Mostrar Mensajes

Información del Perfil

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Dragora

Páginas 1 2 3 4 ... 157

#21

Noticias Informáticas / Ciberataque obliga a UNFI a cerrar sistemas

Junio 09, 2025, 11:53:39 AM

United Natural Foods (UNFI), el mayor distribuidor mayorista de alimentos en América del Norte que cotiza en bolsa, fue víctima de un ciberataque que obligó a desconectar varios de sus sistemas críticos. El incidente, detectado el jueves 5 de junio, ha generado interrupciones temporales en la capacidad de la compañía para procesar y distribuir pedidos, afectando directamente su cadena de suministro en Estados Unidos y Canadá.

UNFI: infraestructura crítica de distribución alimentaria

Con sede en Rhode Island, UNFI opera 53 centros de distribución y abastece productos frescos, congelados y de despensa a más de 30,000 ubicaciones, incluyendo supermercados, minoristas independientes, plataformas de comercio electrónico, tiendas especializadas en productos naturales y clientes del sector de servicios alimentarios.

En agosto de 2024, la empresa reportó ingresos anuales superiores a 31,000 millones de dólares, trabaja con más de 11,000 proveedores y cuenta con una plantilla que supera los 28,000 empleados.

Detalles del ataque cibernético

Según una presentación 8-K ante la Comisión de Bolsa y Valores de EE. UU. (SEC) y un comunicado oficial en su sitio web, UNFI activó inmediatamente su plan de respuesta ante incidentes de ciberseguridad, aplicando medidas de contención como la desconexión proactiva de ciertos sistemas tecnológicos.

Citar"El incidente ha causado, y se espera que continúe causando, interrupciones temporales en las operaciones comerciales de la compañía", indicó UNFI.

Aunque aún no se ha confirmado la naturaleza exacta del ciberataque, ni si hubo robo de datos, la empresa ya notificó a las autoridades competentes y ha contratado a firmas especializadas en ciberseguridad para llevar a cabo una investigación forense.

Medidas adoptadas para restaurar operaciones

Con el objetivo de garantizar la continuidad del servicio, UNFI ha implementado soluciones alternativas mientras trabaja en el restablecimiento seguro de sus sistemas comprometidos. La empresa también ha reafirmado su compromiso con la transparencia y la protección de sus clientes.

Citar"La compañía continúa trabajando para restaurar sus sistemas de manera segura y minimizar el impacto en sus operaciones y en la cadena de suministro", agregó el comunicado.

Reacción del público y contexto en la industria

La noticia del ciberataque se propagó rápidamente por redes sociales, donde empleados y usuarios reportaron interrupciones en los sistemas y cancelaciones de turnos laborales. A pesar del interés mediático, la empresa no ha respondido a solicitudes de comentarios por parte de medios como BleepingComputer.

UNFI se suma así a una lista creciente de empresas del sector alimentario que han sido víctimas de ciberataques en los últimos años. En marzo, por ejemplo, Sam's Club, propiedad de Walmart, informó sobre una posible brecha vinculada al ransomware Clop. En 2021, JBS Foods, el mayor productor mundial de carne de vacuno, pagó 11 millones de dólares tras ser afectado por un ataque de ransomware REvil que paralizó su producción global.

Riesgos crecientes en la industria alimentaria

Este incidente destaca nuevamente la creciente amenaza que representa el ransomware y los ciberataques dirigidos a infraestructuras críticas, especialmente en sectores como la distribución de alimentos. La dependencia de sistemas digitales para la gestión logística y la entrega de productos convierte a empresas como UNFI en objetivos de alto valor para actores maliciosos.

A medida que estos ataques se vuelven más frecuentes y sofisticados, es fundamental que las empresas del sector refuercen sus estrategias de ciberseguridad proactiva, incluyendo evaluaciones de riesgos, formación del personal y protocolos de recuperación ante incidentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#22

Noticias Informáticas / Vulnerabilidad crítica en Roundcube (CVE-2025-49113)

Junio 04, 2025, 05:37:56 PM

Una vulnerabilidad crítica ha sido descubierta en Roundcube Webmail, una de las plataformas de correo web más utilizadas en entornos corporativos y gubernamentales. El fallo de seguridad, identificado como CVE-2025-49113, ha pasado inadvertido durante más de diez años y permite a atacantes autenticados ejecutar código arbitrario en servidores vulnerables.

Con una puntuación CVSS de 9.9 sobre 10, esta falla representa una amenaza significativa para miles de servidores que aún ejecutan versiones antiguas de Roundcube. La vulnerabilidad afecta a todas las versiones anteriores a 1.6.11 y 1.5.10 LTS, y ha sido clasificada como una ejecución remota de código post-autenticación provocada por una deserialización insegura de objetos PHP.

Detalles técnicos de la vulnerabilidad CVE-2025-49113

De acuerdo con la Base de Datos Nacional de Vulnerabilidades (NVD) del Instituto Nacional de Estándares y Tecnología (NIST), el fallo se produce porque el parámetro _from en la URL de program/actions/settings/upload.php no se valida adecuadamente. Esto permite la deserialización de objetos PHP, abriendo la puerta a que un atacante autenticado ejecute comandos arbitrarios en el servidor.

Citar"Roundcube Webmail antes de 1.5.10 y 1.6.x antes de 1.6.11 permite la ejecución remota de código por parte de usuarios autenticados porque el parámetro _from no está validado en upload.php", describe el NIST.

La falla fue descubierta por Kirill Firsov, fundador y CEO de la empresa de ciberseguridad FearsOff, con sede en Dubái. La compañía ha señalado que publicará más información técnica y una prueba de concepto (proof of concept, PoC) en los próximos días, brindando tiempo suficiente para que los usuarios apliquen los parches de seguridad.

Impacto y versiones afectadas

Esta vulnerabilidad impacta directamente a todas las implementaciones de Roundcube Webmail que aún no han sido actualizadas a las versiones 1.6.11 o 1.5.10 LTS, las cuales ya contienen el parche correspondiente.

Los expertos recomiendan enfáticamente actualizar inmediatamente a estas versiones para mitigar el riesgo. No aplicar la actualización expone a las organizaciones a ataques dirigidos y pérdida de información crítica.

Roundcube en la mira de actores estatales

Esta no es la primera vez que Roundcube es objetivo de actores de amenazas avanzadas. En 2024, se reportaron múltiples ataques que explotaban vulnerabilidades similares, incluyendo CVE-2024-37383, con el objetivo de comprometer cuentas de correo electrónico y obtener credenciales.

El grupo de ciberespionaje APT28, vinculado a la inteligencia militar rusa, fue observado aprovechando vulnerabilidades en Roundcube, Zimbra, Horde y MDaemon para acceder a correos electrónicos de entidades gubernamentales y empresas de defensa, principalmente en Europa del Este.

Recientemente, ESET reportó que APT28 utilizó ataques de tipo XSS (Cross-Site Scripting) para explotar fallas en múltiples servidores de correo web, incluida Roundcube, recopilando información confidencial de usuarios específicos.

Confirmación por parte de Positive Technologies

La empresa de ciberseguridad Positive Technologies también confirmó la existencia de CVE-2025-49113 tras reproducir con éxito la vulnerabilidad. En una publicación en su cuenta oficial de X (antes Twitter), instó a las organizaciones a aplicar la última actualización de seguridad sin demora.

Citar"Esta vulnerabilidad permite a los usuarios autenticados ejecutar comandos arbitrarios a través de la deserialización de objetos PHP", indicó la firma rusa.

Recomendaciones para administradores de sistemas

Para mitigar esta amenaza de forma inmediata, se recomienda lo siguiente:

Actualizar Roundcube a la versión 1.6.11 o 1.5.10 LTS sin demora.
Aplicar políticas de seguridad adicionales para monitorear actividad sospechosa de usuarios autenticados.
Auditar los sistemas de correo web y analizar posibles compromisos previos.
Estar atentos a la publicación de PoC y nuevas actualizaciones por parte de FearsOff y Positive Technologies.

En fin, la vulnerabilidad CVE-2025-49113 en Roundcube representa un riesgo crítico para organizaciones que dependen de este sistema de correo web. Dada la alta severidad y la posibilidad de ejecución remota de código, la actualización inmediata es esencial para prevenir ataques cibernéticos y proteger la integridad de los sistemas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#23

Noticias Informáticas / Crocodilus: Troyano Bancario para Android se Expande a Europa y Sudamérica

Junio 04, 2025, 05:31:38 PM

Un número creciente de campañas maliciosas está explotando un nuevo troyano bancario para Android llamado Crocodilus, apuntando a usuarios en Europa, América del Sur y otras regiones. Este malware, recientemente analizado en un informe de ThreatFabric, ha evolucionado rápidamente y ahora emplea técnicas avanzadas de ofuscación, nuevas funcionalidades y métodos de distribución sofisticados para evadir la detección y comprometer dispositivos móviles.

Expansión global del malware Crocodilus

Detectado por primera vez en marzo de 2025, Crocodilus comenzó atacando principalmente a usuarios de España y Turquía, haciéndose pasar por aplicaciones legítimas como Google Chrome. Desde entonces, su alcance geográfico se ha ampliado considerablemente, con nuevas campañas dirigidas a Polonia, Argentina, Brasil, India, Indonesia y Estados Unidos.

Las investigaciones más recientes revelan que los operadores de Crocodilus están activos y mantienen una estrategia de desarrollo constante. Esto incluye mejoras técnicas y la incorporación de funciones adicionales que refuerzan su capacidad para robar credenciales bancarias, frases semilla de criptomonedas y otros datos sensibles.

Técnicas de infección y distribución

Crocodilus emplea varios vectores de distribución. En Polonia, por ejemplo, los ciberdelincuentes utilizan anuncios falsos en Facebook que simulan ser plataformas bancarias o de comercio electrónico. Las víctimas son atraídas con supuestos puntos de bonificación y redirigidas a sitios maliciosos desde donde se descarga el malware.

Otras campañas se presentan como actualizaciones del navegador web o incluso como aplicaciones de casinos en línea, especialmente en España y Turquía. Este tipo de ingeniería social es clave para inducir a los usuarios a instalar voluntariamente el troyano en sus dispositivos Android.

Capacidades del troyano bancario Crocodilus

Crocodilus es un malware altamente sofisticado con funciones avanzadas como:

Ataques de superposición (overlay attacks): Suplantación de aplicaciones financieras legítimas para capturar nombres de usuario y contraseñas.
Abuso de servicios de accesibilidad: Permite registrar entradas de teclado, leer la pantalla y controlar el dispositivo sin interacción del usuario.
Robo de frases semilla y claves privadas: Captura frases asociadas a billeteras de criptomonedas, permitiendo el vaciamiento de activos digitales.
Creación remota de contactos falsos: Recientemente, el malware puede agregar automáticamente contactos a la agenda del usuario tras recibir el comando "TRU9MMRHBCRO".

Este último desarrollo podría ser una respuesta directa a las nuevas funciones de seguridad introducidas por Google en Android, que alertan a los usuarios cuando se inicia una aplicación bancaria durante una sesión de pantalla compartida. Al añadir un contacto falso con nombre como "Soporte bancario", el atacante puede engañar al usuario simulando una llamada legítima y potencialmente evadir los sistemas antifraude que detectan números desconocidos.

El peligro del recopilador automatizado de frases semilla

Una de las funcionalidades más alarmantes de las variantes recientes de Crocodilus es un analizador automático de frases semilla, diseñado para extraer frases clave y claves privadas de aplicaciones específicas de billeteras cripto. Esta automatización aumenta significativamente el riesgo de robo masivo de criptomonedas y expone a usuarios desprevenidos a pérdidas económicas severas.

Crocodilus: una amenaza en evolución para Android

La evolución constante del troyano Crocodilus y su expansión fuera de sus regiones iniciales reflejan una tendencia preocupante: los malware bancarios para Android se están volviendo más globales, sofisticados y persistentes. A medida que los atacantes refuerzan sus herramientas, los usuarios y las instituciones deben aumentar su vigilancia y adoptar prácticas de seguridad más robustas.

Recomendaciones:

Evita descargar aplicaciones desde enlaces en redes sociales o anuncios.
Verifica siempre la legitimidad de una app en Google Play Store.
Utiliza soluciones de seguridad móvil que incluyan detección de malware bancario.
No compartas tu pantalla al utilizar apps financieras.
Mantén Android y todas tus apps actualizadas con los últimos parches de seguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#24

Noticias Informáticas / Incautan BidenCash: EE. UU. desmantela mercado de tarjetas robadas

Junio 04, 2025, 05:25:17 PM

En una operación internacional liderada por el Servicio Secreto de Estados Unidos (USSS) y la Oficina Federal de Investigaciones (FBI), las autoridades incautaron varios dominios asociados al mercado ilegal BidenCash, una conocida plataforma de la web oscura dedicada a la compraventa de tarjetas de crédito robadas, datos personales y accesos SSH.

Incautación de dominios de BidenCash: golpe a la web oscura

Los principales dominios vinculados a BidenCash ahora redirigen al sitio oficial del Servicio Secreto (usssdomainseizure.com), donde una pancarta informa que la incautación forma parte de una operación internacional contra el crimen cibernético. Esta acción fue respaldada por la Policía Nacional Holandesa (Politie), la fundación de ciberseguridad The ShadowServer Foundation y la empresa Searchlight Cyber, especializada en visibilidad de superficie de ataque en tiempo real.

Según el investigador de seguridad g0njxa, incluso el dominio de BidenCash en la web clara con el TLD .asia fue redirigido a la página del Servicio Secreto. Sin embargo, algunos dominios secundarios del mercado todavía estarían activos, según informes no confirmados.

BidenCash: mercado ilegal con millones en ingresos

Un comunicado oficial del Departamento de Justicia de EE. UU. reveló que la operación permitió confiscar más de 145 dominios y criptomonedas asociadas con BidenCash. Desde su creación en marzo de 2022, el sitio operaba cobrando comisiones por cada transacción, generando más de 17 millones de dólares en ingresos ilícitos.

El mercado contaba con más de 117.000 usuarios registrados y facilitó el tráfico de más de 15 millones de números de tarjetas de pago, junto con información de identificación personal (PII) de las víctimas.

Filtraciones masivas y promoción delictiva

Desde sus inicios, los operadores de BidenCash intentaron ganar notoriedad mediante filtraciones masivas. En junio de 2022, liberaron una base de datos con 6.600 tarjetas y millones de correos electrónicos. En octubre del mismo año, filtraron otra con 1,2 millones de tarjetas de crédito, en su mayoría pertenecientes a ciudadanos estadounidenses, con fechas de vencimiento entre 2023 y 2026.

En 2023, siguieron promoviendo sus servicios con dos nuevas filtraciones que sumaron más de 4 millones de tarjetas de crédito expuestas. Estas acciones tenían como objetivo captar más compradores y reforzar su presencia como sustituto del desaparecido mercado Joker's Stash.

Evolución del fraude con tarjetas: de malware PoS a skimming web

Durante décadas, los mercados ilegales de tarjetas como BidenCash se han nutrido de datos obtenidos a través de malware de puntos de venta (PoS) y técnicas de web skimming. Inicialmente, los ciberdelincuentes utilizaban malware que extraía los datos directamente de la memoria de los terminales de pago. Más recientemente, plantan código malicioso en tiendas en línea para capturar la información de tarjetas durante el proceso de pago.

Acciones recientes contra el fraude financiero

El Servicio Secreto de EE. UU. continúa liderando operaciones contra el fraude financiero, incluyendo casos de tarjetas de crédito robadas, lavado de dinero y estafas con criptomonedas. A finales de mayo de 2025, junto a socios estatales y locales, la agencia inspeccionó más de 411 negocios físicos en busca de dispositivos de skimming en cajeros automáticos, estaciones de gasolina y terminales PoS.

Aunque solo se incautaron 17 skimmers, se estima que la operación previno pérdidas superiores a los 5 millones de dólares.

En fin, la incautación de los dominios de BidenCash representa un golpe importante contra el ecosistema de ciberdelincuencia financiera en la web oscura. Aunque estos mercados suelen intentar reactivarse bajo nuevos dominios, las acciones coordinadas de agencias como el USSS, FBI y sus aliados internacionales son claves para desmantelar las infraestructuras que sustentan el tráfico de tarjetas de crédito robadas y la suplantación de identidad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#25

Noticias Informáticas / Ciberataque de Ucrania a Tupolev: GUR accede a datos clasificados de la defensa

Junio 04, 2025, 05:20:36 PM

La Dirección Principal de Inteligencia (GUR) del Ministerio de Defensa de Ucrania ha llevado a cabo un ciberataque exitoso contra Tupolev, la reconocida empresa aeroespacial y de defensa de Rusia responsable del desarrollo de bombarderos estratégicos supersónicos como el Tu-160, Tu-22 y Tu-95. Según medios ucranianos, esta operación forma parte de una serie de acciones ofensivas cibernéticas que buscan debilitar la infraestructura militar rusa desde dentro.

Hackeo a Tupolev: 4,4 GB de datos confidenciales comprometidos

Una fuente interna del GUR reveló que los expertos en ciberinteligencia militar accedieron a los sistemas internos de Tupolev, extrayendo aproximadamente 4,4 gigabytes de información clasificada. Este conjunto de datos incluye:

Información personal del personal de Tupolev
Comunicaciones internas de la dirección ejecutiva
Documentación sobre adquisiciones militares
Currículums de ingenieros y diseñadores
Actas de reuniones privadas y estratégicas

Aunque no se ha especificado la fecha exacta del compromiso, la fuente indicó que los hackers estuvieron infiltrados durante un periodo prolongado, lo que permitió recopilar información adicional que podría utilizarse en futuras operaciones contra otras organizaciones del sector defensa en Rusia.

Citar"El valor de los datos obtenidos es difícil de exagerar. Prácticamente no queda nada secreto sobre las operaciones de Tupolev desde la perspectiva de la inteligencia ucraniana", afirmó la fuente anónima al Kyiv Post.

Impacto en la industria de defensa rusa

Además del robo de información, los agentes del GUR desfiguraron el sitio web oficial de Tupolev, insertando una imagen simbólica de un búho con un avión entre sus garras. Actualmente, el dominio redirige al sitio de United Aircraft Corporation (UAC), conglomerado estatal que agrupa a fabricantes como Tupolev, Mikoyan, Ilyushin, Sukhoi, Yakovlev e Irkut.

Un portavoz de UAC no estuvo disponible para comentarios al momento de la publicación, según informó BleepingComputer.

Este ciberataque se suma a una ofensiva más amplia que incluye la reciente operación del Servicio de Seguridad de Ucrania (SBU), en la que se utilizaron drones FPV (visión en primera persona) para atacar simultáneamente 41 aviones de combate estacionados en cuatro aeródromos rusos. Entre los objetivos se encontraban aeronaves de vigilancia A-50 y bombarderos estratégicos Tu-160, Tu-22 y Tu-95.

GUR intensifica operaciones cibernéticas contra entidades rusas

No es la primera vez que la inteligencia militar ucraniana ataca a entidades clave de la Federación Rusa. Anteriormente, el GUR afirmó haber comprometido los servidores del Ministerio de Defensa ruso (Minoborony), accediendo a documentos secretos y datos altamente confidenciales.

Asimismo, se han reportado violaciones a otras instituciones rusas, incluyendo:

La Agencia Federal de Transporte Aéreo (Rosaviatsia)
El Centro Ruso de Hidrometeorología Espacial
El Servicio Federal de Impuestos (FNS)

En algunos casos, los atacantes ucranianos también destruyeron bases de datos y borraron servidores de respaldo, provocando interrupciones operativas significativas.

Hacktivismo ucraniano contra objetivos rusos desde 2014

Desde el inicio de la agresión rusa en 2014, diversos grupos de hacktivistas ucranianos han participado en operaciones cibernéticas contra infraestructura crítica rusa. Un ejemplo reciente ocurrió en enero, cuando la Alianza Cibernética Ucraniana (UCA) hackeó al proveedor de servicios de Internet ruso Nodex, eliminando sistemas y copias de seguridad.

La UCA también ha reclamado ataques exitosos contra:

Vladislav Surkov, asesor político de Vladimir Putin
El Ministerio de Defensa ruso
El Ministerio de Carbón y Energía de la República Popular de Donetsk
El Instituto de la Comunidad de Estados Independientes, financiado por Gazprom
Diversos oficiales militares y medios de comunicación rusos

Ucrania intensifica la guerra cibernética contra Rusia

El ataque a Tupolev representa un importante golpe para la industria de defensa rusa, afectando directamente su capacidad de operación y desarrollo estratégico. La guerra cibernética liderada por Ucrania, tanto desde el ámbito oficial como desde el activismo digital, continúa escalando en complejidad y alcance, consolidándose como una herramienta clave en el conflicto geopolítico actual.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#26

Noticias Informáticas / AxOS: Distribución Linux basada en Arch con diseño moderno y alto rendimiento

Junio 02, 2025, 12:05:20 PM

AxOS está ganando reconocimiento entre los entusiastas del software libre y usuarios avanzados de Linux. Aunque su presencia en línea aún es emergente, cada vez más personas exploran esta prometedora distribución Linux personalizada, que busca unir la potencia de Arch Linux con una experiencia visual moderna y accesible. En esta guía detallada te explicamos qué es AxOS, cómo nació el proyecto, cuáles son sus principales características técnicas, su filosofía de desarrollo y cómo puedes unirte a su comunidad.

Si estás buscando una alternativa a las distribuciones tradicionales de Linux, ya sea como usuario avanzado o principiante curioso, AxOS Linux podría ser el sistema operativo que necesitas.

¿Qué es AxOS?

AxOS es un sistema operativo de código abierto basado en Arch Linux, desarrollado por una comunidad francófona con un enfoque en la usabilidad y el diseño visual. Aunque parte de la robustez de Arch, AxOS no es un simple fork: es una reinterpretación que aporta una identidad propia, facilitando el acceso al ecosistema Arch sin renunciar a la personalización ni a una interfaz más cuidada.

Esta distribución Linux se caracteriza por su enfoque rolling release, su arquitectura ligera y su flexibilidad para adaptarse a distintos perfiles de usuario, desde desarrolladores hasta entusiastas del escritorio.

Filosofía y origen del proyecto AxOS
AxOS nace de una visión colaborativa, donde la comunidad es el motor del desarrollo. Según indican sus creadores en el repositorio oficial de GitHub, cualquier persona puede contribuir, sugerir mejoras o participar activamente en el crecimiento del proyecto.

Distribuido bajo la licencia GNU General Public License (GPL), AxOS es 100% libre y abierto, lo que significa que puedes descargarlo, modificarlo y redistribuirlo sin restricciones más allá de las condiciones de la GPL. Toda la documentación técnica, actualizaciones y recursos adicionales están disponibles tanto en la web oficial de AxOS como en su espacio en GitHub.

Características técnicas de AxOS

AxOS destaca entre las distribuciones derivadas de Arch Linux por su equilibrio entre rendimiento, estética y facilidad de uso. Estas son algunas de sus funcionalidades más relevantes:

Versatilidad y personalización: Al seguir el modelo de instalación mínima de Arch Linux, AxOS permite configurar el sistema desde cero, adaptándolo completamente a tus necesidades.
Diseño refinado: El equipo de desarrollo cuida cada detalle visual, integrando temas, iconos y fondos que ofrecen una experiencia moderna, clara y agradable.
Actualizaciones continuas: Gracias a su modelo rolling release, AxOS permanece al día sin necesidad de reinstalaciones completas con cada nueva versión.
Documentación útil: El proyecto cuenta con manuales descargables, como la guía en PDF sobre AxosVisual, enfocada en la gestión de inventarios y sistemas, accesible desde la web oficial.

Instalación de AxOS paso a paso

El proceso de instalación de AxOS es muy similar al de Arch Linux, aunque con ciertas adaptaciones pensadas para facilitar el acceso a usuarios menos experimentados:

Descarga la imagen ISO desde el sitio oficial o GitHub.
Graba la ISO en una memoria USB utilizando herramientas como Rufus, Balena Etcher o la terminal.
Inicia el equipo desde el USB y sigue las instrucciones del instalador de AxOS.
Elige el entorno de escritorio y las aplicaciones que deseas incluir.
Completa la instalación y reinicia el sistema.

Una vez instalado, el sistema permite una amplia personalización, como es característico en la familia Arch.

Comunidad de AxOS: contribuye y participa

La comunidad de AxOS es aún pequeña, pero está activa y abierta a nuevas contribuciones. A través de GitHub, cualquier usuario puede:

Reportar errores o bugs.
Proponer mejoras o nuevas funciones.
Participar en discusiones sobre el rumbo del proyecto.
Consultar el código fuente y sugerir pull requests.

Además, se promueve el respeto a las normas básicas de convivencia, como aceptar la licencia, revisar los archivos de contribución y seguir el código de conducta del proyecto.

Relación de AxOS con Arch Linux

AxOS aprovecha toda la potencia de Arch Linux: utiliza su gestor de paquetes pacman, su sistema de actualizaciones continuas y su arquitectura de instalación modular. Esto garantiza compatibilidad, seguridad y rendimiento.

Sin embargo, AxOS añade su propio valor al integrar mejoras visuales y funcionales que simplifican la curva de aprendizaje y mejoran la experiencia de usuario desde el primer uso.

Usabilidad y rendimiento: una combinación destacada

Una de las principales fortalezas de AxOS es su capacidad para equilibrar rendimiento con una interfaz visual moderna. Gracias a su base ligera, puede ejecutarse en equipos con recursos modestos, mientras que su enfoque en el diseño mejora la interacción diaria con el sistema.

Aunque el proyecto aún se encuentra en desarrollo activo, sus actualizaciones frecuentes garantizan estabilidad, seguridad y nuevas funcionalidades. El equipo se esfuerza por facilitar una experiencia accesible para todo tipo de usuarios, sin sacrificar control ni personalización.

Recursos y visibilidad en línea

Pese a ser un proyecto joven, AxOS cuenta con una creciente presencia digital:

Sitio web oficial: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Repositorio GitHub con código y documentación.
Manuales en PDF, como el de AxosVisual, orientado a gestión de inventarios y sistemas.
Menciones en redes como LinkedIn y primeras apariciones en YouTube con reseñas y tutoriales.
Seguimiento emergente en plataformas como DistroWatch.

Este es un momento ideal para quienes deseen contribuir con contenido, guías o videos, ya que el ecosistema aún está en expansión.

Licencia libre y derechos de uso

AxOS se distribuye bajo la GNU GPL, lo que permite su uso, modificación y redistribución de manera completamente legal y gratuita. Todos los detalles sobre licencias están disponibles en los archivos del repositorio y en la documentación incluida en la imagen ISO.

¿Por qué elegir AxOS?

AxOS es ideal si buscas un sistema operativo que combine:

La potencia y libertad de Arch Linux.
Una interfaz visual refinada.
Actualizaciones constantes sin complicaciones.
Una comunidad abierta al desarrollo colaborativo.
Flexibilidad total para personalizar tu entorno.

Ya seas un usuario avanzado de Linux o estés buscando tu primera distribución Arch simplificada, AxOS es una opción prometedora que vale la pena explorar.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#27

Noticias Informáticas / Campaña de spear-phishing usa NetBird para atacar a ejecutivos financieros

Junio 02, 2025, 11:56:17 AM

Investigadores de ciberseguridad han descubierto una sofisticada campaña de spear-phishing dirigida a directores financieros (CFO) y altos ejecutivos del sector bancario, energético, asegurador e inversionista. Esta operación maliciosa utiliza NetBird, una herramienta legítima de acceso remoto basada en WireGuard, como vector de ataque para establecer persistencia en los sistemas comprometidos.

La actividad fue detectada por Trellix a mediados de mayo de 2025, aunque aún no ha sido atribuida a ningún grupo de amenazas conocido. El investigador Srini Seethapathy describió el ataque como una operación en múltiples fases que explota la confianza en herramientas empresariales legítimas para evadir medidas de seguridad.

Fase inicial: phishing dirigido con suplantación de reclutadores

El ataque comienza con un correo electrónico de phishing que simula provenir de un reclutador de Rothschild & Co., ofreciendo una "oportunidad estratégica". El mensaje incluye un supuesto archivo PDF, que en realidad redirige a una URL oculta dentro de Firebase. La URL de redireccionamiento está encriptada y solo puede ser accedida tras completar un CAPTCHA personalizado, una técnica utilizada para eludir mecanismos automatizados de detección como Cloudflare Turnstile o Google reCAPTCHA.

Una vez completado el CAPTCHA, se descarga un archivo ZIP malicioso que contiene un VBScript diseñado para recuperar e iniciar un segundo script desde un servidor externo. Este script descarga un archivo adicional, lo renombra a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y extrae dos instaladores MSI: uno para NetBird y otro para OpenSSH.

Persistencia y evasión: cómo se oculta el ataque

El malware instala ambos programas en el sistema, crea una cuenta de usuario local oculta, habilita el acceso remoto al escritorio y configura tareas programadas para asegurar la persistencia de NetBird tras reinicios. También elimina accesos directos visibles al software instalado, dificultando la detección del compromiso.

Trellix identificó otra URL maliciosa activa desde hace casi un año, que distribuye el mismo payload, lo que sugiere que esta campaña podría llevar operando en secreto desde hace meses.

Tendencias: abuso de herramientas legítimas y ataques de ingeniería social

Este ataque se alinea con una tendencia creciente en la que los ciberdelincuentes utilizan aplicaciones legítimas de acceso remoto como ConnectWise, ScreenConnect, Atera, Splashtop, FleetDeck y LogMeIn Resolve. Estas herramientas, diseñadas para administración remota, son aprovechadas por actores maliciosos para establecer persistencia sin levantar sospechas.

CitarSegún Seethapathy:

"Este ataque no es una estafa de phishing común. Está cuidadosamente diseñado, con múltiples capas, dirigido a personas clave y adaptado para eludir tanto tecnologías de defensa como la conciencia del usuario."

Más campañas de phishing activas en 2025

El informe coincide con la aparición de múltiples campañas de phishing en curso, entre ellas:

Uso de dominios de confianza de ISPs japoneses para eludir filtros SPF y DKIM.
Abuso de Google Apps Script para alojar páginas de phishing que roban credenciales de Microsoft.
Imitaciones de facturas de Apple Pay para robar información bancaria y cuentas de correo.
Páginas de phishing en Notion para capturar credenciales mediante enlaces falsos.
Explotación de la vulnerabilidad CVE-2017-11882 en Microsoft Office para distribuir el malware Formbook oculto en archivos PNG.

Auge del phishing como servicio (PhaaS) y automatización de ataques

En paralelo, Trustwave ha expuesto la conexión entre los kits de phishing Tycoon y DadSec (alias Storm-1575 según Microsoft), que comparten infraestructura centralizada. DadSec está vinculado a una nueva campaña que utiliza la plataforma Tycoon 2FA, diseñada para eludir mecanismos de autenticación multifactor (MFA) mediante ataques tipo adversario-en-el-medio (AiTM).

También se ha detectado el kit de phishing Haozi, de origen chino, que ha generado más de 280.000 dólares en actividades ilícitas en cinco meses. Este servicio PhaaS de suscripción anual (2.000 dólares) proporciona una interfaz web automatizada y soporte vía Telegram para que incluso actores sin conocimientos técnicos puedan lanzar campañas de phishing.

Nuevas tácticas: phishing de dispositivos, OAuth y unión de dominio

Microsoft ha advertido sobre el uso de nuevas técnicas por parte de actores de amenazas vinculados a Rusia y otros grupos avanzados, incluyendo:

Phishing de códigos de dispositivos.
Phishing de consentimiento OAuth, con enlaces maliciosos disfrazados de aplicaciones legítimas.
Phishing de unión de dispositivos, que engaña al usuario para registrar dispositivos en dominios controlados por el atacante.

Estas técnicas aprovechan errores humanos más que fallos técnicos, consolidando el phishing como la principal amenaza cibernética en 2025.

Concienciación, defensa activa y visibilidad

Las campañas de spear-phishing como esta representan un riesgo crítico para organizaciones en todo el mundo. La combinación de herramientas legítimas, evasión de detección y técnicas de ingeniería social avanzadas demuestra la necesidad de adoptar enfoques de seguridad proactivos.

Según Igor Sakhnov, CISO adjunto de Microsoft:

"Aunque las tecnologías de detección han mejorado, los atacantes siguen explotando el comportamiento humano. La formación continua y el conocimiento de las tácticas más comunes son esenciales para prevenir estos ataques."

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#28

Noticias Informáticas / Russian Market: el mayor mercado de credenciales robadas por malware infostealer

Junio 02, 2025, 11:46:17 AM

El mercado de ciberdelincuencia Russian Market se ha consolidado como una de las plataformas más populares para la compra y venta de credenciales robadas mediante malware ladrón de información (infostealers). Según un informe reciente de ReliaQuest, este mercado ruso ha experimentado un crecimiento significativo, especialmente tras la eliminación del conocido Genesis Market, que dejó un vacío importante en el panorama criminal.

Auge de Russian Market tras la caída de Genesis Market

Aunque Russian Market ha estado activo durante aproximadamente seis años, fue en 2022 cuando comenzó a ganar notoriedad. En 2025, su popularidad alcanzó nuevas alturas, en parte debido a la desaparición de Genesis Market, lo que impulsó a ciberdelincuentes a migrar hacia esta plataforma.

A pesar de que el 85% de las credenciales vendidas en Russian Market se "reciclan" de otras fuentes, su oferta de registros a precios bajos (desde $2 por archivo) y su facilidad de acceso lo han convertido en una referencia para los actores de amenazas.

¿Qué contiene un registro robado por malware infostealer?

Un registro de infostealer es un archivo (o conjunto de archivos) generado por un malware ladrón de información, y puede contener:

Contraseñas de cuentas
Cookies de sesión
Datos de tarjetas de crédito
Credenciales de carteras de criptomonedas
Información del sistema del dispositivo infectado

Cada registro puede incluir docenas, e incluso miles, de credenciales, lo que multiplica exponencialmente el valor del botín. Posteriormente, estos datos robados se cargan en servidores controlados por ciberdelincuentes, y se revenden en mercados como Russian Market para su uso en ataques posteriores.

Enfoque en empresas: SaaS y credenciales SSO en la mira

Los malware infostealers se han vuelto una herramienta clave para los actores de amenazas que buscan acceder a cuentas empresariales. ReliaQuest destaca que:

El 61% de los registros disponibles en Russian Market contienen credenciales SaaS de plataformas como Google Workspace, Zoom y Salesforce.
El 77% de los registros incluyen credenciales SSO (Single Sign-On), lo que permite a los atacantes acceder a múltiples servicios con un solo conjunto de credenciales.

Citar"Las cuentas en la nube comprometidas permiten a los atacantes acceder a sistemas críticos y representan una oportunidad para el robo de datos confidenciales", explican los investigadores de ReliaQuest.

Lumma Stealer en declive, Acreed en ascenso

El informe también analiza la evolución de los malware infostealers predominantes en Russian Market. Hasta hace poco, Lumma Stealer dominaba el mercado, representando el 92% de los registros robados publicados en la plataforma.

Lumma tomó protagonismo tras el colapso de Raccoon Stealer, desmantelado por una operación de las fuerzas del orden. Sin embargo, recientemente, una operación policial global incautó más de 2.300 dominios asociados a Lumma, interrumpiendo significativamente sus actividades.

Aunque sus desarrolladores intentan reconstruir y reiniciar la infraestructura de Lumma, según Check Point, su presencia en el mercado ha disminuido, abriendo paso a nuevos actores.

Acreed: el nuevo infostealer que conquista Russian Market

ReliaQuest ha observado un rápido crecimiento de Acreed, un nuevo malware ladrón de información que ha ganado tracción tras el declive de Lumma. Según Webz, Acreed logró más de 4.000 registros robados en su primera semana de actividad en Russian Market.

Acreed funciona de manera similar a otros infostealers: roba información almacenada en navegadores como Chrome, Firefox y sus derivados, incluyendo:

Contraseñas
Cookies de sesión
Billeteras de criptomonedas
Datos de tarjetas de crédito

Vectores de infección: cómo operan los infostealers
Los métodos de distribución de malware infostealer más comunes incluyen:

Correos electrónicos de phishing
Campañas de ClickFix
Publicidad maliciosa de software pirata
Contenido en plataformas como YouTube y TikTok

Estas técnicas buscan engañar a los usuarios para que descarguen e instalen software malicioso que compromete sus dispositivos y datos.

Recomendaciones de seguridad

Para minimizar el riesgo de infección con malware infostealer y evitar que tus credenciales terminen en Russian Market, se recomienda:

Evitar descargar software de fuentes no oficiales
Utilizar soluciones de seguridad actualizadas
Habilitar la autenticación multifactor (MFA)
Educar a los empleados sobre amenazas de phishing y enlaces maliciosos

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#29

Noticias Informáticas / Qualcomm corrige fallos de día cero en GPU Adreno

Junio 02, 2025, 11:37:14 AM

Qualcomm ha lanzado parches de seguridad críticos para tres vulnerabilidades de día cero que afectan a los controladores de la unidad de procesamiento gráfico (GPU) Adreno, utilizados en decenas de chipsets. Estas vulnerabilidades están siendo activamente explotadas en ataques dirigidos, lo que ha generado preocupación en la comunidad de ciberseguridad.

Vulnerabilidades críticas en GPU Adreno: CVE-2025-21479, CVE-2025-21480 y CVE-2025-27038

Según Qualcomm, dos de estas fallas críticas —CVE-2025-21479 y CVE-2025-21480— fueron reportadas inicialmente por el equipo de seguridad de Android de Google en enero de 2025. La tercera vulnerabilidad, clasificada como de alta gravedad y registrada como CVE-2025-27038, fue reportada en marzo del mismo año.

Las dos primeras vulnerabilidades están relacionadas con errores de autorización en el marco gráfico, que pueden derivar en corrupción de memoria cuando se ejecutan comandos no autorizados en el micronodo de la GPU dentro de una secuencia específica. Por su parte, CVE-2025-27038 es una vulnerabilidad de tipo use-after-free que permite daños en la memoria al renderizar gráficos con los controladores Adreno en el navegador Google Chrome.

Explotación activa y advertencias de Google TAG

El Grupo de Análisis de Amenazas (TAG) de Google ha detectado señales de que estas tres vulnerabilidades están siendo explotadas de forma limitada y dirigida. Qualcomm emitió un boletín de seguridad el lunes, advirtiendo sobre la urgencia de actualizar los dispositivos afectados.

Citar"Los parches para estas vulnerabilidades que afectan al controlador de GPU Adreno se han entregado a los fabricantes de equipos originales (OEM) en mayo de 2025, junto con una recomendación firme para su pronta implementación en los dispositivos afectados", indicó Qualcomm.

Nueva vulnerabilidad en Data Network Stack & Connectivity: CVE-2024-53026

Además de los fallos en los controladores de GPU, Qualcomm también ha abordado este mes una nueva vulnerabilidad —CVE-2024-53026— localizada en el componente Data Network Stack & Connectivity. Este fallo permite a atacantes no autenticados acceder a información sensible mediante paquetes RTCP maliciosos enviados durante llamadas VoLTE o VoWiFi IMS.

Antecedentes: explotación estatal de fallos en chipsets Qualcomm

En octubre de 2024, Qualcomm corrigió otro día cero (CVE-2024-43047) que fue utilizado por la Agencia de Información de Seguridad de Serbia (BIA) y la policía local para desbloquear dispositivos Android incautados de periodistas, activistas y manifestantes. Esta actividad fue posible mediante herramientas forenses como las de Cellebrite.

Durante la investigación, Google TAG encontró evidencia de que los dispositivos también estaban comprometidos con el software espía NoviSpy, instalado de forma persistente en el nivel del kernel tras evadir las defensas de Android mediante una cadena de exploits.

Historial de vulnerabilidades en GPUs y DSPs de Qualcomm

Esta no es la primera vez que Qualcomm enfrenta vulnerabilidades de día cero en sus chips. En años recientes, la empresa ha revelado y corregido múltiples fallos críticos en sus controladores de GPU y DSP de cómputo, muchos de los cuales permitían a atacantes acceder a mensajes SMS, historial de llamadas, archivos multimedia y conversaciones en tiempo real de los usuarios.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#30

Noticias Informáticas / Linux: Vulnerabilidades críticas en Apport y systemd-coredump

Mayo 31, 2025, 05:59:41 PM

Se han descubierto dos vulnerabilidades críticas de divulgación de información en Apport y systemd-coredump, los principales controladores de volcado de memoria utilizados en sistemas operativos Linux como Ubuntu, Red Hat Enterprise Linux (RHEL) y Fedora. El hallazgo ha sido reportado por la Unidad de Investigación de Amenazas (TRU) de Qualys, y ambas fallas representan riesgos significativos para la seguridad de la información confidencial en entornos Linux.

CVE-2025-5054 y CVE-2025-4598: Riesgos de condición de carrera

Las vulnerabilidades, identificadas como CVE-2025-5054 y CVE-2025-4598, son fallas de tipo race condition que podrían ser explotadas por un atacante local para acceder a datos sensibles. Estas condiciones se presentan durante el manejo de fallos y volcados de núcleo, permitiendo al atacante obtener información de memoria privilegiada, como contraseñas encriptadas o configuraciones críticas del sistema.

Detalles técnicos de las vulnerabilidades:

CVE-2025-5054 (CVSS 4.7): Afecta al paquete Apport hasta la versión 2.32.0 en sistemas basados en Ubuntu. La vulnerabilidad permite la filtración de información sensible mediante la reutilización de PID y la manipulación de espacios de nombres (namespaces).
CVE-2025-4598 (CVSS 4.7): Presente en systemd-coredump. Permite a un atacante provocar el fallo de un proceso SUID, reemplazarlo con un binario no privilegiado y así obtener acceso al volcado de memoria del proceso original. Esto incluye la posible exposición del archivo /etc/shadow, que contiene los hashes de contraseñas de los usuarios.

CitarSUID (Set User ID) es un permiso especial en Linux que permite a los usuarios ejecutar un programa con los privilegios del propietario del archivo, generalmente root.

Impacto en sistemas Linux: Ubuntu, Red Hat, Fedora y más

De acuerdo con Red Hat, CVE-2025-4598 ha sido clasificada con una severidad moderada, debido a la alta complejidad necesaria para desarrollar un exploit funcional. El atacante debe cumplir múltiples condiciones, como provocar un fallo preciso y manipular el PID correctamente, además de tener acceso a una cuenta local sin privilegios.

Canonical, por su parte, señaló que Ubuntu no se ve afectado por CVE-2025-4598 por defecto, ya que no incluye systemd-coredump a menos que se instale manualmente. En el caso de Debian, los sistemas también están protegidos por defecto por la misma razón.

Mitigaciones y medidas de seguridad recomendadas

Para reducir el riesgo, Red Hat recomienda desactivar los volcados de núcleo para binarios SUID ejecutando el siguiente comando como root:

Código: text

echo 0 > /proc/sys/fs/suid_dumpable

Este parámetro del kernel controla si los procesos SUID pueden generar volcados de núcleo. Establecerlo en 0 desactiva esta función, evitando posibles filtraciones de memoria.

Sin embargo, Red Hat advierte que esta mitigación también desactiva la capacidad de analizar fallas en binarios SUID, lo que puede dificultar el debugging de errores en entornos de producción.

Código de prueba de concepto (PoC) y posibles ataques

Qualys ha desarrollado un código de prueba de concepto (PoC) para ambas vulnerabilidades, demostrando cómo un atacante puede explotar los volcados de memoria de procesos críticos, como unix_chkpwd, para extraer hashes de contraseñas desde /etc/shadow.

"La explotación de vulnerabilidades en Apport y systemd-coredump puede comprometer seriamente la confidencialidad de un sistema Linux", explicó Saeed Abbasi, gerente de producto de Qualys TRU.

Las consecuencias de un ataque exitoso incluyen:

Filtración de credenciales y datos sensibles
Tiempo de inactividad del sistema
Pérdida de reputación
Incumplimiento de normativas como GDPR o HIPAA

Recomendaciones para proteger entornos Linux corporativos

Aplicar parches de seguridad tan pronto como estén disponibles para Apport y systemd-coredump.
Deshabilitar los volcados de núcleo SUID en entornos donde no sean esenciales.
Implementar monitoreo proactivo para detectar actividades sospechosas relacionadas con procesos SUID.
Endurecer la seguridad de acceso local, limitando el uso de cuentas sin privilegios y restringiendo el acceso físico y remoto a los servidores.

En fin, las vulnerabilidades CVE-2025-5054 y CVE-2025-4598 en Apport y systemd-coredump destacan la importancia de reforzar la seguridad de los controladores de volcado de memoria en Linux. Aunque su explotación requiere cierto nivel técnico y acceso local, los riesgos asociados a la divulgación de información sensible son altos. Administradores de sistemas Linux deben actuar rápidamente para mitigar estas amenazas, implementar configuraciones seguras y mantenerse al día con las actualizaciones de seguridad distribuidas por los fabricantes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#31

Noticias Informáticas / Desmantelan AVCheck: servicio usado por ciberdelincuentes para evadir antivirus

Mayo 31, 2025, 05:53:25 PM

Una operación internacional de las fuerzas del orden ha desmantelado AVCheck, una plataforma clandestina utilizada por ciberdelincuentes para probar malware contra antivirus comerciales. Esta herramienta permitía a los actores maliciosos comprobar si su código malicioso era detectable por soluciones de seguridad antes de lanzarlo en ataques reales.

El dominio principal del servicio, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, muestra ahora una pancarta de incautación oficial con los emblemas del Departamento de Justicia de EE. UU., el FBI, el Servicio Secreto y la Policía Nacional de los Países Bajos (Politie), lo que confirma el éxito de la operación.

¿Qué era AVCheck y por qué era tan peligroso?

AVCheck funcionaba como un servicio de verificación antivirus (CAV), y era una de las plataformas más grandes a nivel global para la evaluación de malware antes de su distribución. Permitía a los atacantes cargar sus archivos maliciosos y verificar si eran detectados por los antivirus más populares, ajustando sus programas hasta alcanzar un nivel óptimo de evasión.

Citar"Desconectar AVCheck marca un paso importante en la lucha contra el cibercrimen organizado", declaró Matthijs Jaspers de la policía neerlandesa.
"Con esta acción, interrumpimos a los ciberdelincuentes en una fase temprana y prevenimos que haya más víctimas".

Enlace con servicios de cifrado maliciosos

La investigación reveló vínculos entre los administradores de AVCheck y servicios de cifrado especializados en malware, como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (ya incautado) y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (actualmente fuera de línea). Estos servicios de ofuscación permiten a los atacantes cifrar sus cargas útiles maliciosas para evitar su detección por antivirus.

Este modus operandi forma parte de un ciclo común entre los cibercriminales:

Ofuscan su malware mediante un servicio de cifrado.
Lo prueban en plataformas CAV como AVCheck.
Ajustan el código hasta hacerlo indetectable.
Lo despliegan contra sus objetivos.

Tácticas encubiertas y cooperación internacional

Antes de la incautación definitiva, las autoridades desplegaron una página de inicio de sesión señuelo para advertir a los usuarios sobre las consecuencias legales del uso del servicio. Posteriormente, el Departamento de Justicia de EE. UU. confirmó que el 27 de mayo de 2025, AVCheck fue oficialmente desmantelado como parte de una operación mayor.

Citar"Los ciberdelincuentes no solo crean malware; lo perfeccionan para causar el máximo daño", afirmó Douglas Williams, agente especial del FBI.
"Gracias a estos servicios, los atacantes logran evadir firewalls, el análisis forense y comprometer sistemas críticos con precisión devastadora".

La operación fue posible gracias a agentes encubiertos que realizaron compras simuladas de servicios en las plataformas delictivas. Esta táctica permitió recabar evidencia suficiente para asociar AVCheck y sus operadores con ataques de ransomware dirigidos a víctimas en Estados Unidos y otras regiones, incluyendo el área de Houston.

Operación Endgame: golpe coordinado contra el ecosistema del ransomware
La eliminación de AVCheck forma parte de la Operación Endgame, una ofensiva policial internacional a gran escala que ha confiscado recientemente:

300 servidores
650 dominios web

Todos utilizados para facilitar actividades de ransomware, distribución de malware y servicios de apoyo como pruebas antivirus o cifrado malicioso.

Además de AVCheck, la operación también logró interrumpir herramientas ampliamente utilizadas por delincuentes, como los troyanos Danabot y Smokeloader, dos amenazas persistentes asociadas a campañas de malware financiero y robo de credenciales.

Un avance clave en la lucha contra el cibercrimen

La caída de AVCheck representa un paso decisivo para debilitar las capacidades técnicas de los actores de amenazas que dependen de servicios externos para perfeccionar su malware. Esta acción internacional refuerza el mensaje de que las infraestructuras criminales, aunque sofisticadas, no son invulnerables.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#32

Noticias Informáticas / Vulnerabilidad crítica CVE-2025-20188 en Cisco IOS XE permite ejecución remota

Mayo 31, 2025, 05:37:08 PM

Una grave vulnerabilidad de carga arbitraria de archivos, identificada como CVE-2025-20188, afecta al software Cisco IOS XE utilizado en controladores de LAN inalámbrica (WLC). Esta falla de seguridad, calificada con máxima severidad, ya cuenta con detalles técnicos publicados que acercan significativamente la posibilidad de un exploit funcional por parte de atacantes.

Detalles técnicos de la vulnerabilidad CVE-2025-20188

El equipo de investigación de Horizon3 ha publicado un análisis técnico detallado que, si bien no incluye un script de exploit de ejecución remota de código (RCE) completamente funcional, ofrece suficiente información como para que un atacante avanzado —o incluso un modelo de lenguaje— pueda construirlo con relativa facilidad.

La vulnerabilidad permite a un atacante remoto no autenticado cargar archivos arbitrarios, realizar recorridos de ruta (path traversal) y ejecutar comandos con privilegios de root en dispositivos afectados.

¿Qué causa esta falla en Cisco IOS XE?

La raíz del problema es un JSON Web Token (JWT) codificado de forma rígida dentro del sistema, utilizado por scripts Lua de backend en un entorno OpenResty (Nginx + Lua). En caso de que falte el archivo /tmp/nginx_jwt_key, el sistema recurre al uso de un valor por defecto estático: "notfound". Esto permite a los atacantes generar tokens JWT válidos utilizando el algoritmo HS256 y esa cadena como clave secreta.

La falta de validación adecuada en el backend posibilita ataques de carga de archivos fuera del directorio previsto, abriendo la puerta a manipulaciones más complejas, incluida la ejecución remota de código.

Dispositivos Cisco afectados por CVE-2025-20188

La vulnerabilidad solo se considera explotable si la opción "Descarga de imagen AP fuera de banda" está habilitada. Los siguientes modelos están en riesgo:

Catalyst 9800-CL (controladores inalámbricos en la nube)
Catalyst 9800 integrado en switches Catalyst series 9300, 9400 y 9500
Controladores inalámbricos Catalyst serie 9800
Puntos de acceso Catalyst con controlador integrado

Ejemplo práctico de explotación

En el ejemplo presentado por Horizon3, se muestra cómo un atacante puede enviar una solicitud HTTP POST al endpoint /ap_spec_rec/upload/ a través del puerto 8443, utilizando técnicas de path traversal para colocar un archivo (como foo.txt) fuera del directorio de destino.

Esta carga de archivos puede ser escalada a RCE al sobrescribir archivos críticos monitoreados por servicios backend como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, un script que vigila directorios específicos y recarga configuraciones de forma automática. Un atacante podría manipular esta funcionalidad para ejecutar comandos arbitrarios.

Recomendaciones de seguridad para mitigar CVE-2025-20188

Dado el alto riesgo de explotación activa y generalizada, se recomienda lo siguiente:

Actualizar inmediatamente a una versión corregida de Cisco IOS XE, específicamente 17.12.04 o superior.
Como medida temporal, desactivar la función de descarga de imágenes AP fuera de banda para eliminar la superficie de ataque vulnerable.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#33

Noticias Informáticas / Microsoft Authenticator elimina autocompletar contraseñas en julio de 2025

Mayo 30, 2025, 08:32:16 PM

Microsoft ha anunciado oficialmente que la aplicación Microsoft Authenticator dejará de ofrecer la función de autocompletar contraseñas a partir de julio de 2025. Los usuarios ya están recibiendo notificaciones dentro de la aplicación con una advertencia clara: deberán exportar sus contraseñas o migrar a Microsoft Edge para continuar utilizando el autocompletado.

¿Qué es Microsoft Authenticator?

Microsoft Authenticator es una aplicación móvil gratuita que facilita un inicio de sesión seguro mediante autenticación multifactor (MFA). Ofrece funcionalidades como códigos TOTP, notificaciones push, verificación biométrica y acceso sin contraseña a cuentas Microsoft.

Fin del autocompletado de contraseñas en Authenticator

A principios de mayo, el portal BleepingComputer reveló que Microsoft retiraría esta función. La fecha límite establecida para exportar contraseñas guardadas es el 1 de agosto de 2025, aunque desde ahora ya no será posible guardar nuevas contraseñas en la aplicación a partir de junio de 2025.

Las notificaciones emitidas por la aplicación indican lo siguiente:

Citar"Autocompletar a través de Authenticator finaliza en julio de 2025. Puedes exportar tu información guardada (solo contraseñas) antes de esa fecha o cambiar a Microsoft Edge para seguir usando el autocompletado."

La notificación incluye un botón para "Activar Edge", que redirige a la configuración de autocompletar y contraseñas en iOS o Android, permitiendo seleccionar Microsoft Edge como proveedor predeterminado de autocompletado.

Alternativas y migración a Microsoft Edge

Según Microsoft, las contraseñas almacenadas en Authenticator están sincronizadas de forma segura con la cuenta Microsoft del usuario. Esto permite que la transición a Microsoft Edge sea fluida, manteniendo el acceso a contraseñas y direcciones a través del navegador.

Edge incluye funciones avanzadas como:

Microsoft Defender SmartScreen
Password Monitor
Navegación InPrivate
Integración con herramientas de inteligencia artificial

Los usuarios pueden continuar usando Edge para autocompletar de manera segura, incluso después de la desactivación de esta función en Authenticator.

Cronograma de la desactivación

Microsoft ha compartido el siguiente calendario sobre la eliminación progresiva del autocompletado en Authenticator:

Junio de 2025: ya no se podrán guardar nuevas contraseñas.
Julio de 2025: la función de autocompletar dejará de estar disponible.
Agosto de 2025: se eliminará el acceso a todas las contraseñas guardadas.

¿Qué pueden hacer los usuarios?

Los usuarios que no deseen usar Microsoft Edge pueden exportar sus contraseñas desde Authenticator a un archivo CSV. Este archivo puede importarse a otras soluciones de gestión de contraseñas como 1Password, Bitwarden, LastPass, entre otros.

Además, si se han utilizado contraseñas generadas por el generador de la app, se recomienda guardarlas manualmente desde el historial en la pestaña "Contraseña".

Recomendaciones finales

Para evitar la pérdida de datos o interrupciones en el servicio de autocompletar contraseñas, Microsoft recomienda:

Exportar contraseñas antes de julio de 2025.
Migrar a Microsoft Edge como proveedor de autocompletado.
Considerar otros administradores de contraseñas si se prefiere una solución distinta a Edge.

Esta medida forma parte de los esfuerzos de Microsoft por centralizar sus servicios de seguridad y autenticación en herramientas más robustas como su navegador Edge, que sigue recibiendo mejoras enfocadas en privacidad, inteligencia artificial y protección en línea.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#34

Noticias Informáticas / Trickbot y Conti: Alemania busca a su líder, Vitaly Kovalev

Mayo 30, 2025, 08:26:44 PM

La Oficina Federal de Policía Criminal de Alemania (BKA) ha identificado públicamente a Vitaly Nikolaevich Kovalev, un ciudadano ruso de 36 años, como el líder de las bandas de cibercrimen Trickbot y Conti. Conocido por el alias "Stern", Kovalev es señalado como el fundador del grupo Wizard Spider, el cual operó algunas de las campañas de malware y ransomware más peligrosas de la última década.

Kovalev: cerebro de Trickbot y Conti, ahora en la mira de Interpol

Según declaraciones oficiales del BKA, Kovalev fue pieza central en las operaciones del grupo Trickbot, utilizando malware como Trickbot, BazarLoader, SystemBC, IcedID, Ryuk, Conti y Diavol. Su papel en la organización lo convierte en uno de los ciberdelincuentes más buscados del mundo.

Una notificación roja de Interpol ha sido emitida contra Kovalev, quien ahora también es perseguido por la justicia alemana bajo cargos de liderar una organización criminal transnacional dedicada a ciberataques a gran escala.

Esta acción se enmarca dentro de la Operación Endgame, una ofensiva internacional coordinada por múltiples agencias de seguridad que apunta a desmantelar la infraestructura de malware y ransomware como servicio (RaaS) empleada por grupos como Trickbot y Conti.

Antecedentes criminales y sanciones en EE. UU.

Kovalev ya había sido identificado previamente por las autoridades. En febrero de 2023, el Departamento del Tesoro de los Estados Unidos lo sancionó junto a otros seis ciudadanos rusos por su implicación con las operaciones de Trickbot y Conti.

En ese momento, fue descrito como un miembro clave del grupo, utilizando varios alias, incluidos "Bentley", "Bergen", "Alex Konor" y "Ben". Sin embargo, no fue hasta las filtraciones de TrickLeaks y ContiLeaks que se confirmó su identidad como "Stern", el verdadero cabecilla de ambas organizaciones criminales.

TrickLeaks y ContiLeaks: las filtraciones que expusieron al grupo

Las filtraciones de 2022 revelaron conversaciones internas, código fuente y, en el caso de TrickLeaks, incluso las identidades reales, cuentas en línea y datos personales de los miembros de Trickbot. Estas revelaciones apuntaban directamente a Kovalev como líder operativo y decisor final en ataques de ransomware y contratación de abogados para miembros arrestados.

Las filtraciones también aceleraron el desmantelamiento de Conti, aunque los integrantes del grupo se reagruparon en nuevas bandas de ransomware como Black Basta, BlackCat (ALPHV), Royal, LockBit, Karakurt, AvosLocker, DagonLocker, Silent Ransom y ZEON.

Impacto global de Trickbot: millones en ganancias y miles de víctimas

De acuerdo con la BKA, el grupo Trickbot llegó a contar con más de 100 miembros, organizados de forma jerárquica y orientados a objetivos lucrativos. Se estima que infectaron cientos de miles de sistemas en Alemania y a nivel mundial, incluyendo:

Hospitales
Empresas privadas
Autoridades gubernamentales
Particulares

Gracias a sus actividades ilegales, Trickbot habría generado beneficios superiores a los 100 millones de euros, consolidándose como una de las redes de ciberdelincuencia más rentables y peligrosas de la historia reciente.

Búsqueda internacional: Kovalev sigue en libertad

Aunque su identidad ha sido confirmada y su rostro circula en alertas internacionales de Interpol, el paradero actual de Vitaly Kovalev es desconocido. Las autoridades alemanas creen que se encuentra en territorio ruso, protegido por un entorno que le permite evadir la extradición.

La BKA ha solicitado colaboración internacional e instó a que se proporcione cualquier información que ayude a su localización, incluyendo cuentas de redes sociales, direcciones IP asociadas o canales de comunicación utilizados por Kovalev.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#35

Noticias Informáticas / Alerta de seguridad crítica en TI WooCommerce Wishlist

Mayo 30, 2025, 08:18:01 PM

Los investigadores de ciberseguridad han descubierto una vulnerabilidad crítica sin parche en el complemento TI WooCommerce Wishlist para WordPress, que podría ser explotada por atacantes no autenticados para realizar cargas de archivos arbitrarios y potencialmente lograr ejecución remota de código (RCE).

¿Qué es TI WooCommerce Wishlist?

TI WooCommerce Wishlist es un popular plugin de WordPress con más de 100.000 instalaciones activas, que permite a los usuarios de tiendas en línea guardar productos en listas de deseos y compartirlas en redes sociales. Su amplia adopción lo convierte en un objetivo atractivo para los ciberdelincuentes.

Detalles de la vulnerabilidad crítica (CVE-2025-47577)

La falla, catalogada como CVE-2025-47577, ha sido identificada con una puntuación CVSS de 10.0, el valor más alto en la escala de criticidad. Esta vulnerabilidad afecta a todas las versiones hasta e incluida la 2.9.2, publicada el 29 de noviembre de 2024. Actualmente, no existe un parche disponible, lo que incrementa el riesgo de explotación activa.

Según el investigador John Castro de Patchstack, la vulnerabilidad reside en la función tinvwl_upload_file_wc_fields_factory, que usa la función nativa de WordPress wp_handle_upload() para validar las cargas de archivos. Sin embargo, establece los parámetros test_form y test_type como false, lo cual desactiva los mecanismos de validación de tipo MIME y formulario, permitiendo así la subida de archivos no seguros.

Citar"El plugin es vulnerable a una vulnerabilidad de carga de archivos arbitrarios que permite a los atacantes subir archivos maliciosos al servidor sin autenticación", explicó Castro.

Condiciones para la explotación

La función vulnerable puede ser accedida a través de las funciones tinvwl_meta_wc_fields_factory o tinvwl_cart_meta_wc_fields_factory, pero solo cuando el plugin adicional WC Fields Factory está instalado y activo. Además, la integración entre ambos plugins debe estar habilitada dentro de la configuración de TI WooCommerce Wishlist.

Esto significa que la explotación exitosa requiere que WC Fields Factory esté presente en el sitio web, lo cual limita parcialmente la superficie de ataque, aunque sigue siendo una amenaza grave.

Riesgo de ejecución remota de código (RCE)

En un escenario de ataque real, un actor malicioso podría aprovechar esta falla para cargar un archivo PHP malicioso al servidor y luego ejecutarlo directamente, obteniendo control total sobre el sitio WordPress comprometido. Esta técnica es común en campañas de ataques automatizados que buscan vulnerabilidades en plugins populares y desprotegidos.

Recomendaciones de seguridad

Mientras se espera una actualización oficial del desarrollador del complemento, se recomienda encarecidamente a todos los administradores de WordPress que tengan instalado TI WooCommerce Wishlist tomar medidas inmediatas:

Desactivar y eliminar el plugin hasta que se publique un parche oficial.
Revisar si WC Fields Factory está activo, y desactivarlo en caso de no ser estrictamente necesario.
Monitorear los archivos del servidor en busca de archivos PHP sospechosos recientemente subidos.
Aplicar reglas de firewall a nivel de aplicación (WAF) para bloquear accesos a rutas sensibles.

Los desarrolladores de plugins también deben evitar establecer test_type => false al usar wp_handle_upload(), y aplicar prácticas seguras de validación de archivos para evitar este tipo de vulnerabilidades.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#36

Noticias Informáticas / Descubren ataque cibernético con malware que usa encabezados DOS y PE corruptos

Mayo 30, 2025, 08:14:12 PM

Investigadores de ciberseguridad de Fortinet han revelado un ataque cibernético inusual que empleó malware con encabezados DOS y PE corruptos, dificultando su detección y análisis. Este hallazgo destaca una técnica sofisticada utilizada por actores de amenazas para evadir soluciones de seguridad tradicionales.

¿Qué son los encabezados DOS y PE?

Los encabezados DOS (Disk Operating System) y PE (Portable Executable) son componentes fundamentales de los archivos ejecutables en sistemas Windows.

El encabezado DOS permite la compatibilidad con sistemas MS-DOS y facilita el reconocimiento del archivo como ejecutable válido.
El encabezado PE, por su parte, contiene los metadatos necesarios para que Windows cargue y ejecute el programa correctamente.

Técnicas avanzadas de evasión mediante encabezados dañados

Según el informe de Fortinet, el malware detectado presentaba encabezados DOS y PE dañados, una técnica que busca obstaculizar los esfuerzos de análisis forense y dificultar la reconstrucción de la carga útil desde la memoria.

Citar"Descubrimos malware que se había estado ejecutando en una máquina comprometida durante varias semanas", afirmaron Xiaopeng Zhang y John Simmons, del Equipo de Respuesta a Incidentes de FortiGuard, en un informe compartido con The Hacker News.

El ataque se llevó a cabo mediante scripts por lotes y PowerShell, ejecutados dentro de un proceso legítimo de Windows. Aunque Fortinet no logró extraer el malware directamente, sí obtuvo un volcado de memoria del proceso en ejecución, así como un volcado de memoria completo del sistema comprometido.

Ataque vinculado a intento de ransomware

El comportamiento observado fue parte de un único incidente asociado a actividad de ransomware, aunque la amenaza fue neutralizada antes de que el cifrado pudiera desplegarse. El atacante obtuvo acceso inicial mediante infraestructura de acceso remoto, y trató de propagar el malware usando PsExec y scripts de PowerShell, los cuales no pudieron recuperarse durante la investigación.

Características del malware

El malware detectado se ejecuta dentro de un proceso dllhost.exe, ocultando su actividad bajo un ejecutable aparentemente legítimo. Se trata de un archivo PE de 64 bits diseñado específicamente para evadir herramientas de análisis de malware.

Tras superar los obstáculos técnicos, los expertos de Fortinet consiguieron analizar el código malicioso replicando el entorno del sistema afectado en un laboratorio controlado. A través de múltiples iteraciones, lograron reconstruir el comportamiento completo del malware.

Funcionalidades del RAT y conexión C2

Una vez ejecutado, el malware descifra la información del dominio de comando y control (C2) directamente desde la memoria y establece comunicación con el servidor malicioso "rushpapers[.]com" mediante TLS (Transport Layer Security).

El diseño del malware es altamente modular y emplea una arquitectura de sockets multihilo:

Captura de pantalla del sistema comprometido.
Enumeración y manipulación de servicios del sistema.
Capacidad de operar como servidor remoto en espera de conexiones entrantes.

Cada vez que un nuevo cliente (es decir, el atacante) se conecta, el malware crea un nuevo hilo dedicado a la sesión, lo que permite interacciones simultáneas y complejas.

Citar"Este diseño convierte al sistema infectado en una plataforma de acceso remoto totalmente funcional", explicó Fortinet. "El atacante puede lanzar nuevos ataques o realizar acciones en nombre de la víctima."

En fin, este incidente subraya el uso de técnicas avanzadas por parte de los ciberdelincuentes, como la corrupción de encabezados PE y DOS, para evadir la detección. La amenaza, aunque contenida por Fortinet antes de causar daños mayores, revela la creciente sofisticación del malware moderno, especialmente aquellos con funcionalidades de troyano de acceso remoto (RAT).

Las organizaciones deben mantenerse alerta y adoptar soluciones de ciberseguridad proactivas, incluyendo la supervisión de memoria y análisis de comportamiento, para detectar amenazas que emplean métodos de evasión poco convencionales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#37

Noticias Informáticas / Re:PumaBot: nueva botnet en Go ataca dispositivos IoT con Linux

Mayo 30, 2025, 07:51:22 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuentaDragora vive_? rindete al team gautuno o muere

Mi katana está afilada, mi espíritu es inquebrantable. ¡Fíjate bien a quien amenazas o haré que la historia recuerde este duelo!

Pd. Solid Water soy 100% Team Gato

.

Saludos apreciado AXCESS!!

#38

Noticias Informáticas / PumaBot: nueva botnet en Go ataca dispositivos IoT con Linux

Mayo 28, 2025, 12:46:06 PM

Los dispositivos IoT basados en Linux están siendo blanco de una nueva y sofisticada botnet llamada PumaBot, desarrollada en el lenguaje de programación Go. Esta amenaza se propaga a través de ataques de fuerza bruta contra servicios SSH, con el objetivo de escalar rápidamente su infraestructura, distribuir malware adicional y establecer persistencia en los sistemas comprometidos.

Según un informe técnico publicado por Darktrace y compartido con The Hacker News, PumaBot no realiza escaneos aleatorios en Internet, sino que obtiene una lista predefinida de objetivos desde un servidor de comando y control (C2). Posteriormente, ejecuta ataques de fuerza bruta SSH para obtener acceso remoto, recibir comandos maliciosos y establecer mecanismos de persistencia mediante servicios del sistema.

¿Cómo funciona la botnet PumaBot?

El proceso de infección de PumaBot se basa en varias etapas:

Obtención de IPs vulnerables: el malware se conecta a ssh.ddos-cc[.]org, desde donde descarga una lista de direcciones IP con el puerto SSH abierto.
Fuerza bruta SSH: intenta acceder a estas IPs utilizando credenciales por defecto o contraseñas débiles.
Evasión de honeypots: PumaBot incorpora verificaciones para evitar sistemas trampa, incluyendo la búsqueda de la cadena "Pumatronix", un fabricante de cámaras de vigilancia.
Filtrado de información y persistencia: una vez que compromete un dispositivo, recolecta información básica del sistema y crea un servicio systemd persistente, disfrazado como redis.service o mysqI.service (una variante maliciosa de mysql).
Minería ilícita de criptomonedas: ejecuta comandos como xmrig y networkxm, indicativos de minería de Monero u otras criptomonedas en segundo plano.

Componentes adicionales del ecosistema malicioso

El análisis de Darktrace identificó otros binarios y scripts usados como parte de una campaña más amplia vinculada a PumaBot:

ddaemon: puerta trasera en Go que descarga y ejecuta el binario networkxm desde /usr/src/bao/ y ejecuta el script No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.
networkxm: herramienta de fuerza bruta SSH que replica la funcionalidad inicial del malware.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta: descarga el script No tienes permitido ver enlaces. Registrate o Entra a tu cuenta desde 1.lusyn[.]xyz, lo ejecuta con permisos máximos y borra el historial de bash.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta: obtiene un archivo malicioso pam_unix.so y un ejecutable llamado 1, reemplazando componentes legítimos del sistema.
pam_unix.so: rootkit que roba credenciales interceptando inicios de sesión exitosos y los guarda en /usr/bin/con.txt.
1: binario que monitorea y exfiltra el archivo con.txt al servidor C2.

Recomendaciones para proteger sistemas Linux e IoT frente a PumaBot

Dado el comportamiento similar al de un gusano y la capacidad de evasión que presenta PumaBot, los administradores de sistemas deben implementar medidas preventivas de seguridad como:

Monitorear intentos de inicio de sesión SSH fallidos y registrar actividad inusual.
Auditar servicios systemd en busca de nombres sospechosos como redis.service o mysqI.service.
Revisar el archivo authorized_keys para detectar claves SSH no autorizadas.
Restringir el acceso SSH mediante reglas estrictas de firewall.
Filtrar tráfico HTTP con encabezados anómalos, como X-API-KEY: jieruidashabi.

En conclusión, PumaBot representa una amenaza emergente en el ecosistema de ciberseguridad, especialmente para entornos que utilizan Linux en dispositivos IoT. Su capacidad para automatizar ataques SSH, establecer persistencia mediante técnicas legítimas y ejecutar funciones de minería ilegal lo convierte en una herramienta altamente peligrosa. Las organizaciones deben fortalecer sus prácticas de seguridad SSH, monitorear servicios activos y mantener políticas de actualización y endurecimiento de sistemas para prevenir infecciones.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#39

Noticias Informáticas / Apple bloquea más de 9.000 millones en fraudes en la App Store desde 2019

Mayo 28, 2025, 12:40:56 PM

Apple, líder mundial en tecnología, reveló el martes que ha evitado más de 9.000 millones de dólares en transacciones fraudulentas en su ecosistema desde 2019, incluyendo más de 2.000 millones de dólares solo en 2024. Esta cifra forma parte del informe anual de la compañía sobre fraude en la App Store, donde detalla sus esfuerzos para proteger a usuarios y desarrolladores frente a estafas digitales.

Amenazas comunes en la App Store: desde aplicaciones engañosas hasta fraude financiero

Según el informe de Apple, la App Store enfrenta una amplia gama de amenazas de seguridad, que van desde aplicaciones maliciosas diseñadas para robar datos personales hasta esquemas de pago fraudulentos que intentan explotar a los usuarios.

Como parte de su estrategia de protección, Apple ha tomado medidas significativas, incluyendo:

Cancelación de más de 46.000 cuentas de desarrolladores por actividades fraudulentas.
Rechazo de inscripción de 139.000 desarrolladores adicionales con indicios de malas prácticas.
Desactivación de casi 129 millones de cuentas de clientes para evitar abusos como el spam, la manipulación de reseñas y la alteración de rankings de aplicaciones.

Estadísticas clave del fraude en Apple en 2024

Durante el último año, Apple reforzó su enfoque de seguridad en iOS y la App Store, con acciones concretas como:

Bloqueo de más de 10.000 aplicaciones ilegítimas distribuidas en tiendas piratas. Estas apps incluían malware, contenido pornográfico, software de apuestas ilegales y versiones pirateadas de apps legítimas.
Prevención de 4,6 millones de intentos de instalación de aplicaciones distribuidas fuera de los canales oficiales de Apple.
Rechazo de más de 1,9 millones de solicitudes de publicación de apps por violaciones de privacidad, seguridad y políticas de la App Store.
Eliminación de más de 37.000 aplicaciones con comportamientos fraudulentos.
Rechazo de más de 43.000 aplicaciones por contener funciones ocultas o no documentadas.
Bloqueo de 320.000 apps clonadas o engañosas que imitaban otras aplicaciones populares.
Exclusión de 7.400 apps potencialmente fraudulentas de las listas públicas y eliminación de 9.500 apps engañosas de los resultados de búsqueda.
Eliminación de más de 143 millones de valoraciones y reseñas falsas.
Identificación de 4,7 millones de tarjetas de crédito robadas y bloqueo de 1,6 millones de cuentas involucradas.

Comparativa con años anteriores

La lucha contra el fraude en Apple ha sido constante y creciente. En años anteriores:

En 2023, Apple evitó transacciones fraudulentas por más de 1.800 millones de dólares y canceló 118.000 cuentas de desarrolladores.
En 2022, bloqueó fraudes por más de 2.000 millones de dólares.

Estas cifras reflejan una tendencia al alza en los intentos de fraude digital, y la respuesta proactiva de Apple para proteger su ecosistema.

Google también refuerza su seguridad en Android

El informe de Apple coincide con un análisis similar de Google, que a principios de 2024 anunció que bloqueó más de 2,36 millones de aplicaciones maliciosas para Android y prohibió 158.000 cuentas de desarrolladores por infringir las políticas de Google Play.

Este contexto refleja el desafío global que enfrentan los principales mercados de apps móviles frente a amenazas cibernéticas cada vez más sofisticadas.

Apple y el escrutinio por sus políticas en la App Store

Este nuevo informe sobre prevención de fraudes en la App Store llega en un momento de mayor presión regulatoria para Apple. Un fallo reciente en EE. UU. exige que la compañía permita que las apps de iOS incluyan enlaces o botones hacia métodos de pago externos fuera del ecosistema de la App Store.

Este cambio podría tener un impacto en las estrategias de seguridad de Apple, ya que transacciones fuera del App Store podrían estar más expuestas a estafas y fraudes, al no estar sujetas a los mismos controles de seguridad.

En conclusión, el informe anual de Apple pone de manifiesto el compromiso de la empresa con la seguridad digital, destacando medidas preventivas robustas frente a fraudes, estafas y abusos dentro de la App Store. Con miles de millones de dólares en transacciones protegidas, Apple se posiciona como uno de los líderes en la protección del consumidor en entornos digitales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#40

Noticias Informáticas / Adidas sufre violación de datos tras ataque a proveedor de atención al cliente

Mayo 28, 2025, 12:28:41 PM

El gigante alemán de ropa deportiva Adidas ha confirmado una violación de datos tras un incidente de seguridad que comprometió a uno de sus proveedores de servicio al cliente. El ataque permitió a actores maliciosos acceder a datos personales de algunos clientes, aunque no se vieron comprometidos datos financieros ni contraseñas.

Detalles del incidente de seguridad en Adidas

La compañía reveló la brecha el pasado viernes, explicando que un tercero no autorizado accedió a información de consumidores mediante un proveedor externo.

Citar"Adidas se dio cuenta recientemente de que una parte externa no autorizada obtuvo ciertos datos de los consumidores a través de un proveedor de servicio al cliente externo", explicó la empresa en un comunicado oficial.

Ante el incidente, la compañía de origen alemán actuó con rapidez, conteniendo la amenaza y lanzando una investigación exhaustiva con el apoyo de expertos en ciberseguridad.

Citar"Inmediatamente tomamos medidas para contener el incidente e iniciamos una investigación exhaustiva, colaborando con los principales expertos en seguridad de la información".

¿Qué información fue robada?

Adidas aclaró que no se vieron comprometidos datos sensibles como información de pago o contraseñas. La filtración se limitó a datos de contacto, aunque no se especificó el volumen exacto de personas afectadas.

Entre los datos potencialmente expuestos se encuentran:

Nombres completos
Direcciones de correo electrónico
Números de teléfono
Direcciones físicas
Fechas de nacimiento

Este tipo de información, aunque no financiera, puede ser utilizada para realizar campañas de phishing o suplantación de identidad, por lo que Adidas ha comenzado a notificar a los clientes afectados.

Medidas tomadas y notificación a las autoridades

La compañía afirmó estar en proceso de notificar tanto a los consumidores como a las autoridades de protección de datos y cuerpos de seguridad, en cumplimiento de la legislación vigente en materia de protección de datos.

Citar"Adidas está en el proceso de informar a los consumidores potencialmente afectados, así como a las autoridades apropiadas de protección de datos y aplicación de la ley de acuerdo con la ley aplicable".

Además, reiteró su compromiso con la seguridad de la información:

Citar"Seguimos totalmente comprometidos con la protección de la privacidad y la seguridad de nuestros consumidores, y lamentamos sinceramente cualquier inconveniente o preocupación causada por este incidente".

Historial de violaciones de datos en Adidas

Este incidente se suma a otros casos recientes de filtración de datos en Adidas. A principios de este mes, la compañía reveló violaciones que afectaron a clientes en Turquía y Corea del Sur, quienes se habían comunicado con el centro de atención al cliente en 2024 o antes. En esos casos, también se expuso información personal como nombres, correos electrónicos, teléfonos y fechas de nacimiento.

Además, en junio de 2018, Adidas reportó otra brecha que afectó a varios millones de compradores en EE. UU., comprometiendo nombres de usuario, direcciones de correo electrónico y contraseñas cifradas utilizadas en el sitio web oficial.

Información pendiente y falta de transparencia

Hasta el momento, Adidas no ha revelado el nombre del proveedor afectado, ni ha detallado cuándo se detectó el incidente, cuántas personas están involucradas o si sus propios sistemas fueron comprometidos. Cuando el medio especializado BleepingComputer intentó obtener más información, un portavoz de la empresa indicó que:

Citar"No hay más actualizaciones disponibles y la declaración emitida el viernes sigue vigente".

En conclusión, la violación de datos en Adidas pone de relieve los riesgos crecientes que enfrentan las grandes marcas globales en el ecosistema digital. A pesar de los esfuerzos de la compañía por limitar el impacto y comunicar el incidente, la falta de detalles técnicos genera incertidumbre entre los consumidores.

En un contexto donde la privacidad y la ciberseguridad son prioritarias, este tipo de filtraciones subraya la necesidad de fortalecer la protección de la información no solo en las empresas matrices, sino también a lo largo de toda la cadena de suministro digital.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Páginas 1 2 3 4 ... 157