimiento de software. Continuar utilizando versiones sin soporte no solo compromete la estabilidad del sistema, sino también la integridad de tus datos personales y credenciales de acceso a Steam.

Steam y el soporte a largo plazo: ¿una contradicción?

Algunos usuarios han señalado la aparente contradicción de que Steam continúe exigiendo soporte para sistemas de 32 bits, mientras corta compatibilidad con bibliotecas clave más antiguas. Sin embargo, Valve prioriza cada vez más el soporte para arquitecturas modernas, por lo que es probable que futuros cambios también afecten el uso de sistemas de 32 bits.

Aunque existen alternativas a Steam en Linux, como Lutris, Heroic Games Launcher o incluso Wine, este cambio específico no está relacionado con la exclusividad de la plataforma, sino con la evolución tecnológica y la necesidad de mantener estándares de seguridad actualizados.

En conclusión, a partir del 15 de agosto de 2025, Steam dejará de funcionar en Linux con glibc anterior a 2.31. Para evitar interrupciones en el servicio y seguir accediendo a tu biblioteca de juegos, es fundamental que los usuarios actualicen sus distribuciones Linux a versiones modernas y compatibles. Esta actualización no solo es necesaria para el uso de Steam, sino que también fortalece la seguridad y estabilidad del sistema operativo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un conjunto de vulnerabilidades críticas en AirPlay, el protocolo de transmisión inalámbrica de Apple, ha puesto en riesgo a millones de dispositivos Apple y de terceros sin parches. Las fallas también afectan el kit de desarrollo de software (SDK) de AirPlay, utilizado ampliamente en altavoces, televisores y sistemas de infoentretenimiento.

23 vulnerabilidades permiten ataques RCE, MITM y lectura de archivos confidenciales

De acuerdo con Oligo Security, la firma de ciberseguridad que identificó las fallas, las vulnerabilidades permiten:

• Ejecución remota de código (RCE), incluso en ataques de clic cero
• Ataques de intermediario (MITM) y denegación de servicio (DoS)
• Elusión de listas de control de acceso (ACL)
• Acceso a información sensible
• Lectura arbitraria de archivos locales

Las 23 vulnerabilidades, denominadas colectivamente como "AirBorne", fueron reportadas a Apple, que lanzó parches de seguridad el 31 de marzo de 2025 para los siguientes sistemas:

• iPhones y iPads: iOS 18.4 y iPadOS 18.4
• Mac: macOS Ventura 13.7.5, Sonoma 14.7.5 y Sequoia 15.4
• Apple Vision Pro: visionOS 2.4

También se corrigieron fallos en el SDK de audio y video de AirPlay y en el complemento de comunicación CarPlay, afectando a dispositivos de terceros como parlantes, televisores inteligentes y sistemas automotrices compatibles.

Dispositivos Apple vulnerables a ataques en redes Wi-Fi locales

Aunque las fallas solo pueden explotarse dentro de la misma red local —ya sea Wi-Fi o conexión peer-to-peer—, los atacantes pueden tomar control total de un dispositivo vulnerable y usarlo como punto de entrada para comprometer otros dispositivos habilitados para AirPlay en la misma red.

Los investigadores lograron demostrar que dos de las vulnerabilidades más graves:

• CVE-2025-24252
• CVE-2025-24132

pueden utilizarse para crear exploits RCE automáticos tipo gusano, sin necesidad de interacción del usuario. Además, la vulnerabilidad CVE-2025-24206 permite eludir la confirmación de conexión AirPlay, haciendo innecesario el clic de "Aceptar" por parte del usuario. Esta falla puede combinarse con otras para lanzar ataques de clic cero sin detección.

Riesgos potenciales: ransomware, espionaje y ataques a la cadena de suministro

Según Oligo Security:

Citar"Un atacante puede tomar el control de dispositivos AirPlay comprometidos y desplegar malware que se propague a través de redes locales, facilitando ataques como espionaje, ransomware o sabotaje de la cadena de suministro".

La amenaza se agrava por la amplia adopción del protocolo AirPlay en el ecosistema Apple. Se estima que hay más de 2.350 millones de dispositivos Apple activos (iPhones, iPads, Macs, AppleTV, Vision Pro, etc.), además de millones de dispositivos de terceros —como altavoces, televisores y sistemas de infoentretenimiento para automóviles— que utilizan AirPlay o CarPlay.

Recomendaciones de seguridad: cómo proteger los dispositivos Apple

La firma de ciberseguridad recomienda tomar las siguientes medidas inmediatas para reducir la superficie de ataque AirPlay y evitar el compromiso de sistemas:

• Actualizar todos los dispositivos Apple y AirPlay a la versión más reciente de su sistema operativo.
• Solicitar a empleados que actualicen también sus dispositivos personales compatibles con AirPlay.
• Deshabilitar AirPlay Receiver si no se está utilizando.
• Restringir el acceso AirPlay a dispositivos de confianza mediante configuraciones de red y reglas de firewall.
• Limitar el uso de AirPlay al usuario actual, evitando conexiones no autorizadas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva campaña de malware dirigida a sitios WordPress ha sido detectada, en la cual los atacantes distribuyen un plugin malicioso disfrazado de herramienta de seguridad, engañando a los administradores para que lo instalen y confíen en él. Esta amenaza proporciona acceso persistente, ejecución remota de código e inyección de JavaScript, todo mientras se oculta del panel de administración de WordPress para evitar la detección.

Cómo opera el malware en sitios WordPress

Investigadores de Wordfence, empresa especializada en la seguridad de WordPress, descubrieron el malware durante una limpieza de sitio a finales de enero de 2025. Detectaron una versión manipulada del archivo wp-cron.php, el cual creaba y activaba automáticamente un plugin malicioso llamado WP-antymalwary-bot.php.

El malware también ha sido detectado con otros nombres de plugins, entre ellos:

• addons.php
• wpconsole.php
• wp-performance-booster.php
• scr.php

Estos complementos no aparecen en la lista de plugins activos dentro del panel de administración de WordPress, lo que dificulta su detección por parte de los usuarios.

Mecanismos de persistencia y reinfección automática

Una de las características más peligrosas de esta campaña es que, incluso si el plugin malicioso es eliminado, el archivo wp-cron.php lo recrea automáticamente en la siguiente visita al sitio web. Esta función garantiza que los atacantes mantengan el acceso persistente a los sistemas comprometidos.

Debido a la ausencia de registros del servidor que puedan ayudar a rastrear el origen exacto de la infección, Wordfence sugiere que la intrusión puede haberse producido a través de credenciales FTP comprometidas o una cuenta de alojamiento vulnerada.

Acceso de administrador y ejecución remota de comandos

Una vez instalado, el plugin realiza una autoverificación de estado y habilita el acceso de administrador a los atacantes. Utiliza una función llamada emergency_login_all_admins, que permite iniciar sesión como administrador mediante un parámetro GET (emergency_login) y una contraseña en texto plano.

Este mecanismo localiza todos los usuarios con rol de administrador en la base de datos, selecciona uno e inicia sesión como ese usuario, otorgando a los atacantes control total del sitio WordPress.

Modificación del header.php y JavaScript malicioso

El malware también registra una ruta API REST personalizada no autenticada, lo que permite insertar código PHP arbitrario en todos los archivos header.php del tema activo. Esta API puede ejecutar múltiples comandos, entre ellos:

• Inserción de código PHP en archivos críticos
• Borrado de cachés de plugins
• Inyección de JavaScript codificado en base64 en la etiqueta <head> del sitio

Estos scripts pueden ser utilizados para mostrar publicidad invasiva, lanzar ataques de phishing o redirigir a los visitantes a sitios web maliciosos.

Cómo detectar señales de infección en WordPress

Además de los nombres de plugins mencionados, los administradores de sitios deben revisar cuidadosamente:

• El archivo wp-cron.php para identificar código sospechoso o funciones de autoinstalación.
• El archivo header.php del tema activo en busca de inserciones no autorizadas de código PHP o JavaScript.
• Los registros de acceso web, buscando patrones como emergency_login, check_plugin, urlchange y key, que pueden ser indicadores claros de actividad maliciosa.

¿Dónde está alojado el servidor C2?

Aunque aún se desconoce la identidad de los atacantes, Wordfence identificó que el servidor de comando y control (C2) asociado a esta campaña está ubicado en Chipre. Además, se han observado similitudes con un ataque a la cadena de suministro detectado en junio de 2024, lo que podría indicar un mismo actor o infraestructura compartida.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un grupo de amenazas persistentes avanzadas (APT) vinculado a China, conocido como TheWizards, ha sido identificado como el responsable del uso de una sofisticada herramienta de movimiento lateral en redes IPv6 llamada Spellbinder. Esta herramienta facilita ataques de adversario en el medio (AitM) mediante técnicas de suplantación SLAAC (autoconfiguración de direcciones sin estado) en entornos con soporte IPv6.

Spellbinder: Interceptación de tráfico y redirección de actualizaciones maliciosas

De acuerdo con un informe de Facundo Muñoz, investigador de ESET, Spellbinder permite la interceptación de paquetes de red y la redirección del tráfico de actualizaciones legítimas de software chino hacia servidores controlados por atacantes. Entre los casos detectados, la herramienta secuestra el proceso de actualización del popular software chino Sogou Pinyin para descargar y ejecutar malware en el sistema comprometido.

Una vez comprometido, el sistema descarga un archivo malicioso que actúa como instalador de una puerta trasera modular, denominada WizardNet, diseñada para recibir y ejecutar cargas útiles desarrolladas en .NET.

Abuso recurrente del mecanismo de actualización de Sogou Pinyin

Esta no es la primera vez que actores de amenazas chinos aprovechan el proceso de actualización de software de Sogou Pinyin. En enero de 2024, ESET reportó que otro grupo APT, conocido como Blackwood, utilizó un implante llamado NSPX30 mediante la misma técnica. Asimismo, el grupo PlushDaemon desplegó un descargador personalizado denominado LittleDaemon utilizando el mismo vector de ataque a principios de este año.

Objetivos y alcance geográfico del grupo TheWizards

TheWizards APT tiene como blanco a individuos y organizaciones en sectores como el juego online, ubicados en Camboya, Hong Kong, China continental, Filipinas y Emiratos Árabes Unidos. Evidencias técnicas indican que Spellbinder ha estado en uso desde al menos 2022, aunque el vector de acceso inicial aún no ha sido identificado.

En los ataques observados, los actores distribuyen un archivo comprimido ZIP con cuatro componentes clave: AVGApplicationFrameHost.exe, wsc.dll, log.dat y winpcap.exe. El malware instala WinPcap y ejecuta código en memoria para iniciar Spellbinder, que intercepta y manipula tráfico de red mediante RA ICMPv6.

DNS hijacking de actualizaciones en plataformas chinas populares

Uno de los ataques más recientes en 2024 incluyó el secuestro del dominio de actualización de Tencent QQ (update.browser.qq[.]com), mediante spoofing DNS, redirigiendo a un servidor malicioso controlado por los atacantes (43.155.62[.]54). Desde allí, el sistema comprometido descarga la puerta trasera WizardNet.

Spellbinder emplea un analizador propio para inspeccionar las consultas DNS y cotejarlas con una lista interna de dominios objetivo, que incluye servicios ampliamente usados en China como Tencent, Baidu, Youku, iQIYI, Kingsoft, Xiaomi, PPLive, Meitu, Qihoo 360 y más.

Vinculación con DarkNights y el contratista chino Dianke Network Security

Además de WizardNet, TheWizards utiliza otra herramienta de malware llamada DarkNights, también conocida como DarkNimbus, atribuida a otro grupo APT chino denominado Earth Minotaur. Aunque las actividades de ambos grupos presentan similitudes, los investigadores los consideran operadores independientes debido a diferencias en herramientas, infraestructura y objetivos.

Investigaciones posteriores han vinculado a Dianke Network Security Technology Co., Ltd. (también conocida como UPSEC) con el desarrollo de DarkNimbus, posicionando a este contratista del Ministerio de Seguridad Pública de China como un proveedor de software malicioso al servicio de operaciones de ciberespionaje.

Citar"Mientras TheWizards usa una puerta trasera diferente para Windows, el servidor de secuestro está configurado para distribuir DarkNights en dispositivos Android, lo que sugiere que Dianke Network Security actúa como proveedor digital del grupo APT TheWizards", concluyó Muñoz.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El servicio de correo electrónico cifrado Proton Mail ha sido objeto de una orden de bloqueo en India. El Tribunal Superior del estado de Karnataka dictó una resolución el 29 de abril de 2025, ordenando la restricción del acceso a Proton Mail en todo el país. La medida responde a una demanda presentada por la empresa M Moser Design Associated India Pvt Ltd, que denunció la recepción de correos electrónicos ofensivos enviados desde cuentas de este proveedor de correo cifrado.

¿Por qué bloquearon Proton Mail en India?

Según la información publicada por LiveLaw, la denuncia señala que empleados de M Moser Design recibieron mensajes con lenguaje obsceno y abusivo, además de contenido sexualmente explícito generado por inteligencia artificial, incluyendo imágenes deepfake.

Durante la audiencia, el juez M. Nagaprasanna ordenó al gobierno de India iniciar procedimientos formales conforme a la Sección 69A de la Ley de Tecnología de la Información de 2008, en conjunto con la Regla 10 de las Reglas de TI de 2009, para bloquear el acceso a Proton Mail.

Citar"Hasta que el gobierno de la India retome y concluya tales procedimientos, los localizadores uniformes de recursos (URL) infractores deberán ser bloqueados de inmediato", dictaminó el juez.

Estado actual del servicio de Proton Mail en India

A pesar de la orden judicial, Proton Mail aún está accesible en India al momento de redactar esta nota. El medio The Hacker News contactó a la empresa suiza para solicitar declaraciones, aunque aún no se ha recibido respuesta oficial.

Este es el segundo intento de bloqueo de Proton Mail en India. En 2024, las autoridades investigaron el uso del servicio en el envío de amenazas de bomba falsas, lo que generó preocupaciones similares. En esa ocasión, la compañía reiteró su compromiso con el cumplimiento de la ley suiza, manifestando que está "resueltamente en contra del uso de los servicios de Proton para fines ilegales".

Política de privacidad y cumplimiento legal de Proton Mail

Proton Mail, con sede en Suiza, se destaca por ofrecer cifrado de extremo a extremo que protege los correos electrónicos, archivos, calendarios y contraseñas de los usuarios. Sin embargo, aunque la empresa no puede compartir datos con autoridades extranjeras debido a las estrictas leyes de privacidad suizas, sí colabora con las autoridades suizas en caso de órdenes judiciales, quienes pueden a su vez cooperar con otras agencias internacionales.

La compañía ha subrayado que su tecnología de cifrado no exime a los usuarios del cumplimiento legal:

Citar"No está permitido utilizar Proton Mail para actividades que violen la ley suiza", aclaró en su declaración oficial.

En conclusión, el bloqueo de Proton Mail en India abre un nuevo debate sobre el equilibrio entre privacidad digital y seguridad pública. Mientras el cifrado de extremo a extremo protege a millones de usuarios en todo el mundo, también plantea desafíos cuando se usa con fines maliciosos. Este caso podría sentar un precedente importante sobre cómo los gobiernos enfrentan el uso de tecnologías cifradas en sus jurisdicciones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El popular emulador de videojuegos multiplataforma RetroArch acaba de lanzar su nueva versión RetroArch 1.21.0, cuatro meses después de su última actualización. Más que un simple emulador, RetroArch actúa como un completo frontend para ejecutar múltiples núcleos (cores) de emulación, integrando en un solo entorno diferentes sistemas y plataformas.

Esta nueva versión introduce mejoras significativas en estabilidad, rendimiento, compatibilidad y funcionalidad, consolidando aún más su posición como la mejor opción en el mundo de la emulación retro.

RetroArch 1.21.0: novedades generales

Entre los principales cambios de RetroArch 1.21.0, se destacan:

• Corrección de errores en los guardados automáticos.
• Soporte para redefinición de directorios mediante variables de entorno.
• Soluciones a fallos al ejecutar sin núcleo seleccionado.
• Mejora en el conteo de fotogramas perdidos, ahora basado en la tasa del núcleo.
• Optimización del rendimiento general y estabilidad del sistema.

Mejoras en audio y vídeo

La gestión del audio ha sido optimizada con un refinamiento en el soporte para PipeWire, especialmente en la latencia, el uso del micrófono y el arranque de aplicaciones. También se incluye:

• Opción para silenciar el audio al rebobinar.
• Mejoras en sombreadores y sincronización de subframes.
• Soporte para BFI en móviles y adaptive vsync en Vulkan, elevando la experiencia audiovisual en dispositivos modernos.

Interfaz gráfica renovada y menús optimizados

La interfaz de RetroArch ha sido mejorada en diversos aspectos:

• Unificación del menú principal entre diferentes controladores.
• Nuevos temas visuales y opciones de personalización (XMB, Ozone).
• Mejoras en navegación, miniaturas y pestañas de listas de reproducción.
• El menú GLUI ahora permite navegación en miniatura a pantalla completa y captura de estados visuales.

Compatibilidad mejorada por plataforma

RetroArch 1.21.0 refuerza su compatibilidad con múltiples sistemas operativos y dispositivos:

• 3DS: estabilidad reforzada, solución de congelamientos y soporte TLS.
• iOS/macOS: integración con CoreMIDI y CoreLocation, mejoras en App Store y soporte GL compartido.
• Linux: ajustes en entrada X11 y detección de sensores.
• Windows: optimización de conectividad vía sockets.
• tvOS/iOS: mejoras de estabilidad, arte en Top Shelf y bloqueo de orientación.
• Emscripten (Web): nuevo reproductor moderno con drivers de audio/vídeo actualizados.
• Consolas: correcciones específicas para Wii, Wii U, PS Vita, entre otras.

Nuevas funciones destacadas en RetroArch 1.21.0

Esta actualización incluye funcionalidades clave para los entusiastas de la emulación:

• Nuevos controladores de cámara (PipeWire, ffmpeg).
• Sincronización en la nube mejorada.
• Soporte SSL en el menú de información.
• Rediseño completo del disparo turbo.
• Compatibilidad con entrada táctil en web y dispositivos MIDI.
• Soporte para logros en red (Cheevos) en juegos online.

Red, netplay y sincronización en la nube

RetroArch 1.21.0 incorpora mejoras sustanciales en conectividad:

• Soporte ampliado para HTTP, incluyendo redirecciones y resolución DNS.
• Ajustes en la funcionalidad netplay y logros en línea.
• Soluciones para sincronización en la nube, especialmente en rutas de Windows y carpetas ignoradas.

RetroArch 1.21.0 ya disponible para todas las plataformas

El código fuente y los binarios de RetroArch 1.21.0 ya pueden descargarse desde su sitio web oficial. Está disponible para:

• Windows (incluyendo versiones antiguas no soportadas por Microsoft)
• Linux (32 y 64 bits, arquitecturas x86 y ARM)
• macOS, Android, iOS, tvOS
• Consolas como Xbox, Switch, PSP, PS Vita, Wii, Wii U, PS2
• Próximamente llegará también a PS3 y PS4
• Y hasta es posible ejecutarlo en navegadores web gracias a su versión Emscripten

Integración con frontends como Batocera y ES-DE

Además de su uso independiente, RetroArch 1.21.0 será integrado en plataformas como Batocera y ES-DE (EmulationStation Desktop Edition). Estas distribuciones Linux están optimizadas para la emulación retro, ofreciendo una experiencia más accesible y visual, ideal para convertir cualquier PC en una consola retro completa.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Alibaba refuerza su liderazgo en el campo de la inteligencia artificial de código abierto con el lanzamiento oficial de Qwen3, su nueva serie de modelos de lenguaje de última generación (LLM). Según ha anunciado el gigante tecnológico chino en su blog oficial, Qwen3 incorpora avances clave en razonamiento, seguimiento de instrucciones, uso de herramientas y procesamiento multilingüe, posicionándose como una alternativa de alto nivel frente a modelos populares como DeepSeek R1.

Qwen3: modelos LLM optimizados para rendimiento, flexibilidad y accesibilidad

La nueva serie Qwen3 de Alibaba sucede a uno de los modelos de código abierto mejor valorados en tareas matemáticas. Ahora, con esta tercera generación, la compañía presenta ocho variantes de modelo con diferentes arquitecturas y tamaños, adaptadas para múltiples casos de uso, desde aplicaciones móviles hasta entornos empresariales en la nube.

Entre las principales innovaciones destaca la adopción del llamado "razonamiento híbrido", una técnica que permite a los modelos alternar entre dos modos operativos:

• Modo de pensamiento profundo: optimizado para tareas complejas como programación, análisis lógico o generación técnica.
• Modo sin pensamiento: enfocado en respuestas generales más rápidas y eficientes.

Esta tecnología sitúa a Qwen3 a la vanguardia de las nuevas tendencias en IA, alineándose con enfoques similares adoptados por OpenAI, Google y Anthropic, quienes también exploran la combinación entre velocidad de respuesta y profundidad de razonamiento.

Qwen3-235B-A22B MoE: modelo optimizado para eficiencia y escalabilidad

Uno de los modelos más destacados de esta nueva serie es Qwen3-235B-A22B MoE (Mixture of Experts), diseñado para maximizar el rendimiento sin incrementar el coste computacional. Según CNBC, este modelo reduce significativamente los costes de implementación frente a otros modelos líderes del mercado, lo que refuerza el compromiso de Alibaba con una IA accesible, escalable y eficiente.

Además, todos los modelos Qwen3 están disponibles de forma gratuita para usuarios individuales en plataformas líderes como:

• Hugging Face
• GitHub
• Alibaba Cloud (interfaz web)

Estos modelos también impulsan el rendimiento de Quark, el asistente de IA de Alibaba, lo que demuestra su integración práctica y funcionalidad en productos reales.

Características clave de Qwen3: multilingüismo, código abierto y adopción masiva

Wei Sun, analista de Counterpoint Research, ha calificado a Qwen3 como un "avance significativo" en el panorama de la IA de código abierto, no solo por su alto rendimiento, sino por tres características fundamentales:

• Razonamiento híbrido avanzado
• Compatibilidad multilingüe con 119 idiomas y dialectos
• Licencia de código abierto que fomenta la innovación global

Esta accesibilidad ha impulsado una rápida adopción: más de 300 millones de descargas a nivel mundial y más de 100.000 modelos derivados en Hugging Face.

Alibaba impulsa la inteligencia artificial de código abierto en China

El lanzamiento de Qwen3 refuerza la estrategia de China de posicionarse como líder global en tecnologías de código abierto aplicadas a la inteligencia artificial. Analistas como Ray Wang, con sede en Washington, destacan que este movimiento demuestra la capacidad de los laboratorios chinos para desarrollar modelos competitivos, a pesar de los desafíos regulatorios y las restricciones tecnológicas impuestas por Estados Unidos.

China ha intensificado su apuesta por la apertura tecnológica, atrayendo talento internacional y fomentando la colaboración con la comunidad global de desarrolladores. Empresas como Baidu también han seguido este enfoque, con planes para transitar hacia modelos más abiertos tras el éxito de DeepSeek.

Por su parte, DeepSeek ya trabaja en el sucesor de su modelo R1, mientras que Alibaba con Qwen3 continúa consolidando su posición como uno de los referentes de la inteligencia artificial de código abierto a nivel mundial.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha actualizado su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) con dos nuevas fallas de seguridad de alta gravedad, tras detectar explotación activa en entornos reales. Las vulnerabilidades afectan a Broadcom Brocade Fabric OS y al servidor web de Commvault, productos ampliamente utilizados en entornos empresariales y gubernamentales.

CVE-2025-1976: Vulnerabilidad crítica en Broadcom Brocade Fabric OS

• Identificador CVE: CVE-2025-1976
• Puntuación CVSS: 8.6 (Alta)
• Impacto: Ejecución de código arbitrario con privilegios de root
• Sistema afectado: Broadcom Brocade Fabric OS (versiones 9.1.0 a 9.1.1d6)
• Parche disponible: Versión 9.1.1d7

La vulnerabilidad CVE-2025-1976 se debe a un fallo en la validación de direcciones IP, lo que permite a un usuario local con privilegios administrativos ejecutar código con permisos de superusuario (root). Broadcom ha confirmado que esta debilidad puede ser usada para ejecutar cualquier comando del sistema o incluso modificar el propio sistema operativo Fabric OS, lo que representa un riesgo severo para la integridad del sistema.

Citar"A pesar de que esta explotación requiere acceso previo con privilegios administrativos, se ha observado actividad maliciosa activa en entornos reales", alertó Broadcom en un boletín oficial emitido el 17 de abril de 2025.

CVE-2025-3928: Vulnerabilidad en el servidor web de Commvault

• Identificador CVE: CVE-2025-3928
• Puntuación CVSS: 8.7 (Alta)
• Impacto: Creación y ejecución remota de shells web
• Sistema afectado: Commvault Web Server (versiones para Windows y Linux)
• Condiciones de explotación: Requiere credenciales autenticadas

Esta vulnerabilidad afecta al servidor web de Commvault, permitiendo a atacantes autenticados crear y ejecutar shells web de forma remota. Commvault explicó que no es explotable sin credenciales válidas y describió tres condiciones clave para la explotación:

• El entorno debe ser accesible desde Internet.
• Debe haber un compromiso previo por otro vector.
• El atacante debe poseer credenciales legítimas del usuario.

Las versiones afectadas incluyen:

• 11.36.0 - 11.36.45 (corregido en 11.36.46)
• 11.32.0 - 11.32.88 (corregido en 11.32.89)
• 11.28.0 - 11.28.140 (corregido en 11.28.141)
• 11.20.0 - 11.20.216 (corregido en 11.20.217)

Explotación activa y mitigación inmediata

Aunque aún no se han publicado detalles técnicos sobre los métodos específicos de explotación ni sobre la escala o los responsables de los ataques, el hecho de que ambas vulnerabilidades estén siendo explotadas activamente en la naturaleza representa una amenaza significativa.

Por este motivo, la CISA ha emitido una directiva urgente para que todas las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen los parches correspondientes:

• Para Commvault Web Server, antes del 17 de mayo de 2025.
• Para Broadcom Brocade Fabric OS, antes del 19 de mayo de 2025.

Recomendaciones para administradores de sistemas y equipos de ciberseguridad

Las organizaciones que utilicen estas plataformas deben:

• Actualizar inmediatamente a las versiones corregidas.
• Restringir el acceso a interfaces administrativas desde redes externas.
• Auditar accesos privilegiados para detectar anomalías.
• Supervisar el tráfico de red en busca de comandos sospechosos o conexiones reversas.

Además, se recomienda implementar una estrategia de defensa en profundidad que incluya segmentación de red, autenticación multifactor (MFA) y análisis de comportamiento.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La empresa de ciberseguridad SentinelOne ha revelado que el grupo de amenazas persistentes avanzadas (APT) con vínculos con China, conocido como PurpleHaze, intentó realizar actividades de reconocimiento contra su infraestructura y la de varios de sus clientes estratégicos de alto valor.

Según el análisis técnico publicado por los expertos de seguridad Tom Hegel, Aleksandar Milenkoski y Jim Walter, este grupo fue detectado por primera vez durante una intrusión en 2024, dirigida a una organización que prestaba servicios logísticos de hardware para empleados de SentinelOne.

PurpleHaze y su conexión con APT15

Los investigadores vinculan a PurpleHaze con APT15, también conocido como Flea, Nylon Typhoon (anteriormente Nickel), Playful Taurus, Royal APT y Vixen Panda, todos considerados grupos de ciberespionaje patrocinados por el estado chino.

Además, se observó que PurpleHaze atacó en octubre de 2024 a una entidad no identificada vinculada al gobierno del sur de Asia, utilizando una red de retransmisión operativa (ORB) y una puerta trasera en Windows denominada GoReShell. Este implante, desarrollado en lenguaje Go, reutiliza la herramienta de código abierto reverse_ssh para establecer conexiones SSH inversas con dispositivos comprometidos.

"El uso de redes ORB es una tendencia creciente entre actores de amenazas avanzadas, ya que permite crear infraestructuras altamente dinámicas y difíciles de rastrear para operaciones de ciberespionaje", advierten desde SentinelOne.

ShadowPad, ScatterBrain y ataques a infraestructura crítica

Un análisis posterior sugiere que la misma entidad del sur de Asia fue víctima, en junio de 2024, de otro ataque que involucró el uso de ShadowPad (también conocido como PoisonPlug), una puerta trasera muy utilizada por grupos APT chinos y considerada sucesora de PlugX.

Este malware fue identificado con técnicas de ofuscación avanzadas mediante un compilador personalizado conocido como ScatterBrain. Aunque ShadowPad también ha sido usado recientemente para distribuir ransomware, la motivación concreta detrás del ataque de junio permanece incierta.

Se estima que el ShadowPad ofuscado fue utilizado en intrusiones dirigidas a más de 70 organizaciones de sectores como fabricación, gobierno, finanzas, telecomunicaciones e investigación, posiblemente explotando una vulnerabilidad de día cero en dispositivos de puerta de enlace CheckPoint.

Una de las organizaciones afectadas fue la encargada de la logística de hardware para SentinelOne. Afortunadamente, la firma no encontró evidencias de un compromiso secundario en sus sistemas.

Intentos de infiltración desde Corea del Norte

SentinelOne también informó sobre intentos de infiltración por parte de actores alineados con Corea del Norte, quienes, mediante el uso de identidades falsas, buscaron conseguir puestos en áreas críticas de la compañía, incluyendo el equipo de inteligencia SentinelLabs. Se detectaron aproximadamente 360 perfiles falsos y más de 1.000 solicitudes de empleo fraudulentas, parte de una campaña de espionaje encubierto.

Amenazas de ransomware dirigidas a plataformas EDR

Además de los ataques patrocinados por estados, SentinelOne ha sido blanco de operadores de ransomware que buscan evaluar sus productos EDR (Endpoint Detection and Response) para detectar posibles puntos débiles y evadir la detección.

Estos esfuerzos están impulsados por una economía clandestina activa que incluye venta y alquiler de accesos a herramientas de seguridad empresarial a través de canales de mensajería cifrada y foros clandestinos como XSS[.]es, Explotar[.]en y RAMP.

En este contexto, ha emergido un nuevo servicio denominado "EDR Testing-as-a-Service", que permite a los ciberdelincuentes probar malware de forma discreta en entornos semiprivados sin comprometer sus operaciones. Este tipo de pruebas optimiza las cargas útiles maliciosas antes de ser desplegadas en entornos reales.

Nitrogen: ransomware avanzado con ingeniería social sofisticada

Un actor especialmente peligroso es el grupo ransomware Nitrogen, presuntamente dirigido por un ciudadano ruso. A diferencia de otros grupos, Nitrogen evita depender de accesos internos o credenciales robadas, optando por suplantar empresas legítimas para adquirir productos de seguridad oficialmente.

Utilizando dominios clonados, correos falsificados e infraestructura idéntica a compañías reales, Nitrogen logra comprar licencias legítimas de software EDR y otras soluciones de seguridad, con el fin de testear y evadir defensas.

"Este tipo de ingeniería social es extremadamente precisa", señalan los investigadores. "El grupo se enfoca en revendedores pequeños con procesos laxos de verificación KYC (Know Your Customer), reduciendo el riesgo de detección".

En conclusión, el informe de SentinelOne pone de manifiesto cómo grupos APT chinos como PurpleHaze, operadores de ransomware como Nitrogen, y actores norcoreanos están elevando el nivel de sofisticación en las amenazas actuales. Desde ataques dirigidos a infraestructuras críticas, hasta intentos de infiltración corporativa y evaluación de defensas EDR, la ciberseguridad empresarial enfrenta una escalada sin precedentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

¿Sabías que tu móvil Android podría estar escaneando tus fotos sin que lo hayas activado conscientemente? Una nueva función llamada Android System SafetyCore ha sido incluida en recientes actualizaciones del sistema operativo, y ha generado una gran preocupación en torno a la privacidad digital y el control del usuario sobre sus datos.

En este artículo te explicamos qué es SafetyCore, cómo puede afectar tu privacidad, cómo localizarlo en tu dispositivo y cómo desactivarlo paso a paso.

¿Qué es Android SafetyCore y por qué está en tu móvil?

SafetyCore es un componente del sistema Android diseñado para analizar imágenes almacenadas localmente en tu dispositivo. Su objetivo es detectar contenido sensible o explícito, como desnudos, con el fin de evitar el envío accidental de este tipo de imágenes a través de aplicaciones como Google Messages.

Google asegura que el análisis se realiza de forma local, sin enviar tus fotos a sus servidores, y que la función está orientada a proteger a usuarios menores de edad. Sin embargo, esta herramienta se ha implementado sin notificación previa, sin pedir permiso al usuario y sin aparecer como una aplicación visible.

¿Por qué la función Android SafetyCore genera preocupación?

Estas son algunas razones por las que la función SafetyCore ha sido criticada:

• No se anunció públicamente: SafetyCore fue incluida en actualizaciones sin notificación ni opción de consentimiento.
• Actúa en segundo plano: El escaneo de fotos ocurre automáticamente, sin que el usuario lo active manualmente.
• No es visible como una app común: No aparece en el menú de aplicaciones, lo que dificulta su detección y gestión.
• Reinstalación automática: Algunos usuarios reportan que la función se reactiva tras actualizar el sistema operativo o los Servicios de Google Play.

Cómo desactivar Android SafetyCore en tu dispositivo Android

Si quieres recuperar el control sobre lo que hace tu móvil con tus imágenes, sigue estos pasos para localizar y desactivar Android System SafetyCore:

• Abre los Ajustes de tu dispositivo Android.
• Entra en Aplicaciones o Aplicaciones y notificaciones.
• Toca en Ver todas las aplicaciones.
• Pulsa en el menú de tres puntos (arriba a la derecha) y activa "Mostrar procesos del sistema".
• Busca "Android System SafetyCore".
• Si la encuentras, selecciona la opción Desinstalar o Desactivar (puede variar según el modelo).
• Revisa y restringe los permisos que tenga asignados (como acceso a Internet o almacenamiento).

Importante: si tras una actualización la función vuelve a aparecer, deberás repetir el proceso.

Seguridad vs. privacidad: ¿es Android SafetyCore una función útil o una amenaza?

Aunque Google plantea SafetyCore como una medida de protección, la falta de transparencia ha levantado muchas sospechas. En comparación, Apple ofrece una función similar llamada Communication Safety, pero con una gran diferencia: es opcional y visible para el usuario.

Esta situación abre un debate necesario: ¿hasta qué punto deben las grandes empresas tecnológicas introducir funciones en nombre de la seguridad sin consentimiento explícito del usuario?

En conclusión, Android System SafetyCore podría estar escaneando tus imágenes sin que lo sepas, y aunque la intención declarada sea protegerte, el modo en que se ha introducido genera desconfianza. Si valoras tu privacidad, es recomendable revisar si esta función está activa en tu dispositivo y decidir si deseas desactivarla.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Si eres parte de la comunidad Kali Linux, esta noticia es crucial para ti. Offensive Security, los creadores de esta popular distribución Linux enfocada en pruebas de penetración y seguridad informática, ha emitido una alerta importante que requiere tu acción inmediata.

¿El problema? La pérdida de su antigua clave de firma del repositorio (identificada como ED444FF07D8D0BF6) ha obligado a OffSec a generar una nueva clave de firma (ED65462EC8D5E4C5). Esta nueva llave ha sido firmada utilizando los servidores de claves OpenPGP de Ubuntu.

La buena noticia es que la clave anterior no fue comprometida. Sin embargo, esto significa que tu sistema Kali Linux actual no la eliminará automáticamente.

¿Qué significa esto para tu Kali Linux?

Si tu sistema aún utiliza la clave antigua, te toparás con un frustrante error al intentar actualizar tus paquetes de software. El mensaje será claro: "Falta la clave 827C8569F2518CC677FECA1AED65462EC8D5E4C5, que se necesita para verificar la firma". En pocas palabras, ¡no podrás obtener las últimas actualizaciones!

La "Congelación" Temporal del Repositorio: Una Medida Preventiva

Para evitar que los usuarios se vieran afectados por este cambio de clave sin previo aviso, Offensive Security tomó una medida drástica: congeló el repositorio de Kali Linux el pasado 18 de febrero.

En su comunicado, fueron directos: "En los próximos días, prácticamente todos los sistemas Kali no se actualizarán. [..] Esto no es solo tú, esto es para todos, y esto es completamente nuestra culpa. Perdimos el acceso a la clave de firma del repositorio, por lo que tuvimos que crear una nueva".

La buena noticia es que esta pausa fue temporal: "Al mismo tiempo, congelamos el repositorio (es posible que hayan notado que no hubo actualización desde el viernes 18), por lo que nadie se vio afectado todavía. Pero vamos a descongelar el repositorio esta semana, y ahora está firmado con la nueva clave".

La Solución: Una Sencilla Acción Manual

Para evitar los dolores de cabeza de los errores de actualización, Offensive Security ha proporcionado un comando sencillo que debes ejecutar en tu terminal para descargar e instalar manualmente la nueva clave de firma del repositorio Kali:

sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg

Además de este comando, OffSec también te guía sobre cómo verificar que el archivo descargado sea legítimo (comprobando su suma de comprobación) y cómo confirmar que la nueva clave se ha añadido correctamente a tu sistema.

Para los más precavidos, o aquellos que prefieren evitar la manipulación manual del llavero, la opción de reinstalar Kali Linux desde una imagen ISO reciente (que ya incluye la nueva clave) también es válida.

Un Déjà Vu para la Comunidad Kali

Curiosamente, esta no es la primera vez que los usuarios de Kali Linux se enfrentan a una situación similar. En febrero de 2018, un problema con la caducidad de la clave GPG también requirió una actualización manual del llavero por parte de los usuarios.

El equipo de Kali lo recordaba así en aquel entonces: "Si no actualizas Kali con regularidad (tos), entonces tu paquete de llaves de archivo está desactualizado y tendrás discrepancias de clave cuando trabajes con nuestros repositorios. Es una para ti, pero al menos puedes actualizar manualmente".

En resumen: Si eres usuario de Kali Linux, no demores esta acción. Ejecuta el comando proporcionado por Offensive Security para asegurar que tu sistema siga recibiendo actualizaciones sin problemas. ¡Mantente al día para mantener tu Kali Linux funcionando sin contratiempos!

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

España se encuentra sumida en un apagón general de proporciones inéditas, y mientras la incertidumbre persiste sobre las causas, la teoría de un ciberataque de gran escala gana cada vez más adeptos. ¿Cómo es posible que un ataque cibernético haya logrado paralizar el suministro eléctrico de todo un país de esta manera tan drástica?

La expectación crece a medida que se acerca la hora clave de las 12:30 en España, momento en el que se espera que se revele información oficial sobre lo ocurrido. Sin embargo, en las horas previas, especialistas en el sector energético y ciberseguridad han puesto el foco en la posibilidad de un ciberataque sofisticado dirigido a la red eléctrica española.

Aunque la hipótesis pueda sonar alarmante, expertos del sector señalan que un apagón de la magnitud actual sería difícil de explicar por otras causas. No obstante, declaraciones recientes, como las del expresidente de Portugal, Antonio Costa, restan peso a la teoría del ciberataque, aludiendo a la falta de indicios concretos.

Posibles Escenarios de Ciberataque a la Red Eléctrica Española
La pregunta clave que se hacen tanto expertos como ciudadanos es: ¿qué tipo de ciberataque podría haber provocado un colapso de esta magnitud? Los especialistas en seguridad informática barajan principalmente dos escenarios:

• Infección con Malware en Servidores Críticos: Los atacantes podrían haber introducido software malicioso (malware) en los servidores que gestionan las instalaciones eléctricas. Esta infección podría haber comprometido la disponibilidad de los sistemas, provocando una caída repentina y generalizada del circuito eléctrico. La falta de medidas de protección robustas o la existencia de vulnerabilidades no parcheadas podrían haber facilitado este tipo de ataque. Sin embargo, aún es prematuro determinar la metodología exacta y si existían contramedidas efectivas.
• Explotación de Vulnerabilidades en Sistemas Obsoletos: Otra teoría apunta a que los hackers podrían haber identificado y explotado vulnerabilidades preexistentes en los programas y sistemas que controlan la red eléctrica española. Experiencias en otros países sugieren que elementos obsoletos en la infraestructura pueden crear "puertas traseras" para los ciberdelincuentes. Estos podrían haber descubierto estas debilidades y lanzado un ataque coordinado para derribar la red eléctrica de forma implacable.

Entre los elementos sensibles que podrían ser obsoletos, se mencionan plantas de generación y subestaciones que quizás no cuenten con la última tecnología en seguridad, presentando puntos débiles susceptibles de ser explotados por ciberdelincuentes.

Investigación en Curso para Determinar las Causas del Apagón

Como se ha indicado, la investigación para esclarecer las causas del apagón general está en marcha. Tanto en España como a nivel internacional, la teoría del ciberataque no se descarta, y las autoridades competentes están trabajando para determinar qué ha sucedido realmente.

Confirmar un ciberataque como origen del apagón sería crucial, ya que señalaría una urgente necesidad de reforzar y modernizar los sistemas de seguridad para prevenir futuros incidentes de esta gravedad.

Expertos Dudan del Ciberataque Pese a Vulnerabilidades Previas

Expertos en el sector eléctrico español han expresado su sorpresa ante la magnitud del apagón, calificándolo como una situación "casi imposible". Si bien reconocen que las instalaciones energéticas son un objetivo frecuente de ciberataques en España, se consideraba que la modernización de la red española y la adopción de protocolos de seguridad europeos reducían significativamente el riesgo de un ataque de esta envergadura. Estos factores son los que generan dudas entre los especialistas sobre si un ciberataque es realmente la causa detrás de este histórico apagón.

Actualización:


La UE descarta un sabotaje pero la investigación continúa...

El reciente apagón en España ha generado un amplio debate sobre las posibles causas detrás de esta interrupción masiva en el suministro eléctrico. Mientras algunos sectores especulan sobre un ciberataque como origen del incidente, la Unión Europea y representantes del Gobierno español han aclarado que, de momento, no existe evidencia que confirme esta hipótesis.

Según informó el medio El Mundo, Teresa Ribera, vicepresidenta ejecutiva para la Transición Limpia, Justa y Competitiva, declaró que "no hay nada que nos permita afirmar que hay algún tipo de boicot o ciberataque" relacionado con el incidente. Estas declaraciones fueron respaldadas por el presidente del Gobierno, Pedro Sánchez, quien en su comparecencia ante los medios subrayó que no se descarta ninguna opción, ya que la causa del apagón todavía no se ha determinado.

Por el momento, no hay confirmación oficial que relacione el apagón en España con un ciberataque. Tanto la Unión Europea como las autoridades españolas llaman a la prudencia, señalando que la investigación sigue abierta y que todas las hipótesis están sobre la mesa.

Sigue al tanto de nuestro foro para estar al tanto de las últimas novedades y la confirmación de las causas de este apagón general en España.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva amenaza cibernética, conocida como Earth Kurma, ha puesto en la mira a los sectores gubernamental y de telecomunicaciones del sudeste asiático desde junio de 2024. ¿El objetivo? Ciberespionaje a gran escala y robo de información sensible.

Según un reciente informe de la firma de seguridad Trend Micro, este grupo de hackers avanzados (APT) está empleando tácticas muy elaboradas para infiltrarse en sistemas críticos. Su modus operandi incluye el uso de malware hecho a medida, rootkits (software malicioso que se oculta profundamente en el sistema) y plataformas de almacenamiento en la nube para extraer datos sin levantar sospechas.

¿Qué países están en riesgo? Filipinas, Vietnam, Tailandia y Malasia ya han sido identificados como objetivos principales de esta peligrosa campaña.

¿Por qué esta amenaza es tan grave?

Los expertos de Trend Micro, Nick Dai y Sunny Lu, advierten que los ataques de Earth Kurma representan un alto riesgo para las empresas y los gobiernos. No se trata solo de robar información; estos hackers buscan establecer una presencia persistente en los sistemas a través de rootkits a nivel del kernel, lo que les permite volver una y otra vez. Además, utilizan servicios en la nube populares como Dropbox y OneDrive para sacar la información robada, lo que dificulta su detección.

Tras la pista de Earth Kurma: Un historial de ciberespionaje

Las actividades de este grupo no son nuevas. Se han rastreado intrusiones desde noviembre de 2020, utilizando herramientas como TESDAT y SIMPOBOXSPY para desviar datos confidenciales a través de las plataformas de almacenamiento en la nube mencionadas.

Su arsenal de malware también incluye rootkits como KRNRAT y Moriya. Este último ya tiene un historial preocupante, ya que se le ha visto en ataques dirigidos a organizaciones de alto perfil en Asia y África como parte de la campaña de espionaje TunnelSnake.

¿Conexión con otros grupos de hackers?

Trend Micro ha encontrado similitudes entre las herramientas de Earth Kurma (SIMPOBOXSPY) y las de otro grupo APT llamado ToddyCat. Sin embargo, aún no se puede confirmar si están relacionados.

El misterio del acceso inicial y las tácticas de movimiento lateral

Actualmente, los investigadores no saben cómo Earth Kurma logra entrar en los sistemas de sus víctimas. Una vez dentro, utilizan diversas herramientas como NBTSCAN, Ladon, FRPC, WMIHACKER e ICMPinger para explorar la red y moverse lateralmente, buscando más información valiosa. También instalan un keylogger (KMLOG) para robar contraseñas.

Ojo con Ladon: Esta herramienta de código abierto ya ha sido vinculada a un grupo de hackers chino llamado TA428 (o Vicious Panda), lo que añade una capa más de complejidad a la investigación.

Persistencia silenciosa: El arte de no ser detectado

Para asegurarse de mantener el acceso a los sistemas comprometidos, Earth Kurma utiliza tres tipos de "cargadores" maliciosos: DUNLOADER, TESDAT y DMLOADER. Estos programas pueden cargar y ejecutar más malware en la memoria, incluyendo Cobalt Strike Beacons, los rootkits KRNRAT y Moriya, y herramientas para la exfiltración de datos.

Lo que hace que estos ataques sean especialmente difíciles de detectar es su uso de técnicas "Living off the Land" (LotL). En lugar de introducir software malicioso obvio, los hackers aprovechan herramientas legítimas del sistema, como el archivo syssetup.dll, para instalar los rootkits de forma encubierta.

Análisis técnico de los rootkits: Moriya y KRNRAT

• Moriya: Este rootkit está diseñado para analizar el tráfico de red (paquetes TCP) en busca de código malicioso e inyectarlo en un proceso legítimo del sistema (svchost.exe).
• KRNRAT: Una combinación de varios proyectos de código abierto, este rootkit tiene múltiples capacidades, incluyendo la manipulación de procesos, el ocultamiento de archivos, la ejecución de código malicioso, el camuflaje del tráfico de red y la comunicación con sus servidores de control. Al igual que Moriya, se inyecta en el proceso svchost.exe y utiliza un agente en modo de usuario como puerta trasera para recibir más instrucciones.

El robo de documentos y la ruta hacia la nube

Antes de enviar los datos robados, los hackers utilizan el cargador TESDAT para buscar archivos específicos con extensiones como .pdf, .doc, .docx, .xls, .xlsx, .ppt y .pptx. Estos documentos se guardan temporalmente en una carpeta llamada "tmp", se comprimen con WinRAR utilizando una contraseña y luego se envían.

Para esta exfiltración de datos, utilizan herramientas personalizadas como SIMPOBOXSPY, que puede subir los archivos comprimidos directamente a cuentas de Dropbox utilizando tokens de acceso específicos. Curiosamente, un informe anterior de Kaspersky sugiere que el cargador de Dropbox utilizado no es exclusivo de otro grupo de hackers (ToddyCat).

También emplean ODRIZ para cargar la información robada en OneDrive, utilizando un token de actualización específico.

¿Qué podemos esperar?
Trend Micro advierte que Earth Kurma sigue muy activo y continuará atacando países del sudeste asiático. Su capacidad para adaptarse a los sistemas de sus víctimas y mantener una presencia sigilosa los convierte en una amenaza persistente y peligrosa. Además, su habilidad para reutilizar código de campañas anteriores les permite personalizar sus herramientas de manera eficiente, incluso utilizando la propia infraestructura de las víctimas para lograr sus objetivos.

Mantente alerta: Si trabajas en los sectores gubernamental o de telecomunicaciones en el sudeste asiático, es crucial estar al tanto de esta amenaza y tomar medidas preventivas para proteger tus sistemas y tu información.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

¿Puede un modelo de inteligencia artificial más ligero superar a los gigantes del sector? Google cree que sí. Con el lanzamiento de Gemma 3, la compañía promete un modelo de IA eficiente, creativo y sorprendentemente potente, sin necesidad de costosas infraestructuras.

Pero, ¿es realmente mejor que DeepSeek V3, uno de los modelos más precisos y avanzados en el mercado? En esta comparativa de Gemma 3 vs DeepSeek V3, analizamos sus fortalezas, limitaciones y cuál se adapta mejor a tus necesidades.

¿Qué es Gemma 3 y por qué es importante?

Gemma 3 es el nuevo modelo de IA de Google diseñado para ser:

• Más ligero y optimizado.
• Ejecutable en una sola GPU o TPU, reduciendo la necesidad de recursos en la nube.
• Multimodal, capaz de procesar texto, imágenes y vídeos.

Esta accesibilidad convierte a Gemma 3 en una opción ideal para pequeñas empresas, investigadores y desarrolladores que buscan inteligencia artificial potente sin grandes inversiones.

Principales ventajas de Gemma 3

• Creatividad en generación de contenido: produce textos naturales, coherentes y de alta calidad.
• Eficiencia en procesamiento: optimizado para funcionar en hardware de bajo costo.
• Capacidad multimodal: interpreta texto, imágenes y vídeos de manera integrada.

Comparativa: Gemma 3 vs DeepSeek V3

Aunque Gemma 3 ofrece numerosas ventajas, compararlo con DeepSeek V3 revela matices importantes.

¿Dónde destaca Gemma 3?

• Generación de contenido: Ideal para marketing, redacción creativa y generación de textos automáticos.
• Accesibilidad: No requiere infraestructura de alto nivel, abriendo la puerta a más usuarios.
• Multiformato: Trabaja de forma efectiva con diferentes tipos de datos.

¿Dónde DeepSeek V3 mantiene ventaja?

• Precisión en tareas complejas: En análisis financieros, cálculos científicos o razonamiento lógico avanzado, DeepSeek V3 sigue siendo superior.
• Gestión de grandes volúmenes de datos: DeepSeek maneja contextos mayores que Gemma 3, lo que le permite procesar información más profunda y compleja.
• Personalización: Ofrece mayor capacidad de ajuste y optimización para tareas específicas.

¿Cuál modelo de IA deberías elegir en 2025?

La elección entre Gemma 3 y DeepSeek V3 depende de tus prioridades:

• Gemma 3 es perfecto para pequeñas empresas, creadores de contenido y desarrolladores que buscan rendimiento sin grandes costos.
• DeepSeek V3 sigue siendo la mejor opción para corporaciones, investigadores científicos y proyectos que requieren máxima precisión.

En conclusiónm, Gemma 3 representa el futuro de la IA accesible: ligera, rápida y creativa. Si buscas una IA eficiente y versátil en 2025, es una opción a considerar. Sin embargo, para quienes necesitan el máximo rendimiento y análisis de datos avanzados, DeepSeek V3 continúa liderando el sector.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Coinbase, una de las principales plataformas de intercambio de criptomonedas, ha solucionado un error en sus registros de actividad que provocaba confusión y pánico entre los usuarios al hacerles creer que sus credenciales habían sido comprometidas.

A principios de mes, BleepingComputer informó que Coinbase etiquetaba incorrectamente los intentos fallidos de inicio de sesión con contraseñas erróneas como fallos de autenticación de dos factores (2FA). En los registros de actividad de la cuenta, aparecían errores como:

• "second_factor_failure"
• "Error en la verificación en 2 pasos"

Estos mensajes sugerían que un actor malicioso había ingresado correctamente el nombre de usuario y la contraseña, pero había fallado en la verificación 2FA, lo cual no era cierto.

Impacto del error y preocupación de los usuarios

La confusión llevó a numerosos usuarios a temer que Coinbase había sido hackeado o que sus contraseñas habían sido robadas, a pesar de que:

• Utilizaban contraseñas únicas para Coinbase.
• No había señales de malware en sus dispositivos.
• Ninguna otra cuenta asociada se vio afectada.

Ante esta situación, muchos usuarios restablecieron todas sus contraseñas y realizaron auditorías exhaustivas de seguridad en sus dispositivos, generando un pánico innecesario.

Actualización de Coinbase para corregir el problema

Coinbase confirmó a BleepingComputer que los intentos fallidos de inicio de sesión con contraseñas incorrectas se estaban registrando de manera errónea como fallos de 2FA. Los atacantes, en realidad, no lograban superar la fase inicial de autenticación.

Ahora, Coinbase ha implementado una actualización para etiquetar correctamente estos intentos fallidos. A partir de ahora, los usuarios verán registros que indican claramente un "Intento de contraseña fallido" en su historial de actividad.

Riesgos de ingeniería social asociados

El error en el etiquetado de registros también abría la puerta a ataques de ingeniería social. Actores maliciosos podrían utilizar esos mensajes para convencer a los usuarios de que sus cuentas habían sido comprometidas y obtener así información confidencial.

Aunque no se ha confirmado de manera independiente que estos errores hayan sido explotados, Coinbase y BleepingComputer advierten que los ataques de phishing por SMS (smishing) y llamadas fraudulentas suplantando a Coinbase son tácticas comunes para robar:

• Tokens de autenticación
• Credenciales de acceso

Recomendaciones de seguridad para usuarios de Coinbase

Coinbase recuerda a todos sus clientes que:

• Nunca solicitarán cambiar contraseñas o restablecer la autenticación de dos factores por teléfono o mensajes de texto.
• Todos los mensajes solicitando cambios de seguridad deben tratarse como intentos de estafa.

Es fundamental que los usuarios verifiquen siempre cualquier comunicación oficial accediendo directamente a la página de Coinbase y evitando hacer clic en enlaces sospechosos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Brave, el navegador centrado en la privacidad, ha presentado Cookiecrumbler, una nueva herramienta que utiliza grandes modelos de lenguaje (LLM) para detectar avisos de consentimiento de cookies y aplicar bloqueos que no interfieran con la funcionalidad del sitio web.

Desde 2022, Brave bloquea automáticamente los banners de consentimiento de cookies en todos los sitios web. Sin embargo, detectaron que un bloqueo incorrecto puede provocar problemas como errores de diseño, fallos en los flujos de pago o páginas en blanco.

Citar"Un bloqueo demasiado amplio o incorrecto puede interrumpir la funcionalidad esencial del sitio web", advierte Brave.

¿Cómo funciona Cookiecrumbler?

Cookiecrumbler combina inteligencia artificial y revisión manual de la comunidad para garantizar que solo se bloqueen los avisos que no impactan negativamente en la usabilidad. El proceso de funcionamiento incluye:

• Rastreo de principales sitios web mediante proxies regionales.
• Carga de páginas usando Puppeteer para detectar posibles banners de cookies.
• Clasificación automática con un LLM que sugiere correcciones.
• Publicación de resultados en GitHub, donde la comunidad revisa y mejora las sugerencias.

Este enfoque permite el bloqueo de banners de cookies a gran escala, adaptado a diferentes regiones, y minimiza los falsos positivos que afectan la experiencia del usuario.

Cookiecrumbler y la privacidad del usuario

La privacidad sigue siendo la prioridad para Brave. Por ello, han asegurado que Cookiecrumbler:

• Opera íntegramente en el backend de Brave, sin ejecutarse en el navegador del usuario.
• No interactúa con sesiones reales de usuarios, utilizando en su lugar proxies y rastreadores automatizados.
• Simula navegación utilizando listas de sitios públicos como Tranco, sin recolectar datos personales.

Actualmente, Cookiecrumbler no está integrado directamente en el navegador Brave. Brave Software ha indicado que la integración solo se realizará después de completar una revisión exhaustiva de privacidad, garantizando que la herramienta cumpla con sus estrictos estándares de protección de datos.

Cookiecrumbler: de código abierto y disponible para la comunidad

Cookiecrumbler es un proyecto de código abierto disponible en GitHub. Esto permite que:

• Desarrolladores de herramientas de privacidad.
• Auditores de sitios web.
• Mantenedores de listas de bloqueo de anuncios.
• Usuarios avanzados.

puedan utilizar y mejorar la herramienta, generando nuevas reglas de filtrado para fortalecer el bloqueo de banners de cookies sin comprometer la funcionalidad de los sitios web.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha revelado que un actor de amenazas conocido como Storm-1977 ha estado llevando a cabo ataques de pulverización de contraseñas contra inquilinos de la nube en el sector educativo durante el último año.

Según el equipo de Inteligencia de Amenazas de Microsoft, los atacantes están utilizando AzureChecker.exe, una herramienta de interfaz de línea de comandos (CLI) ampliamente explotada por diversos actores maliciosos.

AzureChecker.exe: vector clave para los ataques de contraseñas

El análisis de Microsoft detalla que AzureChecker.exe establece conexión con un servidor externo identificado como "sac-auth.nodefunction[.]vip". A través de esta conexión, el binario recupera un dato cifrado mediante AES que contiene una lista de objetivos para la difusión de contraseñas.

La herramienta también procesa un archivo de texto llamado accounts.txt, que incluye combinaciones de nombre de usuario y contraseña utilizadas para intentar comprometer cuentas en servicios en la nube.

"El actor de amenazas utilizó la información de ambos archivos para publicar y validar credenciales en los inquilinos objetivo", explicó Microsoft.

Minería ilícita de criptomonedas tras comprometer cuentas

En un caso documentado de compromiso exitoso de cuenta, Storm-1977 aprovechó una cuenta de invitado comprometida para crear un grupo de recursos dentro de una suscripción de Azure. A partir de allí, los atacantes desplegaron más de 200 contenedores con el objetivo de realizar minería ilícita de criptomonedas.

Riesgos para los activos en contenedores

Microsoft advierte que los activos en contenedores, incluidos clústeres de Kubernetes, registros de contenedores e imágenes de contenedores, son vulnerables a múltiples amenazas:

• Uso de credenciales en la nube comprometidas para tomar control de clústeres.
• Explotación de imágenes de contenedores con vulnerabilidades o errores de configuración.
• Abuso de interfaces de administración mal configuradas para acceder a la API de Kubernetes e implementar contenedores maliciosos.
• Compromiso de nodos que ejecutan código o software vulnerable.

Recomendaciones para mitigar ataques de pulverización de contraseñas y proteger Kubernetes

Para protegerse frente a este tipo de ataques en la nube y minería no autorizada, Microsoft recomienda:

• Proteger la implementación y el tiempo de ejecución de los contenedores.
• Supervisar las solicitudes inusuales de la API de Kubernetes.
• Configurar políticas de seguridad que impidan la implementación de contenedores desde registros no confiables.
• Verificar que las imágenes de contenedores estén libres de vulnerabilidades antes de su despliegue.

Adoptar estas medidas es crucial para reducir la superficie de ataque y salvaguardar los entornos de nube en sectores especialmente vulnerables como el educativo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad de Cisco Talos han detallado las operaciones de ToyMaker, un corredor de acceso inicial (IAB) que ha sido vinculado a la entrega de accesos a organizaciones para grupos de ransomware de doble extorsión como CACTUS.

ToyMaker ha sido evaluado con un nivel de confianza medio como un actor de amenazas motivado financieramente. Sus actividades incluyen el escaneo de sistemas vulnerables y la implementación de un malware personalizado denominado LAGTOY, también conocido como HOLERUN.

Según los investigadores Joey Chen, Asheer Malhotra, Ashley Shen, Vitor Ventura y Brandon White de Cisco Talos, LAGTOY permite la creación de shells inversos y la ejecución remota de comandos en endpoints comprometidos.

LAGTOY: el malware usado por ToyMaker para comprometer organizaciones

LAGTOY fue documentado inicialmente por Mandiant (parte de Google) en marzo de 2023. El malware fue atribuido a un actor de amenazas rastreado como UNC961, también conocido en la industria como Gold Melody o Prophet Spider.

Las investigaciones han revelado que el actor de amenazas explota un extenso arsenal de vulnerabilidades conocidas en aplicaciones expuestas a Internet para obtener acceso inicial. Posteriormente, realiza:

• Reconocimiento interno.
• Recolección de credenciales.
• Despliegue de LAGTOY en un periodo de aproximadamente una semana.

Adicionalmente, ToyMaker establece conexiones SSH hacia servidores remotos para descargar herramientas forenses como Magnet RAM Capture, con el objetivo de obtener volcados de memoria y extraer credenciales de las víctimas.

Una vez desplegado, LAGTOY se comunica con un servidor de comando y control (C2) codificado de forma rígida, desde donde recibe instrucciones para:

• Crear nuevos procesos.
• Ejecutar comandos con privilegios de usuarios específicos.
• Procesar tres comandos distintos con un intervalo de 11000 milisegundos entre ellos.

ToyMaker y su vínculo con el ransomware CACTUS

Tras una pausa de aproximadamente tres semanas en su actividad, ToyMaker fue nuevamente observado cuando el grupo de ransomware CACTUS utilizó credenciales robadas para penetrar en una empresa víctima. Según Cisco Talos, el acceso proporcionado permitió a CACTUS realizar:

• Actividades de reconocimiento.
• Establecimiento de persistencia en los sistemas.
• Exfiltración de datos y posterior cifrado de los mismos.

Durante este ataque, los actores utilizaron diversas herramientas para garantizar un acceso a largo plazo, como OpenSSH, AnyDesk y eHorus Agent.

Motivaciones financieras detrás de ToyMaker

Cisco Talos concluye que ToyMaker opera exclusivamente con motivaciones financieras. Basado en el análisis del tiempo de permanencia limitado, la falta de robo de datos previo y la rápida transferencia del acceso a actores secundarios, se descarta que ToyMaker tenga fines de espionaje.

En resumen, ToyMaker actúa como un facilitador de ataques de ransomware, vendiendo o transfiriendo accesos privilegiados a organizaciones de alto valor. Los grupos compradores, como CACTUS, utilizan estos accesos para llevar a cabo campañas de doble extorsión, cifrando datos críticos y exigiendo rescates millonarios.

En conclusión, la aparición de actores como ToyMaker subraya la creciente especialización dentro del ecosistema criminal cibernético. La separación entre quienes obtienen el acceso inicial y quienes ejecutan los ataques finales, como los grupos de ransomware, complica la detección y la respuesta a incidentes.

El monitoreo constante de sistemas expuestos, la aplicación de actualizaciones de seguridad, y una gestión proactiva de credenciales son esenciales para protegerse contra amenazas cada vez más organizadas como las facilitadas por ToyMaker.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La versión 15.1 de GCC (GNU Compiler Collection) marca un hito importante en la evolución del compilador libre más utilizado del mundo. Esta actualización incorpora un amplio conjunto de mejoras y novedades, consolidando su papel central en el desarrollo de software para múltiples plataformas.

Entre las innovaciones más destacadas de GCC 15.1 se encuentran el nuevo front-end para COBOL, optimizaciones específicas para procesadores modernos como AMD Zen 5 e Intel Xeon Diamond Rapids, y avances en el soporte de lenguajes como C, C++, Rust, D, Fortran y Modula-2. Además, introduce mejoras significativas para aceleradoras gráficas AMD y NVIDIA, y ya forma parte de las distribuciones más recientes como Fedora 42.

Soporte para COBOL y mejoras en lenguajes populares

Uno de los anuncios más relevantes de GCC 15.1 es la integración nativa de un front-end para COBOL, permitiendo la compilación directa de código COBOL en plataformas GNU/Linux. Esta adición amplía la lista de lenguajes soportados por GCC, facilitando la modernización de proyectos empresariales que dependen de este lenguaje histórico.

Además, GCC 15.1 refuerza su soporte para otros lenguajes:

• C adopta el estándar C23 como configuración predeterminada, introduciendo mejoras de sintaxis, rendimiento y seguridad.
• C++ recibe nuevas implementaciones y optimizaciones, mejorando tanto el tiempo de compilación como la eficiencia del código generado.
• Rust, a través del motor gccrs, avanza en compatibilidad, rendimiento y facilidad de integración dentro del ecosistema GCC.
• Fortran continúa evolucionando con mejoras que refuerzan su uso en computación científica.
• D y Modula-2 mejoran su integración, ofreciendo mayor estabilidad y compatibilidad.

Avances en optimización y compatibilidad de hardware: AMD, Intel, NVIDIA

GCC 15.1 también trae importantes avances en cuanto a optimización de arquitecturas:

• Introduce soporte específico para AMD Zen 5 (znver5), mejorando el rendimiento en las últimas generaciones de procesadores Ryzen y EPYC.
• Añade soporte para Intel Xeon 7 Diamond Rapids, aprovechando las nuevas extensiones AVX10.2 y Advanced Performance Extensions (APX).
• Deja de soportar la arquitectura obsoleta Intel Xeon Phi, alineándose con las tendencias actuales del mercado.

En el ámbito de las aceleradoras gráficas:

El back-end AMDGPU habilita por defecto libstdc++, ampliando las posibilidades de programación en C++ sobre GPUs AMD.

El back-end NVIDIA NVPTX también añade soporte para libstdc++, permitiendo desarrollos más complejos en CUDA y entornos HPC.

Mejoras en depuración, offloading y entornos de alto rendimiento

GCC 15.1 no solo se centra en lenguajes y arquitecturas: también introduce mejoras significativas en depuración avanzada y en el offloading de tareas a dispositivos externos. Estas mejoras, especialmente relevantes para entornos basados en OpenMP y computación paralela, permiten una gestión más eficiente de los recursos y una depuración más precisa en proyectos complejos.

Este enfoque hace que GCC 15.1 sea una herramienta aún más poderosa para el desarrollo de aplicaciones científicas, simulaciones, y proyectos que demandan alto rendimiento sobre arquitecturas modernas.

Disponibilidad y adopción: Fedora 42 y más

El código fuente de GCC 15.1 ya está disponible en la web oficial del proyecto, y su inclusión en distribuciones populares como Fedora 42 facilita su adopción inmediata por parte de desarrolladores y empresas.

Durante los próximos días, se espera la publicación de benchmarks y comparativas de rendimiento que permitirán medir de forma objetiva el impacto de las nuevas optimizaciones introducidas en esta versión.

GCC 15.1, un compilador preparado para el futuro

Con la llegada de GCC 15.1, los desarrolladores disponen de un compilador más versátil, optimizado y compatible que nunca. Su enfoque en lenguajes clásicos y modernos, su compatibilidad con las últimas arquitecturas de AMD, Intel y NVIDIA, y su fortalecimiento en tareas de depuración y offloading lo convierten en una herramienta esencial para quienes buscan máximo rendimiento y flexibilidad.

Ya sea en proyectos científicos, aplicaciones empresariales o entornos de computación de alto nivel, GCC 15.1 se consolida como una opción robusta y preparada para afrontar los retos de la próxima generación de desarrollo de software.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Con el lanzamiento de abril de 2025, CachyOS refuerza su posición como una de las distribuciones Linux más optimizadas para gaming en PC y dispositivos portátiles como Steam Deck, ASUS ROG Ally y Lenovo Legion Go. Basada en Arch Linux, esta nueva versión introduce mejoras clave que apuntan a ofrecer rendimiento extremo, estabilidad y compatibilidad de hardware de primer nivel.

Novedades de CachyOS abril 2025: estabilidad, gaming y soporte extendido

La actualización de abril, denominada "Fix-Up Release", pone el foco en:

• Integración de OCCT: herramienta de testeo y stress test ahora disponible nativamente en Linux.
• Actualización de perfiles de audio y compositor gráfico en dispositivos portátiles.
• Mejoras en Limine bootloader con integración automática gracias a mkinitcpio-limine-hook.
• Correcciones específicas para portátiles ASUS, mejorando la estabilidad del sistema.

OCCT llega a Linux: pruebas de estrés integradas en CachyOS

Una de las incorporaciones más destacadas es OCCT (OverClock Checking Tool), reconocida por validar estabilidad en CPU y GPU:

• Pruebas intensivas: LinPack (SSE y AVX 10.2), Small y Big Data Set.
• Monitorización avanzada: CPU, RAM, latencias y ancho de banda en tiempo real.
• Modo benchmarking: compara fácilmente el rendimiento de tu equipo.
• Entorno aislado: la ISO permite validar hardware antes de la instalación.

Gracias a OCCT, CachyOS se convierte en la mejor opción Linux para gamers, overclockers y entusiastas del hardware.

Componentes actualizados: Linux Kernel 6.14, Mesa 25.0.4 y KDE Plasma 6.3.4

Esta nueva versión de CachyOS incorpora los componentes más recientes:

• Linux Kernel 6.14: mejor rendimiento en procesadores AMD Ryzen y gráficas Radeon.
• Mesa 25.0.4: soporte actualizado para gráficos 3D.
• KDE Plasma 6.3.4, KDE Frameworks 6.13.0 y KDE Gear 25.0.4: entorno de escritorio moderno y eficiente.
• Drivers NVIDIA 570.133.07: soporte optimizado para las últimas GPU.

Todo ello respaldado por QT 6.9.0, ofreciendo una experiencia fluida tanto en juegos como en tareas diarias.

Optimización avanzada en el corazón de CachyOS

CachyOS destaca por un enfoque radical hacia la optimización:

• Compilación para x86-64-v3 y x86-64-v4: maximiza el potencial de CPUs modernas (Zen 4 y Zen 5).
• Técnicas de optimización: LTO (Link Time Optimization), PGO (Profile-Guided Optimization) y soporte para BOLT.
• Nuevos planificadores de CPU: CFS, EEVDF y BORE, ajustables según necesidades de latencia o rendimiento.

Estas mejoras sitúan a CachyOS como una de las distribuciones Linux más rápidas y eficientes del mercado actual.

Edición Handheld: CachyOS optimizado para Steam Deck, ROG Ally y Legion Go

La versión Handheld Edition de CachyOS ha sido adaptada para ofrecer la mejor experiencia en dispositivos portátiles:

• Perfiles de audio optimizados para Steam Deck, ROG Ally X y Legion Go.
• Integración de Gamescope oficial de Valve: compositor gráfico que mejora la estabilidad de juegos en modo portátil.
• Instalación sencilla: mediante herramientas como Rufus, Ventoy o BalenaEtcher desde un USB.

Ideal para quienes desean un entorno gaming en Linux totalmente afinado para dispositivos móviles.

Instalación de CachyOS abril 2025: fácil, rápida y eficiente

La ISO de aproximadamente 2,6 GB, orientada a arquitecturas AMD64, permite:

• Pruebas en modo Live antes de instalar.
• Instalación asistida mediante Calamares 3.3.14, con interfaz intuitiva.
• Actualizaciones inmediatas tras el primer arranque.

Tanto en la versión estándar como en la Handheld, CachyOS garantiza acceso rápido a las últimas tecnologías Linux.

Comparativa frente a otras distribuciones gaming: CachyOS vs SteamOS

Mientras SteamOS apuesta por una experiencia cerrada basada en Debian, CachyOS ofrece:

• Rolling Release basada en Arch Linux: acceso constante a las últimas versiones de kernel, drivers y software.
• Personalización extrema: ideal para usuarios avanzados y entusiastas.
• Herramientas profesionales de testeo como OCCT integradas de serie.

Esto convierte a CachyOS en la mejor alternativa Linux para gaming y uso de alto rendimiento en PC y portátiles.

OCCT en Linux: una revolución para gamers y overclockers

La integración de OCCT en Linux mediante CachyOS abre nuevas posibilidades:

• Validar overclocking directamente desde un entorno Linux.
• Detectar fallos de hardware sin necesidad de recurrir a Windows.
• Mejorar estabilidad antes de comprometerse con una instalación definitiva.

Este hito ha sido posible gracias a la colaboración entre CachyOS Team y los desarrolladores de OCCT.

Documentación, soporte y comunidad

CachyOS mantiene una completa wiki oficial, guías avanzadas y una comunidad activa en foros y redes sociales. Bajo el liderazgo de Peter Jung, el proyecto sigue creciendo como referencia en el sector gaming y de alto rendimiento en Linux.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Valve ha confirmado oficialmente un cambio crucial que impactará a los usuarios de Linux: a partir del 15 de agosto de 2025, el cliente de Steam dejará de funcionar en distribuciones que utilicen una versión de GNU C Library (glibc) anterior a la 2.31.

La glibc es un componente central en cualquier distribución Linux moderna, ya que proporciona las funciones básicas que las aplicaciones necesitan para ejecutarse correctamente. De ahí que esta actualización no sea un simple ajuste técnico, sino una decisión que obliga a los usuarios a mantener sus sistemas operativos actualizados si desean seguir utilizando Steam sin interrupciones.

¿Qué significa el fin de soporte para versiones antiguas de glibc?

Según el comunicado oficial de Valve, los usuarios deberán actualizar sus sistemas a versiones más recientes que incluyan una glibc compatible si quieren seguir accediendo a Steam, sus juegos y cualquier otro producto asociado a la plataforma.

Valve justifica esta medida no solo por razones de compatibilidad, sino también de seguridad. Las distribuciones antiguas sin soporte activo son vulnerables a nuevos malware, exploits y otros riesgos que podrían comprometer tanto el rendimiento de Steam como las credenciales del usuario.

Así, esta actualización no es simplemente una cuestión técnica, sino también un paso hacia un entorno más seguro para la comunidad de jugadores de Linux.

¿Qué distribuciones de Linux se verán afectadas?

Entre las principales distribuciones que se quedarán sin soporte debido al requisito de glibc ≥ 2.31, encontramos versiones lanzadas hace más de cinco años, como:

• Debian 10 (lanzado en 2019)
• Ubuntu 18.04 LTS (abril de 2018)
• Linux Mint 19 (basado en Ubuntu 18.04)
• Red Hat Enterprise Linux 8 (versión inicial de 2019)
• Fedora 31 (octubre de 2019)

Si bien estas versiones fueron ampliamente populares en su momento, es poco probable que la mayoría de los usuarios activos de Steam sigan utilizándolas hoy en día, ya que muchas distribuciones ofrecen actualizaciones regulares o nuevas versiones LTS más recientes.

Sin embargo, si algún usuario todavía depende de estos sistemas por motivos de compatibilidad con software específico o restricciones de hardware, deberá planificar una actualización antes del 15 de agosto de 2025 para seguir accediendo a su biblioteca de Steam.

¿Qué deben hacer los usuarios afectados?

La solución es sencilla: actualizar el sistema operativo a una versión compatible. Las distribuciones modernas como:

• Ubuntu 20.04 LTS (glibc 2.31)
• Ubuntu 22.04 LTS (glibc 2.35)
• Debian 11 y 12
• Fedora 34 y superiores
• openSUSE Leap 15.3 y posteriores

ya incluyen versiones de glibc compatibles con los nuevos requisitos de Steam.

Para quienes prefieren no actualizar toda su distribución, existe la posibilidad más técnica de actualizar la glibc manualmente, pero este proceso es altamente riesgoso y no recomendado para usuarios sin experiencia avanzada, ya que puede dejar el sistema inutilizable.

La recomendación general es optar por una actualización completa de la distribución a una versión moderna y mantenida.

¿Qué pasa con otros aspectos técnicos, como el soporte para 32 bits?

Curiosamente, mientras Valve se actualiza en el soporte de bibliotecas críticas como glibc, Steam todavía requiere soporte para arquitecturas de 32 bits en Linux. Esta contradicción refleja las complejidades de mantener compatibilidad con juegos más antiguos, donde muchos binarios siguen dependiendo de librerías de 32 bits.

Así que, aunque Steam exige distribuciones modernas, aún se requiere que los sistemas mantengan compatibilidad con software de 32 bits para ejecutar ciertos juegos y componentes de la plataforma.

¿Existen alternativas a Steam?

Aunque el foco de esta noticia está en Steam, es importante recordar que existen alternativas para jugar en Linux:

• Heroic Games Launcher (compatible con la Epic Games Store y GOG)
• Lutris (plataforma para organizar y ejecutar juegos de diversas fuentes)
• Bottles (para gestionar juegos de Windows en Linux)
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (para juegos indie)

Aun así, para muchos usuarios, Steam sigue siendo el epicentro de su experiencia de juegos en Linux, y mantenerlo operativo es una prioridad.

En conclusión, Valve apuesta por una plataforma más segura y moderna, eliminando el soporte para sistemas Linux anticuados a partir de agosto de 2025. Si eres usuario de Steam en Linux, asegúrate de verificar la versión de glibc de tu sistema operativo y planifica tu actualización a tiempo para evitar interrupciones.

Actualizar no solo te permitirá seguir disfrutando de tus juegos favoritos, sino que también reforzará la seguridad y estabilidad de tu entorno de escritorio Linux.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han identificado tres vulnerabilidades en Rack Ruby, una interfaz popular para servidores web en aplicaciones Ruby, que podrían permitir acceso no autorizado, inyección de datos maliciosos y manipulación de registros. Las fallas, descubiertas por OPSWAT, representan riesgos serios para entornos que utilicen este middleware ampliamente adoptado.

Detalles de las vulnerabilidades en Rack Ruby

Las tres vulnerabilidades, registradas con identificadores CVE y puntuaciones CVSS, son las siguientes:

• CVE-2025-27610 (CVSS 7.5): Vulnerabilidad de path traversal que permite el acceso a cualquier archivo dentro del directorio raíz especificado. Si un atacante identifica las rutas adecuadas, puede acceder a archivos confidenciales.
• CVE-2025-27111 (CVSS 6.9): Vulnerabilidad de neutralización incorrecta de secuencias CRLF que puede usarse para distorsionar archivos de registro, manipulando entradas con fines maliciosos.
• CVE-2025-25184 (CVSS 5.7): Similar a la anterior, permite la inyección de datos maliciosos en archivos de registro mediante explotación de secuencias CRLF mal gestionadas.

Según el informe de OPSWAT, la más crítica es CVE-2025-27610, ya que puede ser aprovechada por actores no autenticados para extraer información sensible como configuraciones, credenciales y otros datos críticos, aumentando el riesgo de violaciones de datos.

¿Cómo se explotan estas vulnerabilidades?

La causa raíz de CVE-2025-27610 se encuentra en el middleware Rack::Static, que no sanitiza correctamente las rutas proporcionadas por el usuario al servir archivos estáticos como imágenes o JavaScript. Esto permite que un atacante use una ruta manipulada para escapar del directorio estático y acceder a otros archivos del sistema.

OPSWAT explica que si el parámetro :root no está configurado explícitamente, Rack asigna por defecto el directorio de trabajo actual (Dir.pwd) como raíz del sitio. En este contexto, una mala configuración entre :root y :urls abre la puerta a ataques de recorrido de directorios para acceder a rutas no autorizadas.

Medidas de mitigación recomendadas

Para reducir el riesgo asociado a estas vulnerabilidades en Rack Ruby, OPSWAT sugiere:

• Actualizar Rack a la última versión disponible.
• Si no es posible aplicar el parche inmediatamente, eliminar el uso de Rack::Static o garantizar que root: apunte a un directorio con archivos públicos únicamente.
• Revisar las configuraciones actuales de rutas y estructuras de archivos en aplicaciones Ruby basadas en Rack.

CVE-2025-43928: Vulnerabilidad crítica sin parche en Infodraw Media Relay Service

En paralelo, se ha descubierto una vulnerabilidad grave en Infodraw Media Relay Service (MRS), utilizada para la retransmisión de medios en soluciones de videovigilancia móvil. Esta falla, identificada como CVE-2025-43928 y con una puntuación CVSS de 9.8, permite tanto la lectura como la eliminación de archivos arbitrarios desde la página de inicio de sesión del sistema.

¿Qué es Infodraw MRS y por qué es relevante?

Infodraw es una empresa israelí que desarrolla tecnología para transmisión de video, audio y GPS utilizada por agencias gubernamentales, fuerzas del orden y empresas de transporte. Sus productos operan sobre redes móviles y están presentes en múltiples países.

Detalles técnicos del fallo de seguridad

El investigador Tim Philipp Schäfers descubrió que es posible iniciar sesión en el sistema utilizando un nombre de usuario malicioso como "../../../../" para explotar un path traversal trivial. Esto permite a atacantes no autenticados acceder y eliminar cualquier archivo en sistemas afectados, tanto en versiones para Windows como Linux.

Aún más preocupante, no existe un parche oficial, lo que deja a los sistemas expuestos a posibles ataques inminentes. Algunas instancias comprometidas en Bélgica y Luxemburgo han sido desconectadas tras la divulgación responsable.

Recomendaciones urgentes de seguridad

Dada la criticidad del defecto, Schäfers recomienda:

• Desconectar inmediatamente los sistemas MRS vulnerables.
• Si no es viable, reforzar la seguridad mediante:
• Uso exclusivo de VPN.
• Aplicación de filtros IP para acceso controlado.
• Auditoría de accesos y archivos sensibles.

Actualizaciones críticas y configuraciones seguras

Tanto las vulnerabilidades en Rack Ruby como la falla crítica en Infodraw MRS ponen de relieve la necesidad de una gestión proactiva de seguridad en servidores web y sistemas conectados a internet. Las organizaciones deben aplicar parches, revisar configuraciones y emplear controles de acceso estrictos para proteger sus activos frente a ataques sofisticados y vulnerabilidades explotables.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los actores de amenazas vinculados a Corea del Norte han intensificado sus tácticas de ciberespionaje y distribución de malware con la campaña "Contagious Interview", utilizando empresas fachada en la industria de criptomonedas para lanzar ataques durante procesos de contratación falsos. Esta operación de ingeniería social ha sido documentada por la firma de ciberseguridad Silent Push, que alerta sobre la propagación de tres familias de malware mediante sitios web fraudulentos y perfiles falsos en redes sociales.

Empresas fachada utilizadas por Corea del Norte

Las compañías utilizadas como fachada en esta campaña son:

• BlockNovas LLC (blocknovas[.]com)
• Agencia Angeloper (angeloper[.]com)
• SoftGlide LLC (softglide[.]com)

Estas empresas simulan operar en el ámbito de la consultoría en criptomonedas, pero en realidad sirven como plataforma para ejecutar campañas de infección mediante archivos maliciosos disfrazados de señuelos para entrevistas laborales.

Malware distribuido en las entrevistas falsas

La campaña "Contagious Interview" ha sido usada para propagar tres familias de malware identificadas como:

• BeaverTail: ladrón y cargador basado en JavaScript.
• InvisibleFerret: backdoor desarrollado en Python con capacidades multiplataforma (Windows, macOS y Linux).
• OtterCookie: software malicioso adicional entregado junto a BeaverTail.

Los ataques comienzan cuando el objetivo ejecuta una supuesta prueba técnica o evaluación de vídeo, momento en el que el malware se activa bajo el pretexto de requerir acceso a la cámara o al navegador.

Técnicas avanzadas de evasión y persistencia

BeaverTail establece conexión con un servidor de comando y control (C2) en lianxinxiao[.]com, desde donde recibe instrucciones y descarga InvisibleFerret como carga útil secundaria. Entre sus funciones destacan:

• Recolección de información del sistema.
• Ejecución de shells inversos.
• Robo de datos del navegador y archivos locales.
• Instalación de software de acceso remoto como AnyDesk.

Además, se ha identificado que el subdominio mail.blocknovas[.]com alberga Hashtopolis, una herramienta de gestión de descifrado de contraseñas, lo que refuerza la intención de obtener credenciales sensibles.

Presencia activa en redes sociales y plataformas de desarrollo

Los ciberatacantes norcoreanos han creado perfiles falsos en redes como Facebook, LinkedIn, GitHub, GitLab, Medium, Pinterest y X (Twitter), con el fin de establecer contacto inicial con sus víctimas. Utilizan herramientas de inteligencia artificial, como Remaker, para generar imágenes de perfil creíbles y aumentar la legitimidad de los perfiles fraudulentos.

Ataques vinculados a criptomonedas

También se ha detectado un dominio sospechoso, attisscmo[.]com, utilizado para alojar una herramienta denominada Kryptoneer, diseñada para interactuar con carteras de criptomonedas como Suiet Wallet, Ethos Wallet y Sui Wallet. Esto sugiere un interés particular en comprometer plataformas basadas en la cadena de bloques Sui.

Explotación geográfica e infraestructura

Los actores de amenazas han ocultado su infraestructura maliciosa mediante servicios como Astrill VPN y proxies residenciales, y han operado a través de rangos de IP asociados con Rusia. En concreto, se identificaron direcciones IP asignadas a empresas ubicadas en Khasan y Khabarovsk, regiones con fuertes lazos económicos con Corea del Norte.

Según los investigadores Feike Hacquebord y Stephen Hilt, esta infraestructura apunta a una posible colaboración entre Corea del Norte y entidades rusas, aunque se estima con un nivel de confianza entre bajo y medio.

Campaña paralela: Wagemole

A la par de "Contagious Interview", Corea del Norte también opera la táctica conocida como Wagemole, que implica la creación de identidades falsas para insertar trabajadores de TI norcoreanos como empleados remotos en grandes empresas internacionales. Estas identidades son generadas con IA, y los sueldos obtenidos se redirigen parcialmente a la República Popular Democrática de Corea (RPDC).

La empresa Okta advierte que se están usando herramientas de IA generativa (GenAI) para automatizar procesos de solicitud de empleo, desde la programación de entrevistas hasta la traducción y resumen de conversaciones, con el objetivo de mejorar la eficacia de estas operaciones encubiertas.

Acción legal y desmantelamiento parcial

El FBI incautó el dominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta el 23 de abril de 2025, en una operación conjunta para detener la distribución de malware norcoreano mediante ofertas laborales fraudulentas. A pesar de esta acción, muchas de las infraestructuras asociadas siguen activas.

En conclusión, la campaña "Contagious Interview" representa una amenaza avanzada y persistente que combina ingeniería social, malware multiplataforma, criptografía y redes de anonimato para robar datos y financiar al régimen norcoreano. Las empresas deben estar alertas frente a cualquier proceso de contratación sospechoso, especialmente en sectores tecnológicos y de criptomonedas, y adoptar medidas proactivas de ciberseguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Craft CMS, uno de los sistemas de gestión de contenido más utilizados, ha sido el objetivo de ataques activos de día cero que explotan dos vulnerabilidades críticas para comprometer servidores y extraer información sensible, según un informe de CERT Orange Cyberdefense.

Las fallas fueron detectadas por el CSIRT de Orange Cyberdefense durante una investigación forense a raíz de un servidor comprometido. En su análisis, descubrieron una cadena de explotación que combina dos vulnerabilidades:

• CVE-2025-32432: una vulnerabilidad crítica de ejecución remota de código (RCE) directamente en Craft CMS.
• CVE-2024-58136: una falla de validación de entrada en el framework Yii, utilizado por Craft CMS.

¿Cómo funciona el ataque?

De acuerdo con un informe técnico de SensePost, el equipo de hacking ético de Orange, los atacantes encadenaron ambas fallas para lograr un compromiso completo del servidor.

Etapa 1: Explotación de CVE-2025-32432

El ataque inicia con el uso de CVE-2025-32432, que permite a los atacantes enviar una solicitud HTTP especialmente diseñada con una URL de retorno como parámetro. Esta URL se almacena en un archivo de sesión PHP en el servidor, y el nombre de la sesión es devuelto al cliente como parte de la respuesta.

Esta técnica permite preparar el entorno para la siguiente etapa del ataque.

Etapa 2: Explotación de CVE-2024-58136

La segunda fase explota CVE-2024-58136, presente en versiones vulnerables del framework Yii (versión 2.0.51). El atacante envía una carga maliciosa en formato JSON, que provoca la ejecución del código PHP previamente almacenado en el archivo de sesión.

Esto permite la instalación de un administrador de archivos PHP directamente en el servidor, brindando acceso completo y persistencia al atacante.

Actividad posterior a la explotación

Según declaraciones de Orange a BleepingComputer, también se han observado acciones posteriores al compromiso, como:

• Carga de múltiples puertas traseras adicionales.
• Exfiltración de datos sensibles desde los servidores comprometidos.
• Persistencia prolongada mediante archivos ocultos en el sistema.

Un análisis más detallado de esta actividad está programado para ser publicado próximamente por SensePost.

Correcciones y versiones afectadas

Yii Framework

La falla CVE-2024-58136 fue corregida por los desarrolladores del framework Yii en la versión 2.0.52, publicada el 9 de abril de 2025.

Craft CMS

Craft CMS abordó la vulnerabilidad CVE-2025-32432 en las siguientes versiones:

• Craft CMS 3.9.15
• Craft CMS 4.14.15
• Craft CMS 5.6.17

A pesar de que Yii no fue actualizado completamente en Craft, Orange Cyberdefense confirmó que la cadena de ataque ha sido mitigada con la corrección aplicada en Craft CMS.

Citar"Aunque Yii 2.0.51 sigue presente por defecto, la solución implementada para CVE-2025-32432 impide que la vulnerabilidad de Yii sea explotada", explicó Orange.

Recomendaciones de seguridad para administradores de Craft CMS

Si sospecha que su sitio podría haber sido comprometido, Craft CMS recomienda tomar las siguientes acciones de inmediato:

1. Actualizar la clave de seguridad mediante el comando:



Luego, actualice la variable de entorno CRAFT_SECURITY_KEY en todos los entornos de producción.

2. Rotar claves privadas almacenadas en variables de entorno, como las de Amazon S3 o Stripe.

3. Cambiar las credenciales de la base de datos para evitar acceso no autorizado.

4. Forzar el restablecimiento de contraseñas de los usuarios como medida preventiva. Use el siguiente comando:



5. Consultar el apéndice del informe de SensePost, que contiene indicadores de compromiso (IOC) como direcciones IP maliciosas y nombres de archivos utilizados por los atacantes.

Antecedentes de explotación en Craft CMS

Cabe recordar que en febrero de 2025, la CISA (Agencia de Ciberseguridad e Infraestructura de EE. UU.) ya había advertido sobre otra vulnerabilidad de ejecución remota (RCE), CVE-2025-23209, también presente en Craft CMS versiones 4 y 5, la cual fue explotada activamente en entornos reales.

Mantenga su CMS actualizado

Los recientes ataques demuestran que Craft CMS continúa siendo un objetivo de alto valor para actores de amenazas que aprovechan vulnerabilidades de día cero. Las organizaciones que utilizan este CMS deben:

• Actualizar a las versiones corregidas de Craft CMS y Yii sin demora.
• Monitorear continuamente sus servidores en busca de comportamientos sospechosos.
• Implementar políticas de respuesta ante incidentes y aplicar prácticas de hardening.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

SAP ha emitido una actualización de seguridad de emergencia fuera de banda para abordar una vulnerabilidad crítica de ejecución remota de código (RCE) en SAP NetWeaver, identificada como CVE-2025-31324. Esta vulnerabilidad está siendo explotada activamente por ciberdelincuentes para secuestrar servidores empresariales, comprometer sistemas y desplegar cargas maliciosas.

¿Qué es CVE-2025-31324?

La falla, catalogada con una puntuación CVSS v3 de 10.0, afecta al componente Metadata Uploader de SAP NetWeaver Visual Composer Framework versión 7.50. Se trata de una vulnerabilidad de carga de archivos no autenticada, lo que significa que los atacantes pueden cargar archivos maliciosos sin necesidad de iniciar sesión.

Una vez cargados, estos archivos pueden ejecutarse de forma remota, permitiendo a los atacantes tomar control total del sistema afectado.

Explotación activa y hallazgos de seguridad

Aunque SAP aún no ha publicado el boletín completo, ReliaQuest fue la primera firma en alertar sobre la explotación activa de esta falla, indicando que se explota específicamente el endpoint /developmentserver/metadatauploader. Según sus hallazgos:

• Varios clientes ya han sido comprometidos mediante cargas de archivos JSP no autorizados.
• Los atacantes utilizaron simples solicitudes HTTP GET para ejecutar comandos desde el navegador.
• Se observaron capacidades de administración de archivos, como carga, descarga y ejecución remota.

En la fase post-explotación, los actores de amenazas desplegaron herramientas avanzadas como Brute Ratel y técnicas evasivas como Heaven's Gate, además de inyectar código en dllhost.exe para evitar detección.

Lo más alarmante es que los sistemas comprometidos estaban completamente parcheados antes de esta explotación, lo que confirma que se trató de un exploit de día cero.

Confirmaciones adicionales y declaraciones oficiales

La firma de seguridad watchTowr también confirmó a BleepingComputer que han observado explotación activa de la vulnerabilidad. El CEO, Benjamin Harris, advirtió que los atacantes están usando esta falla para instalar puertas traseras (web shells) y obtener persistencia en sistemas vulnerables:

Citar"Los atacantes no autenticados pueden abusar de esta funcionalidad para lograr ejecución remota de código y compromiso total del sistema".

Además, Harris anticipa que la explotación se expandirá rápidamente a medida que más actores maliciosos se enteren de esta vulnerabilidad crítica.

Por su parte, SAP, en respuesta a las consultas de BleepingComputer, negó haber confirmado compromisos exitosos:

Citar"SAP fue informado de una vulnerabilidad que podría permitir ejecución de código no autenticado. No tenemos conocimiento de incidentes que afecten a los clientes. Ya se ha publicado un parche desde el 8 de abril de 2025 y se recomienda aplicarlo de inmediato".

Sin embargo, Onapsis, firma especializada en seguridad para entornos SAP, también confirmó la observación de explotación activa en sus análisis.

¿Qué versiones están afectadas?

La vulnerabilidad CVE-2025-31324 afecta a SAP NetWeaver Visual Composer Framework 7.50. Es importante destacar que la actualización regular publicada el 8 de abril de 2025 no corrige esta falla, por lo que se requiere aplicar el parche de emergencia lanzado posteriormente.

Otras vulnerabilidades abordadas en el parche de emergencia

Además de CVE-2025-31324, la actualización corrige otras dos fallas críticas:

• CVE-2025-27429: vulnerabilidad de inyección de código en SAP S/4HANA.
• CVE-2025-31330: vulnerabilidad de inyección de código en SAP Landscape Transformation.

Medidas de mitigación recomendadas

Si no es posible aplicar el parche de inmediato, se recomienda implementar las siguientes acciones:

• Restringir el acceso al endpoint /developmentserver/metadatauploader.
• Desactivar Visual Composer, si no está en uso dentro del entorno SAP.
• Monitorear los registros del sistema (logs) mediante herramientas SIEM para detectar archivos no autorizados cargados a través del servlet.
• Ejecutar un análisis forense para identificar y eliminar webshells u otros archivos sospechosos antes de realizar cualquier mitigación.

Acción inmediata requerida

La explotación activa de CVE-2025-31324 representa una grave amenaza para la infraestructura empresarial basada en SAP NetWeaver. La facilidad de explotación sin autenticación, combinada con el impacto potencial de un compromiso total del sistema, hace que esta vulnerabilidad sea una de las más críticas del año en entornos SAP.

Es crucial que los administradores de sistemas y equipos de seguridad apliquen el parche de emergencia lo antes posible, o en su defecto, implementen las medidas de mitigación sugeridas mientras se completa el despliegue de la actualización.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los desarrolladores de la plataforma de phishing como servicio (PhaaS) conocida como Darcula han lanzado una importante actualización que integra capacidades de inteligencia artificial generativa (GenAI). Esta nueva funcionalidad permite a los ciberdelincuentes crear páginas de phishing personalizadas en múltiples idiomas sin conocimientos técnicos, según ha informado la empresa de ciberseguridad Netcraft en un reporte compartido con The Hacker News.

Citar"Las nuevas funciones asistidas por IA amplifican el potencial de amenazas de Darcula al simplificar el proceso para crear páginas de phishing personalizadas con soporte multilingüe y generación automática de formularios", señala el informe.

¿Qué es Darcula PhaaS y por qué es peligrosa?

Darcula fue detectada por primera vez en marzo de 2024 como una herramienta utilizada para enviar mensajes de smishing a través de Apple iMessage y RCS, suplantando la identidad de servicios postales como USPS. Esta suite de cibercrimen permite clonar sitios web legítimos y diseñar réplicas falsas, listas para robar credenciales de víctimas desprevenidas.

El grupo detrás de Darcula, identificado por PRODAFT como LARVA-246, comercializa este kit a través de canales de Telegram, incluyendo el popular @darcula_channel. Darcula comparte similitudes con otras plataformas de phishing como Lucid y Lighthouse, lo que sugiere un ecosistema de cibercrimen interconectado que opera principalmente desde China.

Smishing Triad: la red detrás de Darcula

Según Netcraft, Darcula es parte de una red criminal más amplia conocida como Smishing Triad, responsable de ejecutar campañas de phishing a nivel global utilizando SMS como vector de ataque. Esta infraestructura permite ejecutar campañas masivas de smishing con gran eficacia, incluso por operadores sin experiencia técnica.

Citar"Darcula permite a cualquier actor de amenazas, incluso novatos, lanzar campañas de phishing sofisticadas en cuestión de minutos", destaca el investigador Harry Everett.

Integración de GenAI: phishing automatizado, multilingüe y personalizado

El 23 de abril de 2025, Darcula anunció su actualización más reciente con soporte para GenAI, lo que marca un antes y un después en la automatización del phishing. Las capacidades añadidas incluyen:

• Generación automatizada de formularios de phishing en distintos idiomas
• Personalización dinámica de campos según la marca objetivo
• Traducción automática de formularios al idioma local de la víctima

Esta evolución técnica reduce drásticamente la barrera de entrada para ciberdelincuentes, ampliando el alcance de las campañas y multiplicando su efectividad.

Impacto y acciones contra Darcula

Desde la aparición de Darcula en 2024, los expertos en ciberseguridad han combatido activamente esta amenaza. Netcraft reporta haber:

• Eliminado más de 25,000 páginas de phishing creadas con Darcula
• Bloqueado casi 31,000 direcciones IP maliciosas
• Marcado más de 90,000 dominios utilizados en ataques de phishing

A pesar de estos esfuerzos, la constante evolución del kit, ahora potenciado por IA, plantea un reto importante para la industria de la ciberseguridad.

La automatización del phishing alcanza nuevos niveles

La incorporación de inteligencia artificial generativa en plataformas como Darcula PhaaS señala una nueva etapa en la evolución del phishing automatizado. La capacidad de generar formularios multilingües personalizados sin escribir una sola línea de código hace que la amenaza sea más accesible, masiva y peligrosa.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta