MathWorks, reconocida empresa de software especializada en computación matemática y simulación, ha confirmado que una interrupción de sus servicios en línea fue causada por un ataque de ransomware. Este incidente de ciberseguridad ha tenido un impacto significativo en usuarios de MATLAB y Simulink, plataformas ampliamente utilizadas por ingenieros, científicos y desarrolladores en todo el mundo.

La compañía, con sede en Natick, Massachusetts, fue fundada en 1984 y actualmente cuenta con más de 6.500 empleados distribuidos en 34 oficinas internacionales. Su software es utilizado por más de 100.000 organizaciones y más de 5 millones de usuarios en todo el mundo.

Detalles del ciberataque a MathWorks

En un informe publicado en su página oficial de estado, MathWorks confirmó que el ataque ocurrió el domingo 18 de mayo de 2025, afectando varios de sus sistemas informáticos internos y plataformas utilizadas por los clientes. La empresa notificó de inmediato a las autoridades, incluyendo a la policía federal.

Citar"MathWorks sufrió un ataque de ransomware. Hemos notificado a la policía federal sobre este asunto. El ataque afectó nuestros sistemas informáticos", indicó la compañía.

Como resultado del ataque, varios servicios esenciales de MathWorks quedaron fuera de línea, incluyendo:

• MathWorks Cloud Center
• Centro de licencias
• Plataforma de intercambio de archivos
• Tienda oficial de MathWorks

Progresos en la restauración de servicios

Aunque el ataque de ransomware sigue afectando ciertas funcionalidades, MathWorks ha logrado restaurar parcialmente algunos servicios. El 21 de mayo, por ejemplo, se restablecieron funciones críticas como la autenticación multifactor (MFA) y el inicio de sesión único (SSO), lo cual permitió a muchos usuarios volver a acceder a sus cuentas.

Sin embargo, persisten problemas de acceso y creación de nuevas cuentas, especialmente entre usuarios que no han iniciado sesión desde octubre de 2024. Estos usuarios continúan reportando errores al intentar acceder a sus cuentas de MATLAB o adquirir licencias a través de los canales digitales de la empresa.

¿Quién está detrás del ataque?

Hasta el momento, MathWorks no ha revelado el grupo de ransomware responsable del ataque, ni ha confirmado si se produjo algún robo de datos confidenciales de clientes o empleados. Ninguna organización cibercriminal ha asumido públicamente la autoría del ataque, lo que abre la posibilidad de que:

• MathWorks esté negociando en privado con los atacantes.
• La empresa haya pagado el rescate para evitar la filtración de datos.
• El grupo atacante opere bajo bajo perfil y aún no haya divulgado información.

Impacto global del ataque de ransomware a MathWorks

Este incidente evidencia una creciente tendencia de ciberataques dirigidos a empresas tecnológicas con gran presencia internacional. Dado el papel fundamental de MATLAB y Simulink en sectores como la ingeniería, la robótica, la inteligencia artificial y la investigación académica, las interrupciones generadas afectan directamente a una comunidad técnica global.

Además, este ataque pone en relieve la importancia de contar con protocolos sólidos de resiliencia cibernética y respuesta ante incidentes, especialmente en organizaciones que proveen servicios críticos a universidades, gobiernos e industrias.

En conclusión, el ataque de ransomware a MathWorks subraya los riesgos persistentes que enfrentan las grandes compañías tecnológicas. A medida que la empresa trabaja para restaurar sus servicios y esclarecer los detalles del incidente, miles de usuarios de MATLAB y Simulink siguen a la espera de una recuperación total. La comunidad tecnológica internacional estará atenta a cualquier actualización sobre el grupo responsable, la posible filtración de datos y las futuras medidas de ciberseguridad que MathWorks implemente para prevenir nuevos incidentes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Telefónica ha anunciado oficialmente el cierre definitivo de todas sus centrales de cobre en España, lo que marca el fin del ADSL y la consolidación de una nueva era de conectividad basada exclusivamente en fibra óptica FTTH. Con este paso, la compañía cumple con el compromiso adquirido con la CNMC y materializa uno de los hitos más importantes en sus más de 100 años de historia.

La decisión se enmarca en el proceso de modernización tecnológica impulsado por la teleoperadora, que lleva más de 15 años sustituyendo progresivamente el cableado de cobre por redes de fibra óptica de última generación.

Adiós al cobre: más de 8.500 centrales cerradas desde 2014

Desde que en 2014 comenzara el proceso de cierre con las primeras dos centrales en Sant Cugat del Vallès (Barcelona) y Torrelodones (Madrid), Telefónica ha clausurado un total de 8.532 centrales de cobre. El apagón final se produce este 27 de mayo, con la desconexión de los 661 puntos de red restantes distribuidos por todo el país.

Inicialmente previsto para completarse en 2026, el plan fue acelerado por decisión estratégica de la compañía, lo que ha permitido cumplir con antelación los plazos acordados con la Comisión Nacional de los Mercados y la Competencia.

Migración masiva a la fibra óptica FTTH

Gracias al despliegue masivo de infraestructura de fibra óptica, más del 94 % de los usuarios que aún contaban con ADSL han migrado ya a conexiones de alta velocidad por fibra. Esta transformación ha sido especialmente relevante para zonas rurales y la llamada España vaciada, donde la conectividad era históricamente limitada.

Una sola central de fibra es capaz de sustituir a cuatro centrales de cobre, lo que se traduce en una mejora operativa significativa para Telefónica, al tiempo que se aumenta la velocidad, estabilidad y eficiencia energética del servicio.

Telefónica, pionera en Europa en cerrar su red de cobre

Con este movimiento, Telefónica se convierte en la primera operadora en Europa en completar el cierre total de su red de cobre, posicionándose como líder en la transición hacia tecnologías de banda ancha ultrarrápida.

La compañía afirma que más de 31 millones de unidades inmobiliarias están ya conectadas o tienen acceso a su red de fibra FTTH, consolidando así su papel en el proceso de digitalización de infraestructuras en España. Esta migración no solo mejora la experiencia de usuario, sino que también reduce costes de mantenimiento y eleva la sostenibilidad del modelo operativo.

Un antes y un después en la historia de las telecomunicaciones en España

El fin de la red de cobre en España marca un antes y un después en la evolución de las telecomunicaciones del país. La sustitución del ADSL por fibra no solo implica un salto tecnológico, sino también un cambio estructural en la forma de ofrecer servicios de internet, televisión y telefonía.

Telefónica celebra su centenario cerrando un ciclo crucial, apostando por una infraestructura robusta, escalable y preparada para los retos del futuro digital. Su liderazgo en esta transición tecnológica refuerza su posición frente a la competencia y le permite seguir siendo un referente en innovación dentro del mercado europeo.

En fin, la clausura definitiva de las centrales de cobre y el apagón del ADSL en España reafirman la apuesta estratégica de Telefónica por un modelo de conectividad basado exclusivamente en fibra óptica FTTH. Este hito posiciona a la compañía como pionera en Europa en completar esta transición y deja claro su compromiso con la modernización de las redes y la expansión de la conectividad ultrarrápida en todo el territorio español.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Elon Musk, figura clave en la administración de Donald Trump a través del controvertido Departamento de Eficiencia Gubernamental (DOGE), ha anunciado que volverá a centrarse a tiempo completo en sus empresas tecnológicas. Según el magnate, su atención se dirige ahora a X (antiguo Twitter), Tesla, xAI y el inminente lanzamiento de Starship, lo que indica un aparente distanciamiento de su rol político.

¿Adiós al DOGE? Musk prioriza sus empresas tecnológicas

Musk ha sido una pieza central del ambicioso plan de Trump para reducir el tamaño del gobierno federal. Entre las medidas implementadas bajo el DOGE se encuentran recortes de personal, envío de emails con ultimátums laborales y la promoción de jornadas de trabajo de hasta 120 horas semanales. Sin embargo, los recientes problemas técnicos en sus compañías parecen haber hecho que el empresario replantee sus prioridades.

La caída generalizada de X, que dejó a millones de usuarios sin acceso durante varias horas, fue uno de los detonantes de este cambio de enfoque. En respuesta a un tuit que atribuía la interrupción del servicio a un incendio en un centro de datos en Oregón, Musk explicó que ha vuelto a trabajar en modo 24/7. "Estoy durmiendo en las salas de conferencias, los servidores y las fábricas. Debo concentrarme por completo en X, xAI, Tesla y el lanzamiento de Starship", declaró.

X, xAI y Tesla: el nuevo epicentro de Elon Musk

Musk también aprovechó para explicar los recientes fallos de disponibilidad en 𝕏:

Citar"Como demuestran los problemas de esta semana, es necesario implementar mejoras operativas. La redundancia de conmutación por error debería haber funcionado, pero no lo hizo".

Este enfoque contrasta con sus declaraciones de hace apenas un mes, cuando, tras la presentación de resultados de Tesla, aseguró que dedicaría uno o dos días a la semana a temas de gobierno mientras Trump lo considerara útil, una vez establecida la estructura básica del DOGE.

Menor participación política y foco en la innovación tecnológica

Durante una intervención virtual en el Foro Económico de Catar, Elon Musk afirmó que reducirá significativamente sus donaciones políticas, aunque no especificó los motivos. Este anuncio ha sido interpretado como un nuevo paso hacia su retirada parcial de la escena gubernamental, al menos de forma temporal.

De momento, no hay una confirmación oficial de su renuncia al DOGE ni a su papel en el gobierno de Trump, pero la afirmación de que está "24/7 enfocado en sus empresas" deja poco margen para la especulación. Esta decisión puede verse como una estrategia para recuperar la confianza de los inversores, especialmente después del descenso de ventas de Tesla en Europa, lo que ha generado inquietud en los mercados.

DOGE y su impacto: de la política al código COBOL

La creación del DOGE ha provocado polémica dentro y fuera del gobierno federal. Entre sus objetivos estaba la eliminación o reformulación de agencias clave, como la Oficina de Protección Financiera del Consumidor y la USAID. Incluso propuso una migración urgente del sistema del Seguro Social, desarrollado en COBOL, un lenguaje de programación considerado obsoleto.

Musk y Trump compartían una visión de eficiencia radical, enfocada en eliminar lo que consideraban burocracia innecesaria. Sin embargo, el retorno del empresario a sus intereses corporativos podría dejar al DOGE sin uno de sus principales impulsores.

En fin, la decisión de Elon Musk de dedicar todo su tiempo a X, Tesla, xAI y SpaceX parece marcar un punto de inflexión en su papel dentro de la administración de Trump. Aunque no se ha anunciado oficialmente su salida del DOGE, su reciente actividad y declaraciones públicas apuntan a un repliegue de sus funciones gubernamentales.

Esta nueva etapa reafirma a Musk como un líder tecnológico global que prioriza el desarrollo de inteligencia artificial, vehículos eléctricos y exploración espacial, dejando en segundo plano su aventura política. El tiempo dirá si este alejamiento del DOGE es definitivo o simplemente una pausa estratégica.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Expertos en ciberseguridad han identificado una nueva campaña activa en 2025 que distribuye el malware Winos 4.0 (ValleyRAT) a través de instaladores troyanizados de software legítimo como QQ Browser y LetsVPN. La investigación fue realizada por Rapid7, quienes detectaron la operación maliciosa por primera vez en febrero de 2025.

Esta campaña utiliza un cargador en memoria multietapa denominado Catena, el cual permite evadir herramientas antivirus tradicionales al cargar el malware directamente en la memoria del sistema, sin dejar rastros evidentes en disco.

Catena: carga en memoria y evasión avanzada

Según los investigadores Anna Širokova e Ivan Feigl, Catena emplea shellcode embebido, lógica de configuración dinámica y cargas útiles en memoria para desplegar Winos 4.0, minimizando su visibilidad ante soluciones de seguridad.

Citar"Una vez ejecutado, el malware establece conexión con servidores controlados por los atacantes, mayormente ubicados en Hong Kong, para recibir instrucciones o descargar módulos adicionales", explican los expertos.

El ataque se dirige principalmente a sistemas de habla china, lo que refuerza la hipótesis de que esta es una campaña geoespecífica cuidadosamente planificada, atribuida a un grupo de amenazas sofisticado.

¿Qué es Winos 4.0 (ValleyRAT)?

Winos 4.0, también conocido como ValleyRAT, es un marco malicioso avanzado derivado del troyano de acceso remoto Gh0st RAT. Está escrito en C++ y utiliza una arquitectura modular basada en complementos, permitiendo:

• Robo de información
• Acceso remoto tipo shell
• Ejecución de comandos
• Ataques de denegación de servicio distribuido (DDoS)

Este malware fue documentado por primera vez por Trend Micro en junio de 2024, y ha sido relacionado con el grupo APT Void Arachne, también conocido como Silver Fox.

Vectores de infección: señuelos de software y phishing

La campaña detectada utiliza una cadena de infección sofisticada basada en instaladores NSIS disfrazados de herramientas populares como:

• QQ Browser (desarrollado por Tencent)
• LetsVPN (aplicación VPN)

También se ha observado el uso de phishing dirigido, como correos electrónicos falsificados en nombre de la Oficina Nacional de Impuestos de Taiwán, con archivos maliciosos adjuntos.

Rapid7 señaló que en abril de 2025 se observó un cambio táctico en la operación, ajustando componentes del vector Catena para mejorar su capacidad de evasión.

Evasión de antivirus y persistencia sigilosa

La campaña aplica técnicas avanzadas de evasión, incluyendo:

• Comandos de PowerShell para excluir todas las unidades de escaneo por parte de Microsoft Defender.
• Carga reflexiva de DLLs para mantener la persistencia de manera encubierta.
• Shellcode oculto en archivos .ini.
• Firmas digitales válidas o caducadas para simular legitimidad.

Uno de los binarios identificados estaba firmado con un certificado expirado de VeriSign, supuestamente perteneciente a Tencent Technology (Shenzhen). Este ejecutable toma una instantánea de los procesos en ejecución y detecta la presencia de antivirus como 360 Total Security, desarrollado por Qihoo 360.

Comunicación con infraestructura C2

Winos 4.0 establece conexiones con servidores de comando y control (C2) codificados estáticamente, usando:

• Puerto TCP 18856
• Puerto HTTPS 443
• IPs como 134.122.204[.]11 y 103.46.185[.]44

Aunque el malware verifica si el sistema tiene configurado el idioma chino, la ejecución no se detiene si este requisito no se cumple, lo que indica una funcionalidad aún en desarrollo.

Amenaza persistente y altamente dirigida

La campaña Catena-Winos 4.0 revela una operación de malware avanzada y bien organizada que se enfoca en usuarios y organizaciones de habla china. El uso de instaladores falsificados de software legítimo, técnicas de carga en memoria, evasión de antivirus y persistencia sigilosa la convierten en una amenaza significativa en el panorama actual.

Los investigadores sugieren que la campaña podría estar vinculada a Silver Fox APT, dada la infraestructura compartida y el enfoque lingüístico y geográfico de los ataques.

Recomendaciones para mitigar el riesgo

• Evitar la descarga de software desde fuentes no oficiales.
• Monitorizar la ejecución de procesos inusuales o cargadores NSIS.
• Implementar políticas estrictas de control de PowerShell y exclusiones antivirus.
• Verificar la integridad y validez de los certificados digitales en instaladores.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La reconocida plataforma de desarrollo web Glitch ha anunciado oficialmente que cerrará su servicio de alojamiento de aplicaciones y eliminará los perfiles de usuario a partir del 8 de julio de 2025. Esta decisión responde a los cambios en el ecosistema de desarrollo y al creciente abuso del sistema, que ha elevado significativamente los costes operativos.

La noticia fue confirmada por el propio CEO de Glitch, Anil Dash, quien destacó la evolución del mercado como un factor clave para esta transición.

Citar"Con tantas buenas opciones para crear y ejecutar aplicaciones fácilmente, la arquitectura heredada de Glitch ya no ofrece un valor excepcional al ecosistema de desarrolladores", afirmó Dash.

El futuro de Glitch: redireccionamientos y acceso prolongado

Aunque el alojamiento de proyectos y perfiles de usuario se desactivará el 8 de julio, los usuarios seguirán teniendo acceso a su panel hasta finales de 2025. Durante este tiempo, podrán descargar el código de sus proyectos para migrarlos a otras plataformas.

Para facilitar la transición, Glitch implementará una nueva función que permite configurar redireccionamientos de subdominios. De esta forma, las URLs de los proyectos seguirán siendo accesibles. Estos redireccionamientos estarán activos hasta al menos finales de 2026, brindando tiempo suficiente a los usuarios para adaptar sus flujos de trabajo.

¿Qué pasará con las suscripciones a Glitch Pro?

Todos los usuarios con suscripciones activas a Glitch Pro seguirán disfrutando del servicio hasta el cierre oficial en julio. Además, aquellos que hayan pagado por adelantado recibirán un reembolso proporcional. Desde el anuncio, ya no se aceptan nuevas suscripciones a Glitch Pro.

Glitch: una plataforma clave en el desarrollo web

Desde su lanzamiento en 2017, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta ha sido un pilar para desarrolladores, educadores y creadores de prototipos, permitiendo la creación y edición de aplicaciones web directamente desde el navegador. En su apogeo, en 2019, Glitch alojaba más de 2,5 millones de aplicaciones, destacando por su interfaz intuitiva y sus funciones de colaboración en tiempo real.

Sin embargo, el entorno tecnológico ha cambiado rápidamente. El aumento de costes de alojamiento y los abusos de la plataforma por parte de actores maliciosos han sido determinantes en la decisión de Glitch de cerrar este capítulo.

Alternativas a Glitch para desarrolladores

El equipo de Glitch reconoce que hoy existen soluciones más modernas y escalables para el desarrollo web. Algunas de las alternativas a Glitch más populares incluyen:

• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
• Deno Deploy
• Netlify
• GitHub Pages

En lugar de competir directamente con estas plataformas, Glitch ha optado por redireccionar sus esfuerzos hacia nuevas formas de servir a la comunidad de desarrolladores, como destacar proyectos que se encuentren alojados en plataformas externas.

¿Cómo prepararse para el cierre de Glitch?

Por el momento, Glitch recomienda a sus usuarios visitar el foro de la comunidad para obtener ayuda y consejos sobre la migración de proyectos. Además, están trabajando en la publicación de una guía detallada que facilitará la transición a nuevas plataformas de desarrollo y alojamiento.

En fin, el cierre del alojamiento de aplicaciones en Glitch marca el fin de una era para muchos desarrolladores web. Sin embargo, también representa una oportunidad para adoptar nuevas herramientas y flujos de trabajo más modernos. Con tiempo suficiente para migrar y redireccionamientos garantizados hasta 2026, los usuarios pueden planificar esta transición sin prisa, asegurando que sus proyectos sigan funcionando en nuevos entornos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han identificado una grave vulnerabilidad de inyección de avisos indirecta en GitLab Duo, el asistente de inteligencia artificial (IA) integrado en la plataforma de desarrollo GitLab. Esta falla podría haber permitido a atacantes robar código fuente de proyectos privados, exfiltrar vulnerabilidades críticas y redirigir a las víctimas a sitios web maliciosos mediante la inserción de HTML no confiable en las respuestas del asistente.

¿Qué es GitLab Duo y cómo funciona?

GitLab Duo es un asistente de codificación basado en IA, diseñado para ayudar a los desarrolladores a escribir, revisar y modificar código de forma eficiente. Introducido en junio de 2023, este sistema utiliza los modelos de lenguaje de Claude, desarrollados por Anthropic, y forma parte del esfuerzo de GitLab por integrar inteligencia artificial en sus flujos de trabajo de DevOps.

La vulnerabilidad: inyección de avisos indirecta

Según la firma Legit Security, el asistente GitLab Duo Chat era vulnerable a un tipo de ataque conocido como inyección de avisos indirecta. A diferencia de las inyecciones directas, este tipo de ataques introduce instrucciones maliciosas ocultas en contextos aparentemente inofensivos, como comentarios, descripciones de issues, mensajes de confirmación o incluso fragmentos de código. Al procesar estos elementos, la IA ejecuta sin saberlo comandos diseñados por el atacante.

Impacto potencial

Los efectos de esta vulnerabilidad son significativos:

• Robo de código fuente privado de proyectos confidenciales.
• Manipulación de las sugerencias de código que GitLab Duo muestra a otros usuarios.
• Filtración de vulnerabilidades de día cero aún no divulgadas públicamente.
• Inyección de HTML malicioso que puede generar enlaces a sitios de phishing o ejecutar código JavaScript no autorizado.

Técnicas de evasión utilizadas por los atacantes

Los atacantes utilizaron técnicas avanzadas para ocultar sus instrucciones maliciosas:

• Codificación en Base16 y Unicode.
• Uso de formatos como KaTeX en texto blanco.
• Aprovechamiento de la representación de Markdown en streaming, que permite interpretar HTML mientras se genera la respuesta del asistente.

Estas técnicas complicaban la detección de los avisos inyectados y permitían que se ejecutaran silenciosamente en el navegador del usuario.

Cómo fue posible la explotación

La vulnerabilidad radica en que GitLab Duo analiza todo el contexto visible en la página, sin realizar un filtrado adecuado de los datos introducidos por los usuarios. Esto incluye descripciones, comentarios y código fuente. Esta falta de sanitización permitió que los atacantes sembraran instrucciones maliciosas en múltiples partes del entorno de desarrollo.

El investigador Omer Mayraz señaló que esto también permitía incluir código JavaScript malicioso dentro de los fragmentos sugeridos por Duo o disfrazar URL maliciosas como enlaces seguros, redirigiendo a las víctimas a páginas falsas de inicio de sesión para el robo de credenciales.

Filtración de datos mediante solicitudes de fusión

Legit Security demostró que era posible insertar comentarios maliciosos en las descripciones de las solicitudes de fusión (merge requests). Cuando GitLab Duo procesaba estas solicitudes, el código fuente sensible podía ser enviado automáticamente a un servidor controlado por los atacantes.

Esto fue posible gracias al uso de Markdown de streaming, que interpretaba las respuestas en HTML mientras se generaban, permitiendo la ejecución inadvertida de código HTML malicioso.

Medidas tomadas por GitLab

Tras una divulgación responsable realizada el 12 de febrero de 2025, GitLab corrigió la vulnerabilidad. Sin embargo, el incidente destaca los riesgos asociados con la incorporación de asistentes de IA en procesos de desarrollo sensibles, especialmente en plataformas utilizadas por grandes equipos y empresas.

"Esta vulnerabilidad pone de relieve el doble filo de los asistentes de IA como GitLab Duo", afirmó Mayraz. "Pueden ser herramientas poderosas, pero también introducen vectores de ataque que antes no existían".

Contexto más amplio: otros incidentes similares

Este hallazgo coincide con otras investigaciones recientes sobre asistentes de IA:

• Microsoft Copilot para SharePoint también fue señalado por permitir a atacantes acceder a documentos confidenciales incluso desde archivos con permisos restringidos.
• ElizaOS (anteriormente Ai16z), un framework de agentes IA descentralizados para Web3, puede ser manipulado con instrucciones ocultas que afectan múltiples usuarios y provocan transferencias de activos indeseadas.
• Se ha identificado que los modelos de lenguaje también son vulnerables a técnicas de jailbreaking y alucinaciones, donde la IA produce respuestas erróneas o inventadas sin base en los datos de entrada.

En fin, la exposición de GitLab Duo a ataques por inyección de avisos indirecta revela los desafíos en la seguridad de sistemas basados en inteligencia artificial. Aunque GitLab actuó con rapidez para resolver el problema, el incidente subraya la necesidad de aplicar controles de seguridad más estrictos en entornos de desarrollo con asistencia de IA.

Las organizaciones que adopten soluciones de IA deben considerar no solo los beneficios en productividad, sino también los riesgos latentes que pueden comprometer la integridad de sus sistemas y la privacidad de sus datos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un grupo de investigadores de ciberseguridad ha revelado que un actor de amenazas, identificado como ViciousTrap, ha comprometido cerca de 5.300 dispositivos de red perimetral en 84 países, convirtiéndolos en parte de una red de honeypots maliciosa. La mayoría de los dispositivos infectados se encuentran en Macao, con más de 850 routers afectados.

Vulnerabilidad CVE-2023-20118: el punto de entrada

El actor de amenazas está explotando la vulnerabilidad crítica CVE-2023-20118, que afecta a varios modelos de routers Cisco Small Business, entre ellos:

• RV016
• RV042
• RV042G
• RV082
• RV320
• RV325

Esta falla permite la ejecución remota de comandos no autorizados, lo que ha facilitado el secuestro masivo de dispositivos y su incorporación a una red controlada por el atacante.

NetGhost: el script malicioso detrás de la operación

Según un análisis publicado por Sekoia, la cadena de infección comienza con la ejecución de un script de shell denominado NetGhost, diseñado para redirigir el tráfico entrante desde puertos específicos del router comprometido hacia una infraestructura controlada por el atacante. Esto permite a ViciousTrap interceptar y analizar el tráfico, simulando un entorno tipo honeypot.

Citar"El mecanismo de redireccionamiento posiciona efectivamente al atacante como un observador silencioso, capaz de recopilar intentos de explotación y accesos a web shells en tránsito", explicaron los investigadores Felix Aimé y Jeremy Scion.

ViciousTrap vs PolarEdge: ¿dos campañas relacionadas?

Aunque previamente la explotación de la CVE-2023-20118 se atribuyó a otra botnet conocida como PolarEdge, los analistas de Sekoia no han encontrado evidencia concluyente que vincule ambas operaciones. Sin embargo, se han detectado indicios de reutilización de código, incluyendo un web shell no documentado empleado en ataques anteriores por PolarEdge.

Ampliando el alcance: más de 50 marcas afectadas

ViciousTrap no se limita a routers Cisco. Se cree que el grupo está atacando una amplia gama de dispositivos orientados a Internet, entre ellos:

• Routers SOHO
• Sistemas VPN SSL
• Grabadoras de video digital (DVR)
• Controladores BMC

Entre las marcas objetivo se incluyen ASUS, D-Link, Linksys, QNAP y Araknis Networks, lo que sugiere un esfuerzo coordinado para recopilar información sobre herramientas de explotación y potencialmente capturar vulnerabilidades de día cero (0-day).

Proceso detallado de infección

Explotación inicial: uso de CVE-2023-20118 para ejecutar un script bash mediante ftpget.

• Descarga del binario wget desde un servidor externo.
• Segunda explotación de la vulnerabilidad, esta vez para ejecutar un nuevo script descargado con wget.
• Ejecución de NetGhost, que redirige el tráfico de red y borra su rastro del sistema comprometido.

Este proceso permite al atacante realizar ataques tipo adversario en el medio (AitM) y mantener un bajo perfil, dificultando su detección.

Origen y atribución geográfica

Los intentos de explotación iniciales se remontan a marzo de 2025 y provienen de la dirección IP 101.99.91[.]151, ubicada en Malasia y registrada bajo el Sistema Autónomo AS45839, operado por Shinjiru, un proveedor de hosting. En mayo de 2025, se detectaron nuevos ataques desde otra IP (101.99.91[.]239), esta vez dirigidos a routers ASUS.

Aunque no se han configurado honeypots en esos dispositivos adicionales, el patrón sugiere un intento por expandir la infraestructura de vigilancia y recopilación de datos. Sekoia apunta a un posible origen chino para ViciousTrap, basándose en similitudes con la infraestructura GobRAT y en el hecho de que el tráfico interceptado se redirige a activos en Taiwán y Estados Unidos.

Objetivo incierto, impacto potencial alto

Aunque el objetivo final de ViciousTrap sigue sin estar claro, los investigadores concluyen con alta confianza que se trata de una red global de honeypots maliciosos. Esta infraestructura podría usarse para:

• Espionaje cibernético
• Recolección de exploits desconocidos
• Análisis de tácticas de otros grupos de amenazas
• Desarrollo de nuevos ataques dirigidos

Recomendaciones para prevenir la explotación de CVE-2023-20118

• Actualizar el firmware de los routers Cisco Small Business y otros dispositivos orientados a Internet.
• Deshabilitar el acceso remoto si no es estrictamente necesario.
• Implementar soluciones de detección de intrusos (IDS) y firewalls avanzados.
• Supervisar los logs de red para identificar comportamientos inusuales o comandos ejecutados sin autorización.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los ciberdelincuentes han lanzado una nueva campaña maliciosa en TikTok utilizando tácticas de ingeniería social para propagar los malware de robo de información Vidar y StealC. Esta amenaza, identificada por investigadores de Trend Micro, forma parte de una táctica denominada ClickFix, que aprovecha la popularidad de la red social para engañar a los usuarios y hacerlos ejecutar comandos maliciosos de PowerShell.

¿Cómo funciona el ataque ClickFix en TikTok?

Los atacantes publican videos en TikTok, probablemente generados con inteligencia artificial (IA), que simulan ser tutoriales para activar Windows, Microsoft Office o desbloquear funciones premium en aplicaciones legítimas como CapCut o Spotify. Los videos muestran instrucciones detalladas y convincentes que alientan a los usuarios a ejecutar comandos de PowerShell bajo la falsa premisa de mejorar su experiencia.

CitarSegún Trend Micro:

"Este ataque utiliza videos (posiblemente generados por IA) para instruir a los usuarios a ejecutar comandos de PowerShell que en realidad descargan malware. El alcance algorítmico de TikTok amplifica la exposición, con videos que alcanzan cientos de miles de visitas."

Uno de estos videos, que promete mejorar Spotify "al instante", ya acumula cerca de 500,000 visualizaciones, 20,000 me gusta y más de 100 comentarios.

El funcionamiento del ataque: de TikTok al robo de datos

Cuando los usuarios siguen las instrucciones del video, ejecutan un comando de PowerShell que descarga un script remoto desde No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.]me/spotify. Este script instala el malware Vidar o StealC, ejecutándolo en segundo plano con privilegios elevados.

Funcionalidades del malware Vidar:

• Captura de pantalla del escritorio
• Robo de credenciales y contraseñas almacenadas
• Exfiltración de cookies, tarjetas de crédito y billeteras de criptomonedas
• Acceso a archivos de texto y bases de datos de autenticación de Authy 2FA

Capacidades del malware StealC:

• Robo de datos desde navegadores web y aplicaciones de criptomonedas
• Recolección de archivos sensibles del sistema
• Monitoreo del comportamiento del usuario

Después de comprometer el sistema, el malware descarga una segunda carga útil desde No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.]co/script[.]PS1, que añade una entrada en el registro de Windows para ejecutar el script automáticamente al inicio del sistema.

¿Qué es ClickFix y por qué es peligroso?

ClickFix es una técnica de ataque que emplea falsos mensajes de error o CAPTCHA fraudulentos para manipular al usuario y lograr que ejecute scripts maliciosos. Aunque inicialmente se dirigía a sistemas Windows, ya se han observado variantes dirigidas a macOS y Linux.

Además de actores criminales independientes, grupos de amenazas patrocinados por Estados también han empleado esta técnica:

• APT28 y ColdRiver (Rusia)
• Kimsuky (Corea del Norte)
• MuddyWater (Irán)

Estas organizaciones han incorporado ClickFix en campañas de espionaje cibernético, demostrando la efectividad y versatilidad de esta táctica maliciosa.

TikTok: una plataforma en crecimiento para campañas de malware

Esta campaña no es un caso aislado. En el pasado, los ciberdelincuentes han utilizado desafíos virales de TikTok para distribuir malware. Un ejemplo fue el "Invisible Challenge", que se usó para propagar el WASP Stealer (también conocido como Discord Token Grabber). Esta amenaza fue distribuida mediante videos virales con más de un millón de visitas, infectando a miles de usuarios.

El malware WASP Stealer permite:

• Robar credenciales de Discord
• Acceder a contraseñas y tarjetas de crédito
• Vaciar billeteras de criptomonedas

Además, TikTok ha sido aprovechado por estafadores de criptomonedas, quienes publican falsas promociones de Elon Musk, Tesla y SpaceX para engañar a los usuarios e inducirlos a entregar sus claves privadas y datos financieros.

Recomendaciones para evitar infecciones por malware en TikTok

• Desconfía de videos que te pidan ejecutar comandos de PowerShell, incluso si parecen inofensivos o provienen de cuentas populares.
• Verifica siempre la autenticidad de los tutoriales, especialmente los relacionados con activaciones de software o funciones premium.
• Usa soluciones de ciberseguridad actualizadas con protección en tiempo real contra scripts y malware.
• No descargues archivos desde enlaces acortados o sospechosos, especialmente si provienen de redes sociales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La aplicación de mensajería segura Signal ha implementado una actualización clave en su versión para Windows 11 con el objetivo de proteger la privacidad de los usuarios frente a las nuevas funciones de inteligencia artificial impulsadas por Microsoft. En particular, Signal ha activado por defecto su función de "seguridad de pantalla" para bloquear el acceso de Recall, la polémica herramienta de Microsoft que captura y analiza capturas de pantalla de forma continua.

¿Qué es Microsoft Recall y por qué es un riesgo para la privacidad?

Recall, presentada por Microsoft en mayo de 2024, es una función basada en IA que toma capturas de pantalla periódicas de todas las ventanas activas del sistema para crear una base de datos indexada que puede consultarse mediante lenguaje natural. Aunque la idea detrás de Recall es facilitar la productividad, expertos en ciberseguridad han advertido que representa una amenaza significativa para la privacidad, ya que puede ser explotada por atacantes para robar información confidencial.

Para mitigar el riesgo, Microsoft anunció varios ajustes en Recall, incluyendo:

• Requerir autenticación con Windows Hello.
• Excluir ciertas aplicaciones, sitios web y sesiones privadas.
• Filtrar datos sensibles como contraseñas o números de tarjeta de crédito.
• Incorporar protecciones contra malware y ataques automatizados.

Sin embargo, estas medidas no han sido suficientes para tranquilizar a todos los usuarios ni a los desarrolladores de aplicaciones centradas en la privacidad como Signal.

Signal activa la seguridad de pantalla para bloquear Recall

Ante esta situación, Signal ha decidido actuar por su cuenta. La nueva función de "seguridad de pantalla" en Signal Desktop para Windows 11 impide que Recall y otras aplicaciones puedan realizar capturas de pantalla de las conversaciones, gracias al uso de una etiqueta de gestión de derechos digitales (DRM) que restringe el acceso al contenido visible de la aplicación.

Según Joshua Lund, desarrollador de Signal, "Microsoft no nos ha dejado otra opción. Aunque la compañía ha realizado varios ajustes a Recall en los últimos doce meses, su funcionamiento sigue poniendo en riesgo los datos sensibles mostrados en aplicaciones como Signal".

Consideraciones de accesibilidad y control del usuario

Signal reconoce que habilitar la seguridad de pantalla puede afectar la experiencia de usuarios que utilizan lectores de pantalla, especialmente en entornos como macOS o Linux, donde esta función no impide que otros programas capturen imágenes o grabaciones de las conversaciones.

Por este motivo, Signal permite desactivar la seguridad de pantalla manualmente desde el menú Configuración > Privacidad > Seguridad de la pantalla. No obstante, al hacerlo, la aplicación mostrará una advertencia destacando que Windows podría volver a capturar pantallas de los chats si Recall u otras herramientas están activas.

Un llamado a los desarrolladores de IA

Lund también expresó su preocupación sobre el enfoque de Microsoft y otros equipos de IA, señalando que las aplicaciones centradas en la privacidad no deberían verse obligadas a implementar soluciones de tipo "hack" para proteger los datos de sus usuarios.

Citar"Esperamos que los desarrolladores de IA consideren más seriamente las implicaciones de privacidad. Las personas no deberían tener que elegir entre accesibilidad y seguridad digital", afirmó Lund.

Recall ya está disponible en Windows 11 para el público general

En abril de 2025, Microsoft comenzó el despliegue de Recall a través de la actualización KB5055627 para dispositivos Copilot+. En mayo, amplió su disponibilidad a todos los usuarios que instalaron las actualizaciones del martes de parches correspondientes.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una operación internacional coordinada por Europol, denominada Operación RapTor, ha resultado en el arresto de 270 sospechosos vinculados a actividades criminales en la web oscura. Esta acción policial se centró en proveedores y compradores que operaban en mercados clandestinos en línea a lo largo de 10 países.

Las autoridades de Europa, América del Sur, Asia y Estados Unidos participaron en esta operación masiva, que también llevó a la incautación de más de 184 millones de euros (207 millones de dólares) en efectivo y criptomonedas, más de 2 toneladas de drogas (como anfetaminas, cocaína, ketamina, opioides y cannabis), y más de 180 armas de fuego.

Golpe mundial al crimen organizado en la web oscura

"Una operación global de aplicación de la ley, coordinada por Europol, ha asestado un gran golpe a las redes criminales de la dark web, con 270 arrestos de vendedores y compradores ilegales en múltiples países", declaró la agencia europea el jueves.

La Operación RapTor fue diseñada para desmantelar redes dedicadas al tráfico de drogas, armas y productos falsificados que operaban bajo la apariencia del anonimato en la darknet. Las fuerzas del orden utilizaron inteligencia obtenida de operaciones anteriores, como los cierres de los mercados ilegales Nemesis, Tor2Door, Bohemia y Kingdom Market, para identificar a los sospechosos.

Detenciones internacionales por país

La mayoría de los arrestos se llevaron a cabo en:

• Estados Unidos: 130 detenciones
• Alemania: 42
• Reino Unido: 37
• Francia: 29
• Corea del Sur: 19

Otros 13 sospechosos fueron detenidos en Países Bajos, Austria, Brasil, España y Suiza, reflejando el alcance verdaderamente global de esta ofensiva contra la delincuencia digital.

Inteligencia y colaboración: las claves del éxito

Edvardas Šileris, jefe del Centro Europeo de Ciberdelincuencia (EC3) de Europol, destacó la importancia de la colaboración internacional:

Citar"La Operación RapTor demuestra que la web oscura no es inmune al alcance de la ley. La cooperación entre agencias y el intercambio de inteligencia han sido fundamentales para identificar y arrestar a criminales que creían estar ocultos en las sombras digitales."

El equipo Joint Criminal Opioid and Darknet Enforcement (JCODE) del Departamento de Justicia de EE.UU. y Europol continúan analizando evidencia digital recopilada en redadas anteriores para localizar a otros sospechosos vinculados a actividades ilícitas en la darknet.

Antecedentes de operaciones similares contra la web oscura

La Operación RapTor forma parte de una serie de ofensivas globales lideradas por Europol y agencias asociadas para combatir la ciberdelincuencia y el narcotráfico digital:

• Operación SpecTor (2023): 288 arrestos y más de 55 millones de dólares incautados.
• Operación DisrupTor (2020): 179 detenciones de proveedores de la darknet.
• Operación Dark HunTOR (2021): 150 arrestos adicionales en plataformas ilícitas.
• Operación contra Hydra (2022): cierre del mayor mercado de la web oscura, con más de 19.000 cuentas de vendedores y más de 17 millones de clientes a nivel global.

Impacto en el ecosistema de la darknet

Estas operaciones han enviado un mensaje claro a los usuarios de la web oscura: el anonimato no garantiza impunidad. Los arrestos masivos y las incautaciones millonarias demuestran que las autoridades poseen los medios técnicos y legales para rastrear, identificar y detener a los delincuentes digitales, incluso en entornos cifrados y distribuidos.

En fin, la Operación RapTor representa uno de los mayores golpes recientes contra la criminalidad en la web oscura, con un alcance multinacional, incautaciones significativas y un fuerte impacto disuasorio. La colaboración entre agencias de ciberseguridad, policía internacional y unidades especializadas en criptomonedas es clave para frenar el crecimiento de la economía criminal en línea.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las campañas de ciberdelincuentes están evolucionando para atacar a usuarios de macOS mediante aplicaciones falsas de Ledger, con el objetivo de robar frases semilla y obtener acceso completo a billeteras de criptomonedas.

Ledger, una de las marcas más reconocidas de billeteras de hardware para criptomonedas, permite almacenar activos digitales de forma segura y fuera de línea. Su mecanismo de recuperación, la frase semilla (seed phrase), es un conjunto de 12 o 24 palabras aleatorias que permite restaurar el acceso a los fondos. Esta frase debe guardarse en privado, fuera de línea y nunca ser introducida en software o sitios no oficiales.

Evolución de los ataques contra usuarios de Ledger en macOS

Según un informe reciente de Moonlock Lab, los ataques comenzaron en agosto de 2024, cuando versiones maliciosas de la app Ledger Live clonaban la interfaz legítima para recolectar contraseñas, notas y detalles de las billeteras, aunque sin lograr acceso completo a los fondos.

Sin embargo, a partir de marzo de 2025, los ataques evolucionaron con la aparición de un malware para macOS llamado Odyssey, vinculado a un actor de amenazas identificado como Rodrigo. Esta variante sustituye la aplicación Ledger Live real por una versión troyanizada que muestra un mensaje de "error crítico" y luego solicita a la víctima que ingrese su frase inicial de 24 palabras en una interfaz falsa.

Una vez introducida la frase semilla, los atacantes pueden vaciar completamente las carteras Ledger, robando activos como Bitcoin, Ethereum y otras criptomonedas en cuestión de segundos.

Malware Odyssey y campañas imitadoras

Odyssey también es capaz de robar nombres de usuario de macOS y exfiltrar toda la información recopilada a un servidor C2 (comando y control). Su efectividad generó rápidamente la aparición de malware imitador, como el conocido ladrón AMOS, que adoptó estrategias similares para atacar a los usuarios.

En abril, se detectó una campaña de AMOS utilizando un archivo DMG troyanizado (JandiInstaller.dmg) que logra evadir Gatekeeper, el sistema de seguridad de macOS. Esta aplicación mostraba pantallas de phishing idénticas a las de Odyssey. Una vez que la víctima introducía su frase semilla, se mostraba un mensaje falso de "Aplicación corrupta", lo que retrasaba la sospecha mientras se realizaba el robo de activos.

Nuevos actores y campañas activas en 2025

Investigadores de la empresa de seguridad Jamf detectaron recientemente una campaña en curso en la que un archivo DMG ejecuta una versión falsa de Ledger Live que carga una página de phishing mediante iframe, imitando la interfaz oficial. Estos ataques combinan técnicas de phishing dirigido, robo de datos del navegador, y análisis del sistema macOS, para maximizar la extracción de información sensible y criptomonedas.

Además, otro actor identificado en foros de la dark web, bajo el alias @mentalpositive, ha estado promocionando un supuesto módulo "anti-Ledger", aunque hasta ahora no se han detectado muestras funcionales.

Cómo proteger tu billetera Ledger en macOS

Para mantener tus activos digitales seguros y proteger tu billetera Ledger en macOS:

• Descarga Ledger Live solo desde el sitio oficial (No tienes permitido ver enlaces. Registrate o Entra a tu cuenta).
• Nunca ingreses tu frase semilla en una aplicación o sitio web. La frase solo debe escribirse en el dispositivo físico de Ledger durante la configuración o recuperación.
• Evita abrir archivos .DMG de fuentes no verificadas. Verifica la firma del desarrollador antes de instalar cualquier software.
• Activa Gatekeeper y el escaneo automático de malware en tu Mac.
• Considera utilizar software antivirus específico para macOS que detecte malware como Odyssey o AMOS.

En fin, los ataques dirigidos a usuarios de Ledger en macOS están aumentando en frecuencia y sofisticación. El objetivo principal de los ciberdelincuentes es la frase semilla, el acceso maestro a tus criptomonedas. La mejor defensa es la prevención, evitando apps no oficiales y manteniéndose alerta ante cualquier comportamiento sospechoso del sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un grupo de amenazas persistentes avanzadas de habla china, identificado como UAT-6382, ha sido vinculado a la explotación activa de la vulnerabilidad CVE-2025-0944 en el software Trimble Cityworks, con el objetivo de comprometer redes gubernamentales en Estados Unidos. Esta campaña maliciosa permitió la distribución de Cobalt Strike y VShell, dos herramientas ampliamente utilizadas para el control remoto y la persistencia en entornos comprometidos.

Explotación de la vulnerabilidad CVE-2025-0944

La vulnerabilidad CVE-2025-0944, con una puntuación CVSS de 8.6, corresponde a un fallo de deserialización de datos no confiables en Trimble Cityworks, una plataforma de gestión de activos basada en GIS utilizada por múltiples organismos públicos. Esta falla permitía la ejecución remota de código (RCE) en sistemas vulnerables.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) añadió CVE-2025-0944 a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) en febrero de 2025, tras confirmar su uso activo en campañas dirigidas.

Técnicas del grupo UAT-6382

Según un análisis técnico publicado por los investigadores de Cisco Talos, Asheer Malhotra y Brandon White, los ataques comenzaron a partir de enero de 2025 y se enfocaron principalmente en redes empresariales de agencias gubernamentales locales dentro de Estados Unidos.

Citar"UAT-6382 explotó con éxito CVE-2025-0944, realizó tareas de reconocimiento inicial y desplegó una serie de shells web y malware personalizado para mantener acceso persistente", explicaron los expertos.

Una vez obtenido el acceso inicial, UAT-6382 mostró especial interés en sistemas relacionados con la gestión de servicios públicos, apuntando directamente a infraestructuras críticas.

Herramientas utilizadas en la intrusión

La explotación de Trimble Cityworks permitió a UAT-6382 desplegar un cargador de malware escrito en Rust, identificado por Cisco Talos como TetraLoader. Esta herramienta está basada en MaLoader, un framework de construcción de malware disponible públicamente y escrito en chino simplificado, lo que refuerza el vínculo del grupo con actores de origen chino.

TetraLoader fue utilizado para cargar y ejecutar:

• Cobalt Strike, una conocida herramienta de post-explotación usada en pruebas de penetración y por actores maliciosos.
• VShell, una herramienta de acceso remoto (RAT) desarrollada en Go, utilizada para mantener el acceso a largo plazo a los sistemas infectados.

Además, los atacantes desplegaron una variedad de web shells populares en el ecosistema de cibercrimen chino, entre ellos:

• AntSword
• chinatso/Chopper
• Behinder

Estas herramientas facilitaron la ejecución remota de comandos, el movimiento lateral y la exfiltración de datos sensibles.

Reconocimiento y persistencia

Durante la campaña, los operadores de UAT-6382 realizaron una enumeración exhaustiva de directorios en los servidores comprometidos para identificar archivos de interés. Luego, trasladaron estos archivos a directorios donde se encontraban los web shells, permitiendo así una exfiltración discreta.

Citar"UAT-6382 descargó e implementó múltiples puertas traseras usando PowerShell, lo que les permitió mantener control total sobre los sistemas comprometidos", detallaron los investigadores de Cisco Talos.

Recomendaciones de seguridad

Aunque la vulnerabilidad ya ha sido parcheada por Trimble, es crucial que las organizaciones tomen medidas inmediatas para reducir el riesgo de compromisos similares:

• Aplicar todas las actualizaciones de seguridad disponibles para Trimble Cityworks.
• Realizar una auditoría de los sistemas potencialmente expuestos a través de CVE-2025-0944.
• Monitorizar indicadores de compromiso (IoCs) asociados con TetraLoader, Cobalt Strike, VShell y los shells web mencionados.
• Implementar reglas de detección para PowerShell anómalo y procesos ejecutados desde ubicaciones no estándar.

En fin, el ataque dirigido por UAT-6382 contra sistemas que utilizan Trimble Cityworks representa una grave amenaza para las infraestructuras gubernamentales locales, aprovechando una vulnerabilidad crítica para desplegar herramientas avanzadas de ciberespionaje. Esta campaña refuerza la necesidad urgente de mantener una gestión de vulnerabilidades proactiva, así como una vigilancia constante frente a amenazas persistentes avanzadas (APT) de origen extranjero.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva vulnerabilidad de escalada de privilegios en Windows Server 2025 podría permitir que atacantes comprometan a cualquier usuario dentro de un entorno de Active Directory (AD), incluidos los administradores de dominio. El fallo está relacionado con una función recientemente introducida: las Cuentas de Servicio Administradas Delegadas (dMSA).

¿En qué consiste la vulnerabilidad?

La investigación, publicada por Yuval Gordon, experto en seguridad de Akamai, y compartida con The Hacker News, revela que el fallo puede ser explotado con la configuración predeterminada de Windows Server 2025, lo que lo convierte en un vector de ataque potencialmente masivo.

Citar"El ataque explota la función dMSA introducida en Windows Server 2025, funciona con la configuración por defecto y es trivial de implementar", explicó Gordon.

Según los análisis de Akamai, el 91% de los entornos evaluados presentaban usuarios fuera del grupo de administradores de dominio con los permisos necesarios para llevar a cabo el ataque.

¿Qué son las cuentas dMSA y por qué son un riesgo?

Las dMSA (Delegated Managed Service Accounts) fueron incorporadas en Windows Server 2025 como una solución para reemplazar cuentas de servicio tradicionales y mitigar ataques como el Kerberoasting. Estas cuentas permiten crear servicios administrados más seguros y con menor exposición de contraseñas.

Sin embargo, esta misma funcionalidad puede ser manipulada para crear una vía de ataque que ha sido bautizada por Akamai como BadSuccessor.

Citar"dMSA permite a los usuarios crear nuevas cuentas de servicio o reemplazar cuentas de servicio existentes. Durante este proceso, la autenticación se gestiona mediante la Autoridad de Seguridad Local (LSA) y el nuevo dMSA hereda todos los accesos previos", explica Microsoft en su documentación oficial.

El problema de seguridad: PAC y SIDs heredados

El problema se origina en la fase de autenticación Kerberos. Cuando un ticket de concesión de tickets (TGT) es emitido por el Centro de Distribución de Claves (KDC), el certificado de atributo de privilegio (PAC) incluido en el ticket contiene el identificador de seguridad (SID) de la nueva dMSA, así como los SIDs del usuario original y sus grupos asociados.

Esta transferencia de permisos no intencionada puede ser aprovechada por atacantes para simular una migración legítima de cuenta, escalando privilegios sin necesidad de tener control sobre la cuenta de origen. Incluso si una organización no utiliza dMSA, podría estar en riesgo.

Citar"Lo más preocupante es que esta técnica de migración simulada no requiere permisos sobre la cuenta reemplazada, solo permisos de escritura sobre los atributos de cualquier dMSA", advirtió Gordon.

Una vez configurada una dMSA como sucesora de un usuario, el KDC asume una migración válida y asigna todos los permisos del usuario anterior a la nueva cuenta, permitiendo incluso obtener privilegios comparables al derecho de replicación de cambios de directorio, usado comúnmente en ataques DCSync.

Respuesta de Microsoft y mitigaciones

Akamai notificó a Microsoft el 1 de abril de 2025. La compañía de Redmond clasificó el fallo como de gravedad moderada, ya que la explotación requiere permisos específicos sobre objetos dMSA. Sin embargo, se confirmó que un parche ya está en desarrollo.

Mientras tanto, no existe una solución inmediata, por lo que se recomienda a las organizaciones tomar medidas proactivas:

• Restringir la capacidad de crear dMSA a usuarios o grupos estrictamente necesarios.
• Endurecer permisos en unidades organizativas (OU).
• Auditar permisos CreateChild en Active Directory.
• Usar el script de PowerShell publicado por Akamai, el cual permite enumerar todas las entidades que pueden crear dMSA y las OU donde tienen permiso.

En fin, esta vulnerabilidad en Windows Server 2025 demuestra cómo incluso nuevas funciones de seguridad pueden ser explotadas si no se implementan con un control de permisos riguroso. El ataque BadSuccessor representa una amenaza crítica para entornos Active Directory, especialmente aquellos que aún no han auditado su uso de dMSA.

Se recomienda a todos los administradores de sistemas y responsables de ciberseguridad que evalúen de inmediato sus políticas de permisos y creación de cuentas de servicio, en espera de un parche oficial por parte de Microsoft.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Investigadores de ciberseguridad han identificado paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hacían pasar por herramientas legítimas, pero que en realidad servían para verificar direcciones de correo electrónico robadas a través de las APIs de TikTok e Instagram.

Paquetes maliciosos eliminados de PyPI

Los tres paquetes detectados han sido retirados del repositorio, pero durante su tiempo en línea fueron descargados miles de veces:

• checker-SaGaF – 2.605 descargas
• Steinlurks – 1.049 descargas
• Sinnercore – 3.300 descargas

Según la investigadora Olivia Brown de Socket, el paquete checker-SaGaF estaba diseñado para verificar si una dirección de correo electrónico estaba asociada a cuentas en TikTok e Instagram. Lo hacía enviando solicitudes HTTP POST a los puntos finales de recuperación de contraseñas y login de ambas plataformas, validando así la existencia del correo electrónico como cuenta activa.

Riesgos asociados a la validación de correos electrónicos robados

Una vez verificados, los actores de amenazas pueden usar los correos electrónicos válidos para:

• Lanzar campañas de spam o doxing
• Realizar ataques de "credential stuffing"
• Suspender cuentas mediante reportes falsos
• Vender listas de correos válidos en la dark web

Brown advierte que "aunque pueda parecer inofensivo crear diccionarios de emails activos, esta información habilita cadenas completas de ciberataques y reduce la probabilidad de detección".

Steinlurks e Instagram: evasión de detección con API falsa

El segundo paquete malicioso, steinlurks, también apuntaba a cuentas de Instagram. Simulaba la aplicación oficial de Instagram para Android con el fin de evadir mecanismos de seguridad, y accedía a múltiples endpoints de la API:

• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este enfoque sofisticado permitía a los atacantes evitar mecanismos de detección automática de Instagram y verificar cuentas sin levantar alertas.

Sinnercore: objetivo múltiple con foco en Instagram, Telegram y criptomonedas

El paquete sinnercore se centraba en activar el flujo de recuperación de contraseña para usuarios de Instagram a través del endpoint:

• No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Pero además, incluía funcionalidades para extraer datos de usuarios de Telegram, como nombre, ID, biografía y estado premium. También incorporaba utilidades relacionadas con criptomonedas, como:

• Consulta de precios en tiempo real desde Binance
• Conversión de divisas
• Extracción de información detallada de paquetes PyPI, lo que podría usarse para crear perfiles falsos de desarrolladores o suplantación de identidad.

Campañas de puerta trasera en PyPI y conexiones con Phoenix Hyena

En paralelo, ReversingLabs reveló otro paquete malicioso llamado dbgpkg, que se hacía pasar por una herramienta de depuración. Este implante incluía una puerta trasera para permitir ejecución remota de código y exfiltración de datos. Aunque fue retirado tras unas 350 descargas, contenía la misma carga útil que discordpydebug, identificado anteriormente por Socket.

También se detectó un tercer paquete sospechoso: requestsdev, con 76 descargas antes de su eliminación. Se cree que todos forman parte de una campaña coordinada.

El análisis técnico sugiere que estos paquetes utilizaban técnicas avanzadas como:

• Uso de GSocket (Global Socket Toolkit) para comunicación encubierta
• Envoltura de funciones de Python para persistencia y evasión
• Persistencia de largo plazo sin ser detectados

Estas tácticas coinciden con el modus operandi del grupo hacktivista Phoenix Hyena (también conocido como DumpForums o Silent Crow), conocido por atacar objetivos rusos como Doctor Web tras el inicio del conflicto en Ucrania en 2022.

Aunque la atribución no es concluyente, el uso de cargas útiles idénticas y la fecha de publicación de los paquetes refuerzan la hipótesis de una posible conexión con este grupo.

Amenaza también en el ecosistema npm

Además del ecosistema Python, los investigadores han identificado paquetes maliciosos en npm, como koishi-plugin-pinhaofa, que instalan puertas traseras para exfiltrar datos desde chatbots que usan el framework Koishi.

Disfrazado como una herramienta de autocorrección ortográfica, el plugin escaneaba cada mensaje en busca de cadenas hexadecimales de 8 caracteres, que pueden representar:

• Hashes de confirmación de Git
• Tokens JWT truncados
• Credenciales API
• CRC-32 o GUIDs

Al detectar una coincidencia, reenviaba el mensaje completo a una cuenta de QQ codificada, potencialmente incluyendo secretos, contraseñas o tokens confidenciales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ha anunciado una nueva función en su navegador Chrome que fortalece la seguridad de las cuentas en línea al permitir que su Administrador de contraseñas (Google Password Manager) cambie automáticamente una contraseña comprometida cuando se detecta que ha sido filtrada en una brecha de datos.

Cambio automático de contraseñas: una nueva capa de seguridad en Chrome

Cuando un usuario inicia sesión en un sitio web y Chrome detecta que la contraseña está comprometida, el Administrador de contraseñas de Google ofrece una opción para corregirla automáticamente, según explicaron Ashima Arora, Chirag Desai y Eiji Kitamura, ingenieros de Google.

Citar"En los sitios web compatibles, Chrome puede generar una contraseña segura de reemplazo y actualizarla automáticamente, sin que el usuario tenga que intervenir manualmente", explicaron.

Esta función se basa en las capacidades ya existentes de Google Password Manager, que incluyen:

• Generación automática de contraseñas seguras al registrarse en un sitio.
• Detección de contraseñas vulneradas en filtraciones de datos públicas.
• Almacenamiento seguro y sincronización entre dispositivos.

Objetivo: reducir la fricción y mejorar la seguridad

Con esta nueva funcionalidad de cambio automático de contraseñas, Google busca reducir la fricción del usuario y facilitar la adopción de buenas prácticas de seguridad, sin requerir que el usuario busque configuraciones complejas o abandone el proceso a mitad de camino.

La automatización de este proceso ayuda a los usuarios a responder rápidamente ante una violación de seguridad, sin necesidad de conocimientos técnicos.

¿Cómo pueden los sitios web adoptar esta funcionalidad?

Google ha proporcionado directrices claras para que los administradores de sitios web adopten esta funcionalidad y mejoren la seguridad de sus usuarios:

• Usar los atributos autocomplete="current-password" y autocomplete="new-password" en los campos del formulario para habilitar el autocompletado y el almacenamiento de contraseñas.
• Configurar una redirección desde https://<dominio>/ .well-known/change-password hacia la página de cambio de contraseña del sitio web.

Esta última medida permite que los administradores de contraseñas como el de Google puedan dirigir automáticamente a los usuarios al formulario de cambio de contraseña.

Citar"Sería mucho más fácil si los administradores de contraseñas pudieran guiar al usuario directamente a la URL de cambio de contraseña", señaló Eiji Kitamura. "Aquí es donde una ruta de URL conocida se vuelve especialmente útil".

Transición hacia claves de acceso más seguras

Este avance en el gestor de contraseñas de Google Chrome ocurre en un momento en que las principales empresas tecnológicas están adoptando claves de acceso (passkeys) como una alternativa más segura a las contraseñas tradicionales.

Recientemente, Microsoft anunció que las claves de acceso serán el método predeterminado para nuevas cuentas de cliente, reforzando así su apuesta por la autenticación sin contraseña y la prevención de ataques de apropiación de cuentas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La operación de ransomware como servicio (RaaS) VanHelsing ha filtrado públicamente su código fuente, incluyendo su panel de afiliados, blog de filtración de datos y constructor de encriptadores para Windows, tras un intento de venta no autorizado por parte de un exdesarrollador en el foro de ciberdelincuencia RAMP.

VanHelsing: una nueva amenaza en el ecosistema RaaS

Lanzado en marzo de 2025, VanHelsing RaaS promociona su capacidad para atacar múltiples plataformas, incluidos Windows, Linux, BSD, sistemas ARM y servidores VMware ESXi. Desde su aparición, ha sido responsable de al menos ocho ataques confirmados, según el portal especializado No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Intento de venta en el foro RAMP desencadena la filtración

En la madrugada del 21 de mayo, un usuario bajo el alias 'th30c0der' intentó vender el código fuente de la infraestructura de VanHelsing por $10.000 USD. La oferta incluía:

• Claves TOR
• Panel web de administración
• Sistema de chat y servidor de archivos
• Blog de fuga de datos
• Constructor de encriptadores para Windows y Linux
• Base de datos

El anuncio, publicado en el foro RAMP, provocó una reacción inmediata por parte de los operadores legítimos de VanHelsing, quienes acusaron al vendedor de ser un antiguo miembro del equipo que intentaba estafar a otros actores de amenazas.

Como respuesta, el grupo decidió liberar el código fuente por su cuenta, asegurando que pronto lanzarán una nueva versión, denominada VanHelsing 2.0.

¿Qué incluye el código fuente filtrado?

El sitio de ciberseguridad BleepingComputer analizó el contenido filtrado y confirmó que incluye:

• El código fuente del encriptador para Windows.
• El panel de afiliados, con su punto final api.php.
• Un descifrador y un cargador (loader).

Elementos de un bloqueador de MBR, diseñado para sobrescribir el registro de arranque maestro con un cargador que muestra un mensaje de bloqueo.

No obstante, el material no incluye el constructor para Linux ni bases de datos completas, lo que limita su utilidad para investigadores de ciberseguridad y agencias de aplicación de la ley.

Análisis técnico del constructor de VanHelsing

El código presenta una estructura desordenada, con archivos de proyecto de Visual Studio ubicados en la carpeta "Release", que normalmente se reserva para binarios ya compilados. El constructor de ransomware necesita conectarse al panel de afiliados, previamente alojado en 31.222.238[.]208, para recopilar la información requerida para la compilación de los encriptadores.

Sin embargo, dado que también se filtró el código del panel de afiliados, los actores de amenazas podrían modificar el código fuente o desplegar sus propias versiones funcionales del sistema.

La historia se repite: filtraciones anteriores de código fuente de ransomware

Esta no es la primera vez que se filtra el código fuente de una operación de ransomware. Casos similares han tenido un impacto considerable en la evolución del malware:

• Babuk (junio 2021): Su constructor filtrado facilitó la creación de encriptadores para Windows y VMware ESXi, convirtiéndose en una de las bases más usadas por nuevos grupos.
• Conti (marzo 2022): La filtración del código tras una brecha interna permitió a otros actores lanzar sus propias variantes de este ransomware.
• LockBit (septiembre 2022): Un desarrollador descontento divulgó el constructor de la banda, el cual ha sido reutilizado extensamente por diversos grupos criminales.

Implicaciones de seguridad

La filtración del código fuente de VanHelsing representa una amenaza significativa, ya que reduce la barrera técnica para que ciberdelincuentes menos sofisticados puedan lanzar sus propias campañas de ransomware. También complica la labor de defensa de las empresas, al multiplicarse las variantes de malware basadas en este código.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad crítica de escalada de privilegios ha sido descubierta en el popular tema premium de WordPress Motors, desarrollado por StylemixThemes. Esta falla de seguridad permite a atacantes no autenticados tomar el control total de los sitios web afectados, incluyendo el secuestro de cuentas de administrador.

¿Qué es el tema Motors de WordPress?

Motors es uno de los temas automotrices más vendidos en la plataforma de WordPress. Diseñado específicamente para concesionarios de autos, servicios de alquiler de vehículos y portales de venta de autos usados, este tema ha sido adquirido más de 22.300 veces en Envato Market, donde cuenta con cientos de reseñas positivas y una comunidad de usuarios muy activa.

Detalles de la vulnerabilidad: CVE-2025-4322

La falla, identificada como CVE-2025-4322, fue divulgada públicamente por Wordfence, empresa líder en seguridad para WordPress, y registrada en la Base de Datos Nacional de Vulnerabilidades (NVD). Afecta a todas las versiones del tema Motors hasta la 5.6.67 inclusive.

Según Wordfence, el problema reside en que "el tema no valida correctamente la identidad del usuario antes de permitir el cambio de contraseña", lo que habilita a atacantes a:

• Cambiar contraseñas de usuarios arbitrariamente, incluso de administradores.
• Obtener acceso completo al panel de administración de WordPress.
• Instalar malware, robar datos confidenciales y redirigir tráfico a sitios maliciosos.

Actualización de seguridad disponible

El desarrollador StylemixThemes ha lanzado la versión 5.6.68 del tema Motors el 14 de mayo de 2025, corrigiendo la vulnerabilidad crítica. Se recomienda actualizar de inmediato a esta versión para mitigar riesgos de seguridad.

Debido a que los temas de WordPress son componentes esenciales del sitio y no pueden desactivarse fácilmente sin afectar su funcionalidad, es prioritario instalar esta actualización lo antes posible.

¿Cómo actualizar el tema Motors de forma segura?

StylemixThemes proporciona una guía detallada de actualización, con instrucciones para hacerlo a través del panel de administración de WordPress, mediante la API de Envato o manualmente por FTP.

🔒 Recomendación de seguridad: Antes de realizar cualquier actualización del tema, asegúrate de realizar una copia de seguridad completa del sitio web para evitar la pérdida de datos en caso de errores.

¿Quiénes están en mayor riesgo?

Aunque esta vulnerabilidad no afecta a un plugin masivamente instalado, como suele ser el caso en otras brechas de seguridad de WordPress, el impacto sigue siendo considerable. Dado su precio elevado —$79 por la licencia regular y $2.000 por la extendida—, Motors es comúnmente utilizado en sitios comerciales activos, lo que aumenta el potencial de explotación por parte de ciberdelincuentes.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Durante años, depositar saliva en un tubo fue el primer paso para descubrir el origen de tu ADN, conocer predisposiciones genéticas y hasta encontrar familiares perdidos. Todo desde casa. La empresa pionera en este modelo fue 23andMe, que popularizó el análisis genético como servicio de consumo masivo.

Sin embargo, esta historia ha dado un giro radical. Regeneron Pharmaceuticals anunció la compra de los principales activos de 23andMe por 256 millones de dólares, según su comunicado oficial. Esta adquisición, que aún debe ser aprobada por el tribunal de bancarrota y reguladores de EE. UU., marca el fin de una era y el inicio de una nueva etapa para millones de usuarios cuyos datos genéticos forman parte de la plataforma.

El colapso de 23andMe: de unicornio a venta forzosa

La caída de 23andMe no fue repentina. La empresa pasó de una valoración de más de 6.000 millones de dólares a una lucha desesperada por sobrevivir. Apostó por un modelo más ambicioso que incluía el desarrollo de fármacos, consultas médicas por suscripción y servicios de salud digital, pero no funcionó. Según The Wall Street Journal, la compañía gastó más de 1.000 millones de dólares y terminó vendiendo parte de sus activos en condiciones límite.

La operación de compra por parte de Regeneron no incluye todo el negocio. La farmacéutica se quedará con los activos estratégicos: el servicio de genómica directa al consumidor, su biobanco genético y las divisiones de investigación biomédica. No se incluye Lemonaid Health, la filial de telemedicina adquirida por 400 millones de dólares, cuyo cierre se ejecutará de forma independiente.

La privacidad del ADN, en el centro del debate

Con esta adquisición, el foco vuelve a estar en la privacidad de los datos genéticos. Regeneron ha prometido respetar las políticas actuales de uso de datos y someterse a auditorías independientes como parte del acuerdo legal. Aun así, expertos y defensores de la privacidad expresan su preocupación sobre cómo se gestionará una de las bases de datos genéticos más grandes del mundo.

Este recelo no es infundado. En 2023, 23andMe sufrió una filtración de datos masiva que afectó a 6,9 millones de usuarios. Según TechCrunch, los atacantes accedieron a perfiles habilitados para la función de "familiares genéticos", accediendo a nombres, ubicaciones y porcentajes de ADN compartido. Aunque la compañía atribuyó la filtración a la reutilización de contraseñas, el incidente dejó una gran mancha en su reputación.

Anne Wojcicki: la visión que no se concretó

La figura de Anne Wojcicki, cofundadora y rostro público de 23andMe, es inseparable de esta historia. Su visión era clara: convertir el análisis genético en una herramienta clave para la medicina personalizada. Durante años, lideró la expansión de la empresa y la defendió como una aliada para mejorar la salud global.

Sin embargo, la apuesta no prosperó. Wojcicki intentó recuperar el control cuando comenzaron los problemas financieros, pero perdió poder tras el inicio del proceso judicial. Según WSJ, sus acciones con voto preferente fueron anuladas y sus ofertas rechazadas por la junta directiva.

Regeneron y el futuro de la genómica personal

Con esta operación, Regeneron busca aprovechar el valor estratégico del ADN y avanzar en nuevos enfoques de tratamiento basados en perfiles genéticos. En su comunicado oficial, la farmacéutica aseguró que mantendrá el servicio para los usuarios actuales y seguirá desarrollando aplicaciones clínicas basadas en la enorme base de datos adquirida.

Este movimiento reabre viejas preguntas: ¿Quién debería controlar la información genética de millones de personas? ¿Es seguro entregar datos personales tan sensibles a empresas privadas? ¿Cómo se garantizará la seguridad de los datos genéticos en el futuro?

La venta de los activos de 23andMe a Regeneron no solo representa un cambio de manos, sino también un hito en la historia de la genómica de consumo. Mientras la empresa farmacéutica intenta capitalizar esta valiosa información, los usuarios y defensores de la privacidad seguirán exigiendo respuestas claras sobre el uso, la protección y el futuro de sus datos más íntimos: su ADN.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El sitio web oficial de RVTools, la popular utilidad de generación de informes para entornos VMware, ha sido hackeado para distribuir un instalador malicioso. Esta versión troyanizada se utilizaba para entregar Bumblebee, un conocido cargador de malware, lo que ha encendido las alarmas en la comunidad de ciberseguridad.

Sitios oficiales comprometidos: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En una declaración publicada brevemente antes de que los sitios fueran desconectados, la empresa responsable de RVTools informó:

Citar"Robware.net y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta están actualmente fuera de línea. Estamos trabajando rápidamente para restaurar el servicio y agradecemos su paciencia."

También advirtieron que:

Citar"Robware.net y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta son los únicos sitios web autorizados y compatibles con el software RVTools. No busque ni descargue el supuesto software de RVTools de ningún otro sitio web o fuente".

El instalador malicioso de RVTools descarga Bumblebee

La infección fue descubierta por el investigador de seguridad Aidan Leon, quien identificó que la versión comprometida del instalador de RVTools descargaba una DLL maliciosa, que luego ejecutaba Bumblebee, un cargador de malware utilizado frecuentemente como puerta de entrada a ataques más complejos, incluyendo ransomware.

Aún no se ha determinado cuánto tiempo estuvo disponible la versión maliciosa ni cuántos usuarios llegaron a descargarla antes de que el sitio fuera desconectado.

Recomendaciones para usuarios de RVTools

Se insta a todos los usuarios a:

• Verificar el hash del instalador de RVTools descargado recientemente.
• Revisar cualquier ejecución sospechosa de version.dll dentro de los directorios de usuario.

Estas medidas pueden ayudar a detectar posibles infecciones asociadas al malware Bumblebee y evitar consecuencias más graves.

Otro caso grave: software de impresoras Procolored con malware XRed y SnipVex

Simultáneamente, se ha revelado que el software oficial incluido con impresoras Procolored también estaba comprometido. En este caso, se descubrieron dos tipos de malware:

• XRed, una puerta trasera escrita en Delphi, activa desde al menos 2019.
• SnipVex, un clipper malicioso que reemplaza direcciones de criptomonedas en el portapapeles.

Los hallazgos fueron publicados por el youtuber Cameron Coward (Serial Hobbyism) y luego ampliados por el investigador de G DATA, Karsten Hahn.

Funcionalidades del backdoor XRed

XRed es capaz de:

• Registrar pulsaciones de teclas.
• Recopilar información del sistema.
• Propagarse mediante dispositivos USB conectados.
• Ejecutar comandos remotos desde un servidor de comando y control (C2).
• Tomar capturas de pantalla y manipular archivos.

Aunque el servidor C2 de XRed está inactivo desde febrero de 2024, el malware aún representa una amenaza significativa.

SnipVex: el malware que roba criptomonedas

SnipVex monitorea el portapapeles en busca de direcciones de criptomonedas (por ejemplo, Bitcoin) y las reemplaza por una dirección controlada por los atacantes. De forma alarmante:

• La dirección BTC utilizada ha recibido más de 9.3 BTC (unos 974.000 USD).
• SnipVex infecta archivos .EXE, insertando un marcador específico (0x0A 0x0B 0x0C) al final, para evitar una reinfección.
• Aunque el malware dejó de recibir transacciones desde el 3 de marzo de 2024, las infecciones siguen activas y afectan la integridad del sistema operativo.

Procolored reconoce compromiso en sus paquetes de software

La empresa Procolored confirmó que los paquetes infectados fueron cargados en MEGA en octubre de 2024 a través de unidades USB. En la actualidad, las descargas oficiales están limitadas a los siguientes productos:

• F13 Pro
• VF13 Pro
• V11 Pro

Aunque el servidor de control de XRed ya no está operativo, los archivos comprometidos con SnipVex siguen representando una amenaza para los usuarios.

Verificación y precaución son claves

La reciente oleada de compromisos en software legítimo, desde RVTools hasta Procolored, destaca la necesidad crítica de:

• Verificar las fuentes oficiales antes de descargar software.
• Analizar los instaladores con herramientas antivirus y hashes de verificación.
• Revisar comportamientos sospechosos, como la ejecución de DLLs inesperadas o cambios en el portapapeles.

Tanto administradores de sistemas como usuarios finales deben mantenerse alerta ante estas tácticas de distribución de malware cada vez más sofisticadas, que se aprovechan de herramientas confiables para infiltrarse en entornos corporativos y personales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Mozilla ha publicado una actualización de seguridad de emergencia para corregir dos vulnerabilidades de día cero en Firefox, descubiertas recientemente durante la competencia de ciberseguridad Pwn2Own Berlin 2025. Estas fallas afectaban tanto a la versión de Firefox para escritorio como a Firefox para Android, además de las versiones de soporte extendido (ESR).

Las correcciones fueron lanzadas pocas horas después del cierre del evento, el sábado, momento en el que se demostró la segunda vulnerabilidad. Ambas fallas fueron consideradas críticas por Mozilla, debido al potencial impacto en la seguridad de los usuarios.

Detalles de las vulnerabilidades corregidas

La primera vulnerabilidad, identificada como CVE-2025-4918, consiste en un problema de lectura/escritura fuera de límites en el motor JavaScript de Firefox, específicamente al resolver objetos Promise. Este exploit fue demostrado durante el segundo día de la competencia Pwn2Own por los investigadores Edouard Bochin y Tao Yan de Palo Alto Networks, quienes recibieron un premio de 50.000 dólares por su descubrimiento.

Por otro lado, la segunda falla, CVE-2025-4919, también está relacionada con errores de lectura y escritura fuera de los límites en objetos JavaScript. En este caso, el problema se origina en una confusión de los tamaños de los índices de matrices, lo que permitió al investigador Manfred Paul obtener acceso no autorizado al renderizador del navegador. Esta hazaña le valió también un premio de 50.000 dólares.

Mozilla refuerza la seguridad del sandbox

Aunque ambas fallas representaban riesgos importantes para los usuarios de Firefox, Mozilla destacó que ninguno de los participantes logró evadir el sandbox del navegador, lo que refuerza la efectividad de las mejoras arquitectónicas recientes implementadas en su mecanismo de aislamiento.

"A diferencia de años anteriores, ninguno de los grupos participantes pudo escapar de nuestro sandbox este año. Tenemos confirmación verbal de que esto se atribuye a mejoras significativas en la arquitectura de nuestro entorno de sandbox", señaló Mozilla en su comunicado oficial.

Mozilla responde con rapidez tras Pwn2Own

Tras la demostración pública de estas dos vulnerabilidades, Mozilla movilizó rápidamente a un equipo global de expertos que trabajó intensamente para desarrollar, probar e implementar los parches de seguridad en un plazo récord. Esta respuesta ágil busca evitar la posible explotación activa en escenarios reales, especialmente considerando que la exposición pública de las fallas podría incentivar ataques dirigidos.

Los usuarios de Firefox deben actualizar lo antes posible a las siguientes versiones seguras:

• Firefox 138.0.4
• Firefox ESR 128.10.1
• Firefox ESR 115.23.1

Contexto del evento Pwn2Own Berlin 2025

Pwn2Own Berlin 2025 concluyó el sábado con más de un millón de dólares en premios entregados a investigadores de todo el mundo. El equipo STAR Labs SG se consagró con el título "Master of Pwn", al lograr múltiples exploits exitosos durante el evento.

Esta no es la primera vez que Mozilla responde con celeridad ante vulnerabilidades reveladas en Pwn2Own. En la edición de Pwn2Own Vancouver 2024, también se demostraron dos fallas de día cero en Firefox, que fueron corregidas por la compañía al día siguiente.

En fin, la rápida actuación de Mozilla tras las vulnerabilidades CVE-2025-4918 y CVE-2025-4919 evidencia el compromiso de la empresa con la ciberseguridad de los usuarios de Firefox. Si bien no hay evidencia de explotación activa fuera del entorno controlado de Pwn2Own, se recomienda actualizar el navegador de inmediato para evitar posibles riesgos en el futuro.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta