Investigadores en ciberseguridad han revelado detalles sobre ImageRunner, una vulnerabilidad de escalada de privilegios en Google Cloud Platform (GCP) Cloud Run que podría haber permitido a atacantes acceder a imágenes de contenedores privadas e inyectar código malicioso.

¿Cómo funcionaba ImageRunner?

La vulnerabilidad permitía que ciertas identidades con permisos de edición en revisiones de Cloud Run abusaran de sus privilegios para extraer imágenes privadas de Google Artifact Registry y Google Container Registry dentro de la misma cuenta.

Según Liv Matan, investigadora de seguridad en Tenable, este fallo ya ha sido corregido por Google a partir del 28 de enero de 2025, tras una divulgación responsable.

¿Qué es Google Cloud Run y por qué era vulnerable?

Google Cloud Run es un servicio sin servidor que ejecuta aplicaciones en contenedores de manera escalable. Para su implementación, las imágenes de los contenedores se extraen de Artifact Registry o Docker Hub.

El problema radicaba en que algunas identidades con permisos de edición en revisiones de Cloud Run podían modificar servicios y forzar la implementación de imágenes privadas, aunque no tuvieran permisos explícitos en el registro de contenedores.

Cada vez que se crea o actualiza un servicio en Cloud Run:

• Se genera una nueva revisión.
• Se utiliza una cuenta de agente de servicio para extraer las imágenes necesarias.

Si un atacante conseguía los permisos run.services.update e iam.serviceAccounts.actAs, podía modificar un servicio y forzar la extracción de imágenes privadas, accediendo a datos sensibles y, potencialmente, inyectando código malicioso para:

• Exfiltrar datos confidenciales.
• Robar secretos almacenados en contenedores.
• Abrir un shell inverso para tomar el control del sistema.

Parche de seguridad y mitigación

Google ha lanzado una actualización que ahora requiere permisos explícitos para acceder a imágenes de contenedores al crear o actualizar servicios de Cloud Run. En su comunicado, la empresa indicó que:

Citar"La entidad principal (cuenta de usuario o servicio) que crea o actualiza un recurso de Cloud Run ahora necesita permiso explícito para acceder a las imágenes de contenedor".

Para garantizar la seguridad, Google recomienda asignar el rol roles/artifactregistry.reader en IAM a cualquier entidad que necesite acceder a imágenes de contenedores.

ImageRunner y los riesgos en servicios en la nube

Tenable describe ImageRunner como un caso de Jenga, un fenómeno donde la interconexión de servicios en la nube puede hacer que vulnerabilidades en un servicio se propaguen a otros.

Citar"Los proveedores de la nube construyen sus servicios sobre otros existentes. Si un servicio es atacado, los demás que dependen de él heredan el riesgo", explicó Matan.

Esto abre nuevas oportunidades para la escalada de privilegios, generando riesgos ocultos que pueden ser explotados por atacantes avanzados.

Relación con vulnerabilidades en Azure

La revelación de ImageRunner ocurre poco después de que Praetorian expusiera diversas formas en que atacantes con privilegios bajos pueden comprometer máquinas virtuales en Azure para escalar privilegios:

• Ejecutar comandos en una máquina virtual con identidad administrada administrativa.
• Iniciar sesión en una máquina virtual con identidad administrada administrativa.
• Adjuntar una identidad administrada administrativa a una máquina virtual existente y ejecutar comandos.
• Crear una nueva máquina virtual, adjuntarle una identidad administrada existente y ejecutar comandos con permisos elevados.

Según los investigadores de seguridad Andrew Chang y Elgin Lee, una vez que un atacante obtiene el rol de propietario de una suscripción de Azure, puede utilizar su acceso para escalar privilegios dentro de Entra ID, comprometiendo aún más la seguridad de la nube.

En conclusión, las vulnerabilidades como ImageRunner resaltan los riesgos de permisos mal configurados en entornos en la nube. Tanto en Google Cloud como en Azure, la seguridad debe enfocarse en:

• Control estricto de permisos IAM.
• Auditoría regular de accesos y configuraciones.
• Uso de roles mínimos necesarios para cada entidad.

Dado el creciente número de ataques en la nube, las organizaciones deben reforzar sus estrategias de seguridad para mitigar riesgos y evitar posibles brechas de datos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores en ciberseguridad han identificado una botnet de minería de criptomonedas de propagación automática llamada Outlaw (también conocida como Dota), conocida por atacar servidores SSH con credenciales débiles.

¿Qué es Outlaw y cómo funciona?


Outlaw es un malware para Linux que emplea ataques de fuerza bruta SSH, técnicas de minería de criptomonedas y capacidades de gusano para infectar sistemas y mantener el control sobre ellos. De acuerdo con un informe de Elastic Security Labs, este malware sigue activo y evolucionando.

Outlaw no solo se refiere al malware, sino también al grupo de hackers detrás de esta campaña. Se cree que este colectivo tiene origen rumano y comparte el panorama del cryptojacking con otros grupos como 8220, Keksec (Kek Security), Kinsing y TeamTNT.

Métodos de ataque y persistencia

Activo desde 2018, Outlaw compromete servidores SSH mediante ataques de fuerza bruta y, una vez dentro, asegura persistencia agregando claves SSH propias en el archivo authorized_keys. Además, los atacantes emplean un proceso de infección en múltiples etapas:

• Uso de un script de shell (tddwrt7s.sh) para descargar y descomprimir un paquete (dota3.tar.gz).
• Ejecución de un minero de criptomonedas y eliminación de rastros de ataques previos.
• Interrupción de procesos competidores, garantizando el uso exclusivo de los recursos del sistema.

Autopropagación y vulnerabilidades explotadas

Uno de los componentes más peligrosos de Outlaw es BLITZ, un módulo que permite la propagación automática del malware a través del escaneo de sistemas vulnerables con servicios SSH expuestos. Este módulo emplea técnicas de fuerza bruta, obteniendo listas de objetivos desde un servidor de comando y control (C2) para expandir la infección.

Algunas variantes del ataque también explotan vulnerabilidades en sistemas Linux y Unix, incluyendo CVE-2016-8655 y CVE-2016-5195 (Dirty COW), además de comprometer dispositivos con credenciales Telnet débiles.

Control remoto y minería eficiente

Outlaw utiliza SHELLBOT, una herramienta que permite el control remoto a través de IRC, facilitando la ejecución de comandos arbitrarios, descarga de cargas útiles adicionales, ataques DDoS, robo de credenciales y exfiltración de datos sensibles.

Para optimizar su operación minera, el malware analiza la CPU del sistema infectado y activa páginas de memoria enormes en todos los núcleos del procesador. También emplea un binario denominado kswap01 para garantizar comunicaciones persistentes con la infraestructura del atacante.

En conclusión, a pesar de utilizar técnicas relativamente simples como fuerza bruta SSH, manipulación de claves SSH y persistencia basada en cron, Outlaw sigue siendo una amenaza activa. Este malware despliega mineros XMRig modificados, utiliza IRC para C2 e integra scripts públicos para evadir detecciones y asegurar su permanencia en los sistemas infectados.

La continua evolución de Outlaw y su capacidad de autopropagación lo convierten en una amenaza persistente dentro del ecosistema de la minería ilícita de criptomonedas. Las organizaciones deben fortalecer sus medidas de seguridad en servidores SSH, aplicar parches de seguridad y utilizar soluciones avanzadas de detección para mitigar riesgos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Unidad de Investigación de Amenazas (TRU) de Acronis ha identificado una nueva cadena de ciberamenazas, caracterizada por el uso de malware sofisticado y técnicas avanzadas de ofuscación. Este análisis detalla un proceso de infección de varias etapas que involucra Visual Basic Script (VBS), archivos por lotes y PowerShell, con el objetivo final de implementar amenazas como DCRat y Rhadamanthys Infostealer.

Fase inicial: phishing con archivo adjunto malicioso

El ataque comienza con un correo electrónico de phishing que incluye un archivo adjunto RAR titulado "Citación por embargo de cuenta". Este nombre engañoso busca incitar a los usuarios a abrir el archivo. Una vez extraído, revela un script VBS altamente ofuscado, que da inicio a una cadena de entrega de malware.

Estrategia de entrega de malware en varias etapas

• Ejecución de VBS: Genera un archivo por lotes (BAT) y transfiere el control.
• Ejecución de BAT: Construye una cadena codificada en Base64 y la ejecuta a través de PowerShell.
• PowerShell: Decodifica y carga un ejecutable .NET en memoria mediante la técnica RunPE, evitando la detección tradicional.

La carga maliciosa está protegida con un empaquetador .NET personalizado y contiene datos cifrados, descifrados con XOR (0x78), una técnica común en criptografía.

Riesgos y evasión de detección

El despliegue de DCRat y Rhadamanthys Infostealer mediante esta cadena de ataque representa una amenaza crítica para la seguridad de los sistemas. La combinación de lenguajes de scripting y técnicas de ofuscación permite evadir las soluciones de seguridad convencionales, facilitando el robo de datos y el acceso no autorizado.

Soluciones de seguridad para mitigar ataques avanzados

Para combatir estas amenazas, es esencial una estrategia de seguridad multicapa, que incluya:

• Filtrado de correos electrónicos para bloquear archivos adjuntos sospechosos.
• Análisis heurístico y de comportamiento para detectar actividad maliciosa.
• Monitoreo de scripts y carga en memoria para evitar ejecuciones no autorizadas.

La Unidad de Investigación de Amenazas de Acronis trabaja constantemente en el desarrollo de soluciones avanzadas como Acronis Advanced Security + Extended Detection and Response (XDR). Esta tecnología emplea protección en tiempo real y emuladores de scripts para detectar y neutralizar amenazas como DCRat, Rhadamanthys y Remcos antes de que comprometan los sistemas.

Curiosa inclusión de citas filosóficas en el malware


Durante el análisis de PowerShell, se encontraron citas de Friedrich Nietzsche insertadas en el código, posiblemente para distraer a los analistas. Entre ellas:

• "Siempre hay algo de locura en el amor. Pero también siempre hay alguna razón en la locura".
• "En los individuos, la locura es rara; pero en grupos, partidos, naciones y épocas, es la regla".
• "En el cielo, faltan todas las personas interesantes".

A pesar de estas distracciones, la TRU de Acronis logró desofuscar y analizar con éxito el código malicioso, proporcionando una comprensión completa de esta nueva amenaza.

En conclusión, el análisis detallado de DCRat por parte de Acronis TRU pone de manifiesto la creciente sofisticación de los ciberataques modernos. Con el uso de tecnologías avanzadas de detección y respuesta, es posible mitigar estas amenazas antes de que comprometan infraestructuras críticas.

Para una protección efectiva, las organizaciones deben adoptar soluciones de seguridad multicapa y mantenerse actualizadas sobre las técnicas emergentes en ciberseguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un incremento significativo en la actividad de escaneo ha puesto en alerta a los expertos en ciberseguridad. Se ha detectado un gran volumen de intentos dirigidos a los portales de inicio de sesión GlobalProtect de Palo Alto Networks, lo que podría indicar un ataque inminente o la explotación de una vulnerabilidad crítica.

Escaneo masivo detectado por GreyNoise

La firma de monitoreo de amenazas GreyNoise ha identificado más de 24.000 direcciones IP de origen involucradas en esta actividad sospechosa. El punto máximo se alcanzó el 17 de marzo de 2025, con 20.000 direcciones IP únicas escaneando en un solo día, y la actividad continuó a un nivel elevado hasta el 26 de marzo.

De estas direcciones IP:

• 23.800 han sido catalogadas como "sospechosas".
• 154 fueron confirmadas como "maliciosas".

Estos datos evidencian la posibilidad de un ataque planificado o una evaluación preliminar de vulnerabilidades en los sistemas objetivo.

Origen del escaneo y patrones detectados

Los intentos de escaneo provienen mayormente de Estados Unidos y Canadá, con los servidores objetivo concentrados en Estados Unidos y otros países.

GreyNoise ha identificado un patrón consistente en los últimos 18 a 24 meses, donde actividades de escaneo como esta preceden la divulgación de vulnerabilidades de 2 a 4 semanas después. Según Bob Rudis, vicepresidente de Ciencia de Datos de GreyNoise, esta táctica sugiere un intento de reconocimiento previo a una explotación dirigida.

Relación con otras amenazas y campañas previas

El 26 de marzo de 2025, también se detectó un aumento en la actividad de escaneo relacionada con un rastreador PAN-OS, con 2.580 IP involucradas. Este evento guarda similitudes con la campaña de espionaje atribuida al grupo de hackers 'ArcaneDoor', investigada por Cisco Talos hace un año, y que afectó dispositivos periféricos.

Recomendaciones para administradores de Palo Alto Networks

Ante esta situación, los expertos en ciberseguridad recomiendan:

• Revisar los registros desde mediados de marzo para detectar accesos sospechosos.
• Buscar signos de compromiso en los sistemas afectados.
• Fortalecer la seguridad de los portales de inicio de sesión GlobalProtect.

• Bloquear direcciones IP maliciosas, siguiendo el listado compartido en el informe de GreyNoise.

BleepingComputer ha solicitado comentarios a Palo Alto Networks y actualizará esta información en caso de recibir una respuesta.

Mantente alerta ante este posible ataque cibernético y refuerza la seguridad de tu red para evitar riesgos potenciales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los ciberdelincuentes están explotando el directorio "mu-plugins" en sitios de WordPress para ocultar código malicioso y garantizar acceso remoto persistente, redirigiendo a los visitantes a sitios fraudulentos.

¿Qué es "mu-plugins" y por qué es un objetivo para el malware?

Los "mu-plugins" (Must-Use Plugins) son plugins ubicados en el directorio especial wp-content/mu-plugins que WordPress ejecuta automáticamente sin necesidad de activación manual. Esto los convierte en un objetivo ideal para los atacantes, ya que no aparecen en la interfaz estándar de administración de plugins, dificultando su detección.

Según el investigador de Sucuri, Puja Srivastava, "este enfoque representa una tendencia preocupante, ya que los mu-plugins no figuran en la interfaz estándar de WordPress, lo que los hace menos perceptibles y más fáciles de ignorar durante los controles de seguridad".

Tipos de código malicioso detectado en "mu-plugins"

Sucuri identificó tres tipos de código PHP malicioso dentro de este directorio:

• wp-content/mu-plugins/redirect.php: Redirige a los usuarios a sitios maliciosos externos.
• wp-content/mu-plugins/index.php: Funciona como un shell web para ejecutar código remoto desde GitHub.
• wp-content/mu-plugins/custom-js-loader.php: Inyecta spam y reemplaza imágenes con contenido explícito para manipular el SEO y secuestrar enlaces.

El archivo redirect.php se hace pasar por una actualización de navegador para engañar a los usuarios y distribuir malware capaz de robar datos o lanzar ataques adicionales. Además, los scripts maliciosos identifican si el visitante es un bot para evitar la detección por los motores de búsqueda.

Tendencias en ataques a WordPress

Los sitios de WordPress comprometidos también son utilizados para tácticas como ClickFix, que engaña a los usuarios haciéndoles ejecutar comandos maliciosos de PowerShell en Windows bajo la apariencia de una verificación de Google reCAPTCHA o Cloudflare CAPTCHA. Esta técnica se ha utilizado para distribuir el malware Lumma Stealer.

Otra estrategia común es la inyección de JavaScript malicioso, que puede redirigir a los usuarios a dominios peligrosos o actuar como un skimmer para robar información financiera en formularios de pago.

Vulnerabilidades explotadas en WordPress en 2024

Según un informe de Patchstack, los actores de amenazas han explotado varias vulnerabilidades críticas en WordPress este año:

• CVE-2024-27956 (CVSS 9.9): Ejecución de SQL arbitraria en WordPress Automatic Plugin.
• CVE-2024-25600 (CVSS 10.0): Ejecución remota de código en el tema Bricks.
• CVE-2024-8353 (CVSS 10.0): Inyección de objetos PHP en el complemento GiveWP.
• CVE-2024-4345 (CVSS 10.0): Carga de archivos arbitrarios en Startklar Elementor Addons.

¿Cómo proteger tu sitio de WordPress?

Para reducir el riesgo de estos ataques, se recomienda:

• Actualizar plugins y temas regularmente.
• Auditar el código en busca de malware.
• Utilizar contraseñas seguras y autenticación en dos pasos.
• Implementar un firewall de aplicaciones web (WAF) para bloquear tráfico malicioso.
• Revisar regularmente el directorio mu-plugins en busca de archivos sospechosos.

En conclusión, el uso de "mu-plugins" para ocultar malware representa una amenaza emergente en WordPress. Mantener la seguridad del sitio es esencial para evitar infecciones y garantizar la integridad de los datos y la experiencia del usuario.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) ha identificado un nuevo malware avanzado llamado RESURGE, utilizado en la explotación de una vulnerabilidad recientemente parcheada en Ivanti Connect Secure (ICS).

¿Qué es RESURGE y cómo afecta a Ivanti?

RESURGE es una evolución de SPAWNCHIMERA, un malware previamente identificado, pero con nuevas capacidades que lo hacen aún más peligroso. Según CISA, RESURGE actúa como rootkit, dropper, puerta trasera, bootkit, proxy y tunelizador.

El malware aprovecha la vulnerabilidad CVE-2025-0282, un desbordamiento de búfer basado en pila que afecta a Ivanti Connect Secure, Policy Secure y ZTA Gateways, permitiendo la ejecución remota de código.

Las versiones vulnerables incluyen:

• Ivanti Connect Secure antes de la versión 22.7R2.5
• Ivanti Policy Secure antes de la versión 22.7R1.2
• Ivanti Neurons para pasarelas ZTA anteriores a la versión 22.7R2.3

Conexión con el ecosistema de malware SPAWN

Investigaciones de Mandiant (Google) indican que la vulnerabilidad CVE-2025-0282 ha sido aprovechada para desplegar SPAWN, un ecosistema de malware que incluye variantes como SPAWNANT, SPAWNMOLE y SPAWNSNAIL. Se cree que este conjunto de herramientas está vinculado a UNC5337, un grupo de ciberespionaje asociado con China.

El mes pasado, JPCERT/CC informó que la vulnerabilidad había sido utilizada para propagar SPAWNCHIMERA, una versión más sofisticada del malware. Esta variante unifica los módulos previos e introduce mecanismos avanzados de comunicación a través de sockets de dominio UNIX.

Curiosamente, SPAWNCHIMERA también contenía un mecanismo para parchear CVE-2025-0282, evitando que otros atacantes explotaran la misma vulnerabilidad.

Nuevas capacidades de RESURGE

CISA ha identificado tres nuevos comandos en RESURGE que amplían su funcionalidad:

• Insertarse en "ld.so.preload", manipular archivos y configurar un web shell.
• Uso de web shells para capturar credenciales, crear cuentas, restablecer contraseñas y escalar privilegios.
• Copiar el web shell en el disco de arranque de Ivanti, manipulando la imagen de arranque.

Adicionalmente, CISA ha hallado otros dos artefactos en dispositivos ICS comprometidos:

• SPAWNSLOTH ("liblogblock.so"), que manipula registros del sistema.
• Un binario ELF de 64 bits personalizado ("dsmain"), que extrae una imagen del kernel comprometida.

Implicaciones y medidas de mitigación

La vulnerabilidad CVE-2025-0282 también ha sido explotada como día cero por otro grupo de amenazas vinculado a China, rastreado como Silk Typhoon (antes Hafnium), según Microsoft.

Ante estos hallazgos, se recomienda encarecidamente a las organizaciones actualizar sus dispositivos Ivanti a la última versión y tomar medidas adicionales de seguridad, como:
✅ Restablecer credenciales de cuentas con y sin privilegios.
✅ Rotar contraseñas de usuarios del dominio y cuentas locales.
✅ Revisar y modificar políticas de acceso para restringir privilegios en dispositivos afectados.
✅ Monitorear actividad inusual en cuentas y sistemas críticos.

El constante refinamiento de este malware indica que los atacantes están evolucionando sus tácticas, por lo que es esencial adoptar una estrategia proactiva de ciberseguridad y aplicar parches de seguridad de inmediato.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo malware bancario para Android, denominado Crocodilus, engaña a los usuarios para que proporcionen la frase semilla de su billetera de criptomonedas a través de una falsa advertencia sobre la necesidad de hacer una copia de seguridad.

Cómo funciona Crocodilus

Crocodilus no solo roba credenciales financieras, sino que también tiene capacidades avanzadas para tomar el control total del dispositivo, recolectar datos y ejecutar comandos de manera remota.

Según los investigadores de ThreatFabric, este malware se distribuye mediante un dropper propietario que evade las protecciones de seguridad de Android 13 y versiones posteriores. Este dropper instala el malware sin activar Play Protect y esquiva las restricciones del Servicio de Accesibilidad de Android.

Lo que hace único a Crocodilus es su uso de ingeniería social. Mediante una superposición de pantalla, advierte falsamente a las víctimas que deben hacer una copia de seguridad de su clave de billetera en la configuración dentro de las próximas 12 horas, o perderán el acceso.

"Este truco de ingeniería social guía a la víctima para que navegue hasta su frase semilla, permitiendo que Crocodilus la capture mediante su Registrador de Accesibilidad", explican los investigadores de ThreatFabric. Con esta información, los atacantes pueden tomar el control de la billetera y vaciar los fondos.

Países afectados y método de distribución

Las primeras infecciones de Crocodilus se detectaron en España y Turquía, atacando tanto a billeteras de criptomonedas como a cuentas bancarias locales. Los mensajes de depuración sugieren que el malware podría tener origen turco.

El vector de infección exacto no está claro, pero se cree que las víctimas descargan droppers desde:

• Sitios web maliciosos
• Falsas promociones en redes sociales o SMS
• Tiendas de aplicaciones de terceros

Funcionalidades avanzadas del malware

Una vez activo, Crocodilus abusa del Servicio de Accesibilidad para obtener control del dispositivo, permitiendo:

• Superposiciones falsas sobre apps bancarias y de criptomonedas para robar credenciales.
• Captura de pantalla de Google Authenticator para obtener códigos 2FA.
• Control total del dispositivo mediante comandos remotos.

El malware admite 23 comandos maliciosos, entre ellos:

• Habilitar el desvío de llamadas
• Iniciar aplicaciones específicas
• Enviar SMS masivos a contactos
• Solicitar privilegios de administrador de dispositivos
• Bloquear la pantalla del dispositivo
• Silenciar el sonido o mostrar una superposición negra para ocultar actividad

Además, Crocodilus tiene funcionalidades de Troyano de Acceso Remoto (RAT), permitiendo que sus operadores naveguen por la interfaz, realicen gestos de deslizamiento y manipulen el dispositivo a distancia.

Cómo protegerse de Crocodilus

Aunque actualmente Crocodilus parece estar limitado a España y Turquía, su capacidad para expandirse a más países y aplicaciones es alta. Para evitar ser víctima de este malware, se recomienda:
✅ No descargar APK fuera de Google Play.
✅ Mantener Play Protect activado en todo momento.
✅ Evitar hacer clic en enlaces sospechosos recibidos por SMS o redes sociales.
✅ Revisar los permisos otorgados a las aplicaciones y deshabilitar accesos innecesarios.

Dado su potencial peligro, es crucial que los usuarios de Android adopten buenas prácticas de seguridad para proteger sus dispositivos y credenciales financieras.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha comenzado a probar Quick Machine Recovery, una nueva herramienta de Windows 11 diseñada para corregir automáticamente errores en controladores y configuraciones que impiden que el sistema operativo arranque correctamente.

Una solución para errores críticos en Windows 11

Quick Machine Recovery forma parte de la Iniciativa de Resiliencia de Windows, un esfuerzo de Microsoft para mejorar la estabilidad del sistema y minimizar el tiempo de inactividad. Gracias a herramientas automatizadas, este sistema puede detectar, diagnosticar y corregir fallas críticas sin intervención manual.

Cuando un error impide que Windows 11 se inicie, los dispositivos pueden quedar atrapados en el Entorno de Recuperación de Windows (Windows RE), lo que obliga a los equipos de TI a invertir tiempo en la solución manual de problemas. Con Quick Machine Recovery, Microsoft podrá desplegar correcciones remotas para restaurar el sistema rápidamente sin intervención del usuario.

Cómo funciona Quick Machine Recovery

Microsoft lanzó esta herramienta en el Windows Insider Preview Beta Channel, permitiendo a los Insiders probarla. Una vez habilitada, si un controlador o cambio en la configuración provoca fallos de inicio, el sistema accederá automáticamente a Windows RE y ejecutará Quick Machine Recovery.

La herramienta se conecta a Internet mediante Ethernet o Wi-Fi, enviando los datos de bloqueo a los servidores de Microsoft. A partir del análisis, se pueden aplicar correcciones remotas, como eliminación de controladores problemáticos, actualización de configuraciones o reversión de cambios que impidan el arranque.

Respuesta a fallos globales como el caso CrowdStrike

Quick Machine Recovery surge tras incidentes como la actualización defectuosa de CrowdStrike, que en julio de 2024 generó fallos masivos en millones de dispositivos Windows, causando pantallas azules de la muerte (BSOD) y bucles de reinicio. En esa ocasión, los administradores tuvieron que acceder manualmente a Windows RE o modo seguro para eliminar el controlador problemático.

Con Quick Machine Recovery, Microsoft podría haber desplegado una solución automatizada, evitando el proceso manual y restaurando la operatividad de los equipos de forma rápida y eficiente.

Disponibilidad y personalización

Microsoft ha anunciado que esta función se habilitará por defecto en Windows 11 Home. Para Windows 11 Pro y Enterprise, los administradores podrán personalizar su funcionamiento mediante RemoteRemediation, CSP o a través de reagentc.exe en el propio dispositivo.

Además, la herramienta podrá preconfigurarse con credenciales de red para facilitar la implementación de correcciones y definir la frecuencia con la que los dispositivos afectados se comunican con los servidores de Microsoft en busca de soluciones.

En los próximos días, Microsoft lanzará un paquete de corrección de prueba, permitiendo a los Insiders experimentar en vivo esta nueva funcionalidad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un sofisticado malware para Android, identificado previamente en ataques contra personal militar indio, ha resurgido en una nueva campaña que apunta a usuarios en Taiwán, ocultándose en aplicaciones de chat fraudulentas.

PJobRAT: Robo de Datos en Dispositivos Android

"PJobRAT puede robar mensajes SMS, contactos telefónicos, información del dispositivo y aplicaciones, así como documentos y archivos multimedia de dispositivos Android infectados", señaló Pankaj Kohli, investigador de seguridad en Sophos.

Este malware, documentado por primera vez en 2021, ha sido utilizado para atacar objetivos militares en la India. Sus versiones más recientes han sido disfrazadas como aplicaciones de citas y mensajería instantánea, buscando engañar a sus víctimas. Se cree que su actividad maliciosa se remonta al menos a finales de 2019.

Conexiones con amenazas persistentes avanzadas (APT)

En noviembre de 2021, Meta atribuyó el uso de PJobRAT y Mayhem a SideCopy, un actor de amenazas vinculado con Pakistán y posible subgrupo de Transparent Tribe. Este grupo realizó ataques dirigidos contra personas en Afganistán con vínculos gubernamentales, militares y de seguridad.

"Los atacantes crearon perfiles falsos de mujeres jóvenes para atraer a sus objetivos con engaños románticos, convenciéndolos de hacer clic en enlaces maliciosos o descargar aplicaciones de chat infectadas", indicó Meta.

Funcionalidades avanzadas de PJobRAT

PJobRAT cuenta con capacidades avanzadas para la recolección de datos:

• Acceso a contactos, registros de llamadas y mensajes SMS.
• Ubicación en tiempo real y acceso a archivos multimedia.
• Uso de permisos de accesibilidad para extraer contenido en pantalla.

Campaña reciente: ataques dirigidos a Taiwán

Datos de telemetría de Sophos revelan que la más reciente campaña de PJobRAT se centró en usuarios taiwaneses de Android. Se disfrazó como aplicaciones de chat llamadas SangaalLite y CChat, disponibles para descarga desde sitios web de WordPress. La actividad maliciosa se registró desde enero de 2023 hasta octubre de 2024, con un número reducido de infecciones, lo que sugiere una estrategia de ataque altamente selectiva.

Algunas aplicaciones identificadas incluyen:

• org.complexy.hard
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
• sa.aangal.lite
• net.over.simple

Si bien se desconoce cómo los atacantes persuadieron a las víctimas para descargar estas aplicaciones, se sospecha el uso de técnicas de ingeniería social. Una vez instaladas, las apps solicitan permisos intrusivos para recopilar información y ejecutarse en segundo plano sin interrupción.

Nuevas capacidades del malware


A diferencia de versiones anteriores, PJobRAT ha evolucionado con funcionalidades adicionales:

• Ejecución de comandos de shell: Permite el robo de chats de WhatsApp y el control remoto del dispositivo.
• Doble mecanismo de C2: Utiliza HTTP para enviar datos robados y Firebase Cloud Messaging (FCM) para ejecutar comandos maliciosos.

En fin, a pesar de la aparente interrupción de esta campaña en octubre de 2024, la evolución de PJobRAT demuestra cómo los ciberdelincuentes reconfiguran sus ataques, refinando su malware y adaptando sus estrategias para futuros ataques dirigidos.

Recomendaciones:

• Evitar descargar aplicaciones fuera de Google Play Store.
• Revisar los permisos de las aplicaciones instaladas.
• Utilizar soluciones de seguridad móvil para detectar amenazas.

La ciberseguridad en dispositivos Android sigue siendo un desafío clave, y los usuarios deben estar alerta ante amenazas persistentes como PJobRAT.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores en ciberseguridad han identificado un nuevo malware sofisticado llamado CoffeeLoader, diseñado para descargar y ejecutar cargas útiles secundarias mientras evade las soluciones de seguridad. Según Zscaler ThreatLabz, este malware comparte similitudes con SmokeLoader, otro conocido cargador de malware.

Técnicas avanzadas de evasión

Brett Stone-Gross, director senior de inteligencia de amenazas en Zscaler, explicó que CoffeeLoader utiliza múltiples técnicas para evitar la detección por soluciones de seguridad como antivirus (AV) y Endpoint Detection and Response (EDR). Estas incluyen:

• Uso de un empaquetador especializado que aprovecha la GPU para dificultar el análisis.
• Suplantación de la pila de llamadas para ocultar el origen de las funciones ejecutadas.
• Ofuscación del sueño para evadir monitoreo de comportamiento.
• Empleo de Windows Fibers para alterar la ejecución del código.

Desde su aparición en septiembre de 2024, CoffeeLoader ha integrado un algoritmo de generación de dominios (DGA) como mecanismo de respaldo en caso de que los servidores de comando y control (C2) sean inaccesibles.

Método de infección y persistencia

La infección comienza con un dropper que ejecuta una DLL empaquetada por Armoury (ArmouryAIOSDK.dll o ArmouryA.dll) con privilegios elevados. Si el dropper no cuenta con permisos suficientes, intentará eludir el Control de Cuentas de Usuario (UAC).

Para mantener la persistencia en el sistema, CoffeeLoader crea una tarea programada que se ejecuta al iniciar sesión o cada 10 minutos. Posteriormente, un stager carga el módulo principal, que implementa avanzadas técnicas de evasión.

Objetivo y vínculos con SmokeLoader

El propósito final de CoffeeLoader es conectarse a un servidor C2 a través de HTTPS para recibir y ejecutar comandos maliciosos, como la inyección de shellcode de Rhadamanthys.

Zscaler encontró similitudes en el código entre CoffeeLoader y SmokeLoader, lo que sugiere que este nuevo malware podría ser su evolución tras la caída de su infraestructura en 2023. Sin embargo, la relación exacta entre ambas amenazas aún no está confirmada.

Campañas de distribución de malware relacionadas

El descubrimiento de CoffeeLoader coincide con otras amenazas recientes, como:

• Phishing masivo: Seqrite Labs detectó una campaña de correo electrónico malicioso diseñada para propagar el malware Snake Keylogger, capaz de robar credenciales y otra información sensible.
• Ataques a criptotraders: Un grupo de ciberdelincuentes ha utilizado publicaciones en Reddit para engañar a usuarios con versiones pirateadas de TradingView, distribuyendo malware como Lumma y Atomic en sistemas Windows y macOS.

Este avance resalta la creciente sofisticación de las amenazas cibernéticas y la importancia de implementar estrategias robustas de ciberseguridad para proteger sistemas y datos sensibles.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se han descubierto tres vulnerabilidades en las restricciones de espacios de nombres de usuario sin privilegios en Ubuntu Linux, lo que podría permitir a atacantes locales explotar fallos en el kernel. Estos problemas afectan a Ubuntu 23.10 y 24.04, donde estas restricciones están habilitadas por defecto.

Los espacios de nombres de usuario en Linux permiten actuar como root dentro de un entorno aislado sin privilegios en el sistema host. Ubuntu introdujo restricciones basadas en AppArmor en la versión 23.10 y las activó por defecto en la versión 24.04 para minimizar riesgos. Sin embargo, investigadores de Qualys han identificado tres métodos para eludir estas protecciones.

Métodos de elusión de seguridad en Ubuntu

• Explotación mediante aa-exec: Algunos perfiles de AppArmor, como trinity, chrome o flatpak, permiten la creación de espacios de nombres sin restricciones. Un atacante puede utilizar el comando unshare a través de aa-exec en estos perfiles para aumentar sus privilegios.
• Uso de busybox: El shell de busybox, instalado por defecto en Ubuntu, opera bajo un perfil de AppArmor permisivo que permite la creación de espacios de nombres. Al ejecutarlo con unshare, un usuario sin privilegios puede obtener capacidades administrativas completas.
• Abuso de LD_PRELOAD: Mediante la inyección de una biblioteca compartida personalizada en un proceso confiable (como Nautilus), un atacante puede crear un espacio de nombres privilegiado, evitando las restricciones de AppArmor.

Estas omisiones facilitan la explotación de vulnerabilidades en el kernel, aunque por sí solas no permiten el control total del sistema.

Respuesta y mitigaciones de Canonical

Canonical ha reconocido los hallazgos de Qualys, señalando que no los consideran vulnerabilidades críticas, sino limitaciones de un mecanismo de defensa en profundidad. Por ello, las mejoras en AppArmor se implementarán según el cronograma habitual y no como parches de seguridad urgentes.

Para mitigar estos riesgos, Canonical recomienda:

• Habilitar kernel.apparmor_restrict_unprivileged_unconfined=1 para bloquear el abuso de aa-exec.
• Deshabilitar perfiles amplios de AppArmor para busybox y Nautilus.
• Aplicar un perfil más restrictivo de bwrap en aplicaciones que dependen de espacios de nombres.
• Utilizar aa-status para identificar y deshabilitar otros perfiles de riesgo.

Estas medidas pueden reducir el impacto de estas omisiones de seguridad en Ubuntu Linux. Se recomienda a los administradores aplicar las mitigaciones lo antes posible para evitar posibles ataques.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha resuelto un problema en el nuevo cliente de correo electrónico de Outlook para Windows que provocaba bloqueos al hacer clic en el botón "Ir a Outlook clásico". La compañía confirmó que esta falla, que impedía abrir el artículo de soporte sobre la descarga de la versión clásica, ya ha sido corregida.

El error, reportado inicialmente el 12 de marzo, cerraba la aplicación de manera inesperada si el Outlook clásico no estaba instalado en el sistema. Microsoft recomienda que los usuarios que deseen seguir utilizando la versión clásica descarguen el cliente independiente de Outlook o lo instalen a través de Microsoft Store. Para cuentas profesionales o educativas, se sugiere contactar al administrador de TI.

Otros problemas recientes en Outlook

El mes pasado, Microsoft solucionó otro error que afectaba la función de arrastrar y soltar correos electrónicos después de las actualizaciones de Windows 24H2. Además, ha abordado fallos que causaban bloqueos en las aplicaciones de Outlook y Microsoft 365 en sistemas Windows Server 2016 y 2019, así como errores que provocaban cierres inesperados al escribir, responder o reenviar correos.

En diciembre, Microsoft anunció que la nueva aplicación de escritorio de Microsoft 365 incluirá automáticamente el nuevo Outlook, junto con el cliente clásico. Además, recomendó a los administradores modificar sus configuraciones para evitar la instalación del nuevo cliente en entornos donde no sea necesario.

Forzando la instalación del nuevo Outlook en Windows 10

En enero de 2025, Microsoft comenzará a instalar automáticamente el nuevo Outlook en dispositivos con Windows 10 tras la actualización KB5050081. Este cambio, anunciado a principios de enero, se aplicará de manera general tras la actualización de seguridad de febrero de 2025.

Para más detalles sobre cómo evitar la transición al nuevo Outlook y gestionar otras configuraciones, visita el sitio web de soporte de Microsoft.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

LibreOffice 25.2. Esta nueva versión se centra en mejorar la estabilidad, corregir errores y optimizar la compatibilidad con diversos formatos de documentos.

A continuación, te detallamos todas las novedades y mejoras de LibreOffice 25.2.2.

Novedades de LibreOffice 25.2.2

✅ Corrección de 83 errores para mejorar la fiabilidad en todas sus aplicaciones.
✅ Mejor compatibilidad con archivos DOCX, XLSX, PPTX y PDF.
✅ Optimización del procesamiento de texto y de la interfaz de usuario.
✅ Mejoras en la edición de documentos largos, evitando fallos de representación.
✅ Correcciones en la versión para Mac con Apple Silicon.

📅 Próxima actualización: LibreOffice 25.2.3, prevista para finales de abril o mayo de 2025.

Nueva Función de Privacidad: Eliminación de Datos Personales

Desde la llegada de la serie LibreOffice 25.2, se ha incorporado una función de privacidad que elimina automáticamente datos personales de los documentos. Esta herramienta ayuda a proteger la información sensible al compartir archivos.

Los datos eliminados incluyen:

• Nombre del autor y ediciones previas.
• Tiempo de edición y marcas de cambios rastreados.
• Nombres de impresoras y configuraciones de impresión.
• Metadatos relacionados con comentarios y anotaciones.

Esta funcionalidad es especialmente útil para usuarios y empresas que manejan documentos confidenciales.

Descarga y Disponibilidad

¿Cómo actualizar LibreOffice 25.2.2?

• Disponible para descarga gratuita en el sitio oficial de The Document Foundation.
• Archivos binarios compatibles con sistemas DEB y RPM para GNU/Linux.
• Usuarios de distribuciones Linux pueden esperar la actualización en los repositorios oficiales.

* LibreOffice 25.2 recibirá siete actualizaciones de mantenimiento hasta el 30 de noviembre de 2025.

LibreOffice Enterprise para Empresas

The Document Foundation recuerda que LibreOffice se ofrece en su edición comunitaria, mantenida por voluntarios. Para entornos empresariales, recomiendan LibreOffice Enterprise, que cuenta con soporte técnico especializado y asistencia de socios del ecosistema.

LibreOffice 25.2.2 sigue fortaleciendo su estabilidad, compatibilidad y privacidad, asegurando una mejor experiencia de uso para usuarios individuales y empresas. Se recomienda actualizar lo antes posible para aprovechar todas sus mejoras.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En el mundo de Linux, las distribuciones de rescate juegan un papel esencial. No son sistemas operativos de uso diario, pero pueden ser la solución en situaciones críticas. Ya sea para recuperar datos, diagnosticar fallos, reparar particiones o acceder a sistemas inoperativos, estas herramientas son imprescindibles para administradores de sistemas y entusiastas de la tecnología.

En los últimos días, tres de las mejores distribuciones de rescate, SystemRescue, Finnix y Rescuezilla, han lanzado nuevas versiones con mejoras clave. A continuación, te contamos sus novedades.

SystemRescue 12: Mayor Compatibilidad y Mejoras en GRUB

SystemRescue es una de las distribuciones más completas y longevas, basada en Arch Linux. Se centra en ofrecer un entorno potente y ligero para el mantenimiento y recuperación de sistemas Linux y Windows.

Novedades en SystemRescue 12:

✅ Actualización del kernel a Linux 6.12.19 LTS.
✅ Soporte para bcachefs, con herramientas de sistema de archivos y compatibilidad en GParted.
✅ Corrección de errores en GRUB para evitar problemas de visualización (#399).

 Actualización de herramientas esenciales:

• GParted 1.7.0
• nwipe 0.38
• dump 0.4b49

Finnix 250: Ligero, Rápido y Compatible con Más Hardware

Finnix es una distribución de rescate minimalista, diseñada para ejecutarse completamente en RAM, lo que garantiza velocidad y eficiencia. Está enfocada en administradores de sistemas y ofrece amplia compatibilidad de hardware.

Novedades en Finnix 250:

✅ Kernel actualizado a Linux 6.12 (Debian 6.12.17-1).
✅ Mejoras en sesiones SSH y nuevos paquetes como util-linux-extra.
✅ Eliminación de herramientas asociadas a ReiserFS, ya sin soporte en el kernel.
✅ Optimización de initramfs y mejor visualización en htop para equipos con múltiples núcleos.

Rescuezilla 2.6: Clonación y Recuperación de Discos Simplificada

Rescuezilla es una distribución basada en Ubuntu, diseñada para facilitar la clonación, restauración y transferencia de discos mediante una interfaz gráfica sencilla. Es una de las mejores alternativas a Clonezilla, ideal para usuarios sin experiencia avanzada.

Novedades en Rescuezilla 2.6:

✅ Compatibilidad mejorada con UEFI, con actualización del paquete shim Secure Boot 1.58.
✅ Corrección de errores como el fallo "SBAT self-check failed" y problemas con Rufus al crear USBs de arranque.
✅ Actualización de la base a Ubuntu 24.10 (Oracular).

Mejora en herramientas esenciales:

• Partclone 0.3.33
• Memtest86+ 7.00
• Integración de nuevas traducciones a varios idiomas.

Si necesitas una herramienta para recuperación y mantenimiento de sistemas, cualquiera de estas distribuciones es una excelente opción:

🔹 SystemRescue: Ideal para tareas avanzadas de recuperación en Linux y Windows.

🔹 Finnix: Perfecta para administradores de sistemas que buscan una herramienta ligera y rápida.

🔹 Rescuezilla: La mejor opción si prefieres una solución gráfica y fácil de usar para clonación y recuperación de discos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

A pesar de que Oracle niega haber sufrido una violación de seguridad en sus servidores de inicio de sesión SSO federados, varias empresas han confirmado la autenticidad de los datos filtrados. De acuerdo con BleepingComputer, un actor de amenazas conocido como "rose87168" asegura haber comprometido los servidores de Oracle Cloud, obteniendo credenciales y contraseñas cifradas de 6 millones de usuarios.

Detalles de la Supuesta Violación en Oracle Cloud

La semana pasada, rose87168 afirmó haber accedido a los servidores de Oracle Cloud y puso a la venta datos de autenticación, incluyendo:

✅ Credenciales SSO y LDAP cifradas
✅ Base de datos con información de usuarios
✅ Lista de 140,621 dominios de empresas y agencias gubernamentales

El actor de amenazas también aseguró que las contraseñas robadas podrían descifrarse utilizando información de los archivos filtrados. Para respaldar su afirmación, publicó en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta un archivo de texto alojado en el servidor "login.us2.oraclecloud.com", sugiriendo que tenía la capacidad de crear archivos en los servidores de Oracle.

Oracle Niega la Brecha de Seguridad

A pesar de la evidencia compartida, Oracle niega categóricamente cualquier vulnerabilidad en sus sistemas:

Citar"No ha habido ninguna violación de Oracle Cloud. Las credenciales publicadas no son para Oracle Cloud. Ningún cliente de Oracle Cloud experimentó una violación o perdió datos", declaró la empresa a BleepingComputer.

Sin embargo, esta declaración contradice los hallazgos de BleepingComputer, que recibió muestras adicionales de los datos filtrados y contactó a empresas afectadas, las cuales confirmaron la autenticidad de la información.

Pruebas y Comunicaciones del Actor de Amenazas

El actor de amenazas compartió correos electrónicos con BleepingComputer, en los cuales afirma haber contactado a Oracle para notificar la vulnerabilidad. En uno de estos correos, dirigidos al equipo de seguridad de Oracle ([email protected]), se menciona lo siguiente:

"He indagado en la infraestructura de su panel de control en la nube y encontré una vulnerabilidad masiva que me ha dado acceso completo a la información de 6 millones de usuarios".

Además, se reveló un intercambio de correos con una supuesta dirección de Oracle en ProtonMail, en la que se menciona que Oracle habría solicitado continuar la comunicación a través de un canal externo.

Vulnerabilidad en Oracle Fusion Middleware: Posible Punto de Entrada

La empresa de ciberseguridad Cloudsek identificó una URL en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta que muestra que el servidor "login.us2.oraclecloud.com" ejecutaba Oracle Fusion Middleware 11g hasta el 17 de febrero de 2025. Este software contiene una vulnerabilidad crítica, rastreada como CVE-2021-35587, que permite a atacantes no autenticados comprometer Oracle Access Manager.

El actor de amenazas afirmó que utilizó esta vulnerabilidad para acceder a los servidores de Oracle. Tras la publicación de estos hallazgos, Oracle desconectó el servidor afectado.

En fin, aunque Oracle insiste en que no ha habido una brecha de seguridad, la evidencia compartida por investigadores y empresas afectadas sugiere lo contrario. La falta de respuestas por parte de Oracle y la eliminación del servidor comprometido aumentan las dudas sobre la transparencia del incidente.

Recomendación: Empresas y usuarios de Oracle Cloud deben reforzar la seguridad de sus credenciales, habilitar autenticación multifactor (MFA) y monitorear cualquier actividad sospechosa en sus cuentas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han identificado 46 vulnerabilidades críticas en inversores solares de Sungrow, Growatt y SMA, tres de los principales fabricantes del sector. Estas fallas podrían ser explotadas por atacantes para tomar control de dispositivos, ejecutar código de forma remota y comprometer plataformas en la nube, lo que representa una amenaza seria para la estabilidad de la red eléctrica y la privacidad de los usuarios.

Impacto de las Vulnerabilidades en Inversores Fotovoltaicos

Las fallas de seguridad detectadas permiten:

• Acceso no autorizado a plataformas en la nube
• Ejecución remota de código (RCE)
• Toma de control de dispositivos
• Divulgación de información confidencial

Posibles daños físicos y denegación de servicio

Un ataque bien coordinado podría afectar redes eléctricas mediante la manipulación de la generación y demanda de energía, generando cortes o desestabilización del suministro eléctrico.

Detalles Técnicos de las Vulnerabilidades

SMA: Ejecución Remota de Código en SunnyPortal

De las 46 vulnerabilidades detectadas, CVE-2025-0731 afecta específicamente a los productos de SMA. Esta falla permitiría a un atacante ejecutar código malicioso en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, la plataforma de monitoreo de sistemas fotovoltaicos de la empresa, mediante la carga de archivos ASPX en el servidor web.

Growatt: Secuestro de Inversores a Través del Backend en la Nube

Los inversores de Growatt son particularmente vulnerables, ya que los atacantes pueden explotarlos sin necesidad de acceso físico, accediendo directamente desde la nube:

• Enumeración de usuarios sin autenticación mediante una API expuesta.
• Secuestro de cuentas explotando vulnerabilidades IDOR (referencias directas a objetos inseguras).
• Robo de credenciales mediante inyección de código JavaScript a través de vulnerabilidades XSS almacenadas.
• Toma de control del inversor, permitiendo activar o desactivar el dispositivo de forma remota.

Sungrow: Explotación de Múltiples Componentes Vulnerables

El secuestro de inversores Sungrow es más complejo debido a múltiples fallos en la arquitectura del proveedor:

• CVE-2024-50685, CVE-2024-50693 y CVE-2024-50686: Permiten obtener números de serie de los dongles de comunicación desde el backend.
• CVE-2024-50692: Uso de credenciales MQTT codificadas, lo que permite el control remoto del inversor.
• CVE-2024-50694, CVE-2024-50695 y CVE-2024-50698: Vulnerabilidades de desbordamiento de pila, que permiten ejecución remota de código en dongles conectados.

Ataques Masivos y Riesgos para la Red Eléctrica

Si un atacante compromete una flota de inversores, podría lanzar ataques a gran escala contra la red eléctrica. La manipulación coordinada de múltiples dispositivos podría:

• Reducir la generación de energía durante horas pico, provocando inestabilidad en la red.
• Afectar infraestructuras críticas, aumentando el riesgo de apagones masivos.
• Convertir los inversores en una botnet, utilizada para ataques distribuidos de denegación de servicio (DDoS).

En conclusión, las vulnerabilidades en los inversores solares de Sungrow, Growatt y SMA representan un riesgo significativo para la seguridad energética y cibernética. Se recomienda a los usuarios y empresas que implementen actualizaciones de seguridad, refuercen las configuraciones de acceso y monitoreen sus dispositivos para mitigar posibles ataques.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cloudflare ha anunciado que a partir de ahora solo aceptará conexiones HTTPS seguras en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, eliminando por completo el acceso a través de HTTP. Esta medida refuerza la seguridad al evitar que las solicitudes de API se envíen sin cifrado, reduciendo el riesgo de exposición de información confidencial en redes inseguras.

¿Por qué Cloudflare ha eliminado HTTP en su API?

Anteriormente, la API de Cloudflare permitía el acceso tanto mediante HTTP (sin cifrar) como HTTPS (cifrado), redirigiendo o rechazando las solicitudes HTTP. Sin embargo, incluso cuando una conexión HTTP era rechazada, datos sensibles como claves API o tokens podían quedar expuestos antes de que el servidor cerrara la conexión.

Esta vulnerabilidad era especialmente crítica en redes Wi-Fi públicas o compartidas, donde los ataques de hombre en el medio (MitM) son más comunes. Con esta actualización, todas las conexiones HTTP serán bloqueadas en la capa de transporte, garantizando que la comunicación con la API siempre se realice a través de HTTPS.

Impacto del cambio en los desarrolladores y sistemas automatizados

El cambio afecta a todos los usuarios que aún empleaban HTTP en la API de Cloudflare, incluyendo:

• Scripts, bots y herramientas automatizadas que usaban HTTP.
• Sistemas heredados y dispositivos IoT que no soportan HTTPS o tienen configuraciones incorrectas.
• Clientes automatizados y aplicaciones de bajo nivel que aún dependen de conexiones sin cifrar.

A partir de ahora, cualquier intento de conexión HTTP será completamente rechazado, sin recibir una respuesta HTTP 403 Forbidden. Solo las conexiones HTTPS serán permitidas.

Cloudflare refuerza la seguridad en toda su infraestructura

Para los clientes que administran sitios web a través de Cloudflare, la compañía planea lanzar una opción gratuita a finales de año que permitirá desactivar el tráfico HTTP de forma segura.

Los datos internos de Cloudflare muestran que, aunque la mayoría del tráfico ya es seguro, un 2,4% de todo el tráfico en Internet aún se realiza mediante HTTP inseguro. En el caso del tráfico automatizado, la cifra asciende a un preocupante 17%.

Cómo verificar el impacto del cambio en tu entorno

Los clientes de Cloudflare pueden monitorear el tráfico HTTP frente a HTTPS en su panel de control, navegando a:

Análisis y registros > Tráfico servido a través de SSL

Esto les permitirá evaluar cómo este cambio afectará a sus sistemas antes de optar por participar en la desactivación total del tráfico HTTP.

En fin, con esta medida, Cloudflare fortalece la seguridad de su API y reduce los riesgos de exposición de datos en conexiones inseguras. La adopción total de HTTPS garantiza una comunicación cifrada desde el inicio, protegiendo tanto a desarrolladores como a empresas que dependen de sus servicios. Si aún utilizas HTTP en tu integración con Cloudflare, ahora es el momento de actualizar tus sistemas para evitar interrupciones en el servicio.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Calibre 8.0 ya está disponible y llega con mejoras significativas para la administración de libros electrónicos. Esta popular aplicación de código abierto, utilizada por millones de lectores digitales, incorpora nuevas funcionalidades que optimizan la compatibilidad con dispositivos de lectura, la conversión de formatos y la navegación dentro de los eBooks.

Novedades principales de Calibre 8.0

Mayor compatibilidad con Kobo

Uno de los cambios más destacados en Calibre 8.0 es la mejora en el soporte para dispositivos Kobo. Ahora, los usuarios pueden gestionar archivos en formato KEPUB sin necesidad de conversiones manuales. Además, cualquier archivo EPUB transferido a un lector Kobo se convertirá automáticamente a KEPUB, garantizando una experiencia de lectura más fluida y compatible.

Gestión de carpetas como dispositivos USB

Otra novedad importante es la posibilidad de tratar carpetas como unidades de almacenamiento USB, una función especialmente útil para usuarios de Chromebooks. Gracias a esta mejora, la transferencia de archivos entre Calibre y Chrome OS es ahora más sencilla e intuitiva.

Optimización de la función de texto a voz

El sistema de lectura en voz alta ha sido mejorado con la integración de Piper, lo que aumenta la calidad del sonido y la naturalidad de la narración. Esta funcionalidad es ideal para quienes prefieren escuchar sus libros digitales en lugar de leerlos, proporcionando una experiencia más inmersiva.

Mejoras en el visor de libros y búsqueda avanzada

Calibre 8.0 también ha optimizado su visor de libros electrónicos:

• Mejor navegación en índices de contenido, permitiendo acceder fácilmente a capítulos y secciones.
• Búsqueda avanzada mejorada, que ahora incluye el contenido de archivos comprimidos en ZIP y RAR, facilitando la localización de textos dentro de bibliotecas digitales extensas.

Otras mejoras y correcciones en Calibre 8.0

Como en cada actualización, se han corregido diversos errores y se han implementado mejoras clave:

• Corrección de fallos en la catalogación y administración de metadatos.
• Optimización en la creación y edición de listas de libros.
• Mejoras en la herramienta de visualización de contenido.

Descarga y compatibilidad de Calibre 8.0

Calibre sigue siendo un software de código abierto disponible para Windows, macOS y Linux. Su activa comunidad de desarrolladores garantiza actualizaciones constantes, asegurando su compatibilidad con los últimos dispositivos y tendencias en el sector de los eBooks.

Si buscas una herramienta gratuita, potente y versátil para la gestión de bibliotecas digitales, Calibre 8.0 es la mejor opción. Con sus nuevas características y mejoras, reafirma su posición como el software líder en la administración de eBooks.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Kali Linux 2025.1a es la última versión de la distribución más popular para seguridad informática y pruebas de penetración. Lanzada apenas tres meses después de su versión anterior, esta actualización introduce importantes mejoras visuales y funcionales. Aunque originalmente estaba planeada como Kali Linux 2025.1, un problema técnico obligó a rehacer las imágenes de instalación, dando lugar a la versión final 2025.1a.

Novedades y mejoras en Kali Linux 2025.1a

Diseño renovado y experiencia optimizada

Kali Linux mantiene su enfoque en la experiencia del usuario con una actualización de su tema visual. Ahora, desde el arranque hasta el escritorio, la interfaz presenta un nuevo menú de inicio, una pantalla de bienvenida mejorada y fondos de pantalla actualizados para las ediciones estándar y Purple.

Actualización al kernel Linux 6.12 y entornos de escritorio

Uno de los cambios más relevantes en esta versión es la actualización al kernel Linux 6.12, proporcionando mayor compatibilidad y rendimiento. Además, se incluyen nuevas versiones de los entornos de escritorio:

• KDE Plasma 6.2, reemplazando la versión 5.27.
• Xfce 4.20, una mejora significativa respecto a Xfce 4.18.
• GNOME sigue siendo la edición principal, pero los usuarios pueden optar por las versiones anteriores.

Otras mejoras destacadas

Optimización para Raspberry Pi y Android

• Se ha incorporado un nuevo kernel optimizado para Raspberry Pi, mejorando su rendimiento en estos dispositivos.
• Kali NetHunter, la versión para Android, recibe mejoras significativas en estabilidad y compatibilidad.

Nuevas herramientas y actualizaciones de paquetes

A diferencia de versiones anteriores, Kali Linux 2025.1a ha priorizado la actualización de paquetes sobre la incorporación de nuevas herramientas. Sin embargo, se ha añadido hoaxshell, una utilidad específica para Windows.

Mejoras en infraestructura y distribución

• Optimización de los servidores de distribución.
• Mejoras en la infraestructura del sitio web oficial.
• Correcciones de errores menores para mejorar la estabilidad del sistema.

Descarga Kali Linux 2025.1a


Kali Linux 2025.1a está disponible en múltiples formatos, incluyendo:

• Instaladores tradicionales para x86 y ARM.
• Imágenes para máquinas virtuales y contenedores.
• Soporte para entornos en la nube y Windows Subsystem for Linux (WSL).

Para más información y enlaces de descarga, visita el sitio oficial de Kali Linux.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

OpenStack, la reconocida plataforma de computación en la nube, ha dado un paso crucial al integrarse en The Linux Foundation. Esta decisión fortalece su desarrollo y consolida su posición dentro del ecosistema del software de código abierto.

OpenStack: evolución y adopción global

OpenStack nació en 2010 como un proyecto conjunto entre la NASA y Rackspace. Con el tiempo, se convirtió en una solución clave para la gestión de infraestructuras en la nube. Inicialmente, el proyecto fue gestionado por la OpenStack Foundation, que luego se transformó en la Open Infrastructure Foundation (OpenInfra). Gracias a su flexibilidad y naturaleza abierta, OpenStack ha sido adoptado por grandes empresas, proveedores de servicios y entidades gubernamentales en todo el mundo.

OpenStack como alternativa a VMware

El interés en OpenStack ha aumentado significativamente debido a los recientes cambios en las licencias de VMware tras su adquisición por Broadcom. Muchas organizaciones buscan alternativas viables para evitar riesgos en la continuidad de sus operaciones. En este contexto, la OpenInfra Foundation ha anunciado su integración en The Linux Foundation, organización que respalda proyectos clave dentro del ecosistema de código abierto empresarial.

Unificando las principales tecnologías de código abierto

Esta fusión sitúa a tres de los proyectos más influyentes de la industria bajo una misma institución: Linux, Kubernetes y OpenStack. Sin embargo, OpenInfra no solo gestiona OpenStack, sino que también lidera iniciativas como:

• Kata Containers: sistema de seguridad para contenedores.
• Airship: herramienta para la gestión del ciclo de vida del software.
• Zuul: solución de integración y entrega continua (CI/CD).
• StarlingX: plataforma especializada en edge computing.

El futuro de OpenStack en The Linux Foundation

Durante años, la relación entre OpenInfra y The Linux Foundation, especialmente con la CNCF (Cloud Native Computing Foundation), ha sido variable. La adopción masiva de Kubernetes relegó a OpenStack a un segundo plano, considerándose en ocasiones una tecnología heredada. Sin embargo, la reciente integración de OpenStack en The Linux Foundation marca un nuevo capítulo en su evolución, consolidando su relevancia en el sector.

CitarJonathan Bryce, CEO de OpenInfra, destacó la importancia de esta integración:

"El mercado de infraestructura de centros de datos está en plena transformación, impulsado por la inteligencia artificial, la virtualización y la soberanía digital. Con el respaldo de The Linux Foundation, podemos acelerar la innovación y consolidar un futuro donde el código abierto siga siendo protagonista."

Por su parte, Jim Zemlin, director ejecutivo de The Linux Foundation, celebró esta incorporación y resaltó la colaboración entre ambas comunidades para seguir promoviendo el software libre.

Con esta integración, OpenStack refuerza su papel en la evolución de la computación en la nube y se posiciona como una alternativa sólida y confiable en el ecosistema tecnológico global.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta