Mensajes recientes
#21
Hacking / Zeus Grabber 2025
Último mensaje por redlineking - Julio 16, 2026, 05:00:27 PM
Zeus Grabber 2025
CitarCódigo: text
Zeus Grabber 2025
Zeus Grabber 2025
In the rapidly evolving cybersecurity landscape of 2025, Zeus Grabber 2025 remains one of the most powerful, free, and actively discussed open-source reconnaissance tools available to ethical hackers, penetration testers, and OSINT researchers. Originally developed by drcrypterdotru and hosted on GitHub, this GUI-based Python utility has earned a cult following for its simplicity, effectiveness, and zero-cost access to advanced domain and IP intelligence features.Penetration testing tools
If you've been searching for Zeus Grabber 2025 download, Zeus Grabber 2025 GitHub, or a complete guide to this legendary reverse IP lookup tool, you're in the right place. This SEO-optimized, Rank Math–friendly article covers everything: features, installation, safe usage, and why it continues to dominate in 2025.
Featured image alt text: Zeus Grabber 2025 dark-themed GUI showing live reverse IP results and domain list
Zeus Grabber 2025 is the latest evolution of the original Zeus-Grabber project (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login). It packs multiple reconnaissance modules into a single, beautiful graphical interface—no terminal required.
Core capabilities include:
Reverse IP lookup (via multiple public APIs)
Domain-to-IP resolution & random IP generation
Automated Google dorking with SQLi-focused searches
Zone-H defacement archive grabbing
Clean, exportable TXT/CSV output
Fully open-source under the MIT license and 100% free, Zeus Grabber 2025 is explicitly designed for educational purposes and authorized security testing.
These advantages make Zeus Grabber 2025 the go-to choice for students, bug bounty hunters, and red teams on a budget.
Image suggestion: Side-by-side comparison table of Zeus Grabber 2025 vs paid tools – alt text: "Why Zeus Grabber 2025 is the best free recon tool in 2025"
Step-by-Step Installation Guide (2025 Updated)
Method 1: Download Ready-to-Run EXE (Fastest)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
[/center]
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
[/center]
#22
Dudas y pedidos generales / Re:Vpn
Último mensaje por IDusk - Julio 16, 2026, 02:56:18 PMAmigo, cualquier proveedor de vpn puede sniffear el tráfico. Cuidado con lo que te instalas. Siempre revisa que sea confiable.
Si todo pare ser muy bonito y gratis, entonces están lucrando con tus datos.
Si todo pare ser muy bonito y gratis, entonces están lucrando con tus datos.
#23
Noticias Informáticas / ClickLock Stealer: nuevo malwa...
Último mensaje por Dragora - Julio 16, 2026, 12:21:22 PM
La plataforma macOS vuelve a situarse en el punto de mira de los ciberdelincuentes con la aparición de ClickLock Stealer, un sofisticado malware especializado en el robo de información que utiliza una innovadora técnica de coacción digital para obligar a las víctimas a introducir su contraseña de inicio de sesión. A diferencia de los tradicionales infostealers, este malware no solo emplea ingeniería social para engañar al usuario, sino que también inutiliza progresivamente el sistema operativo hasta convertir el escritorio en un entorno prácticamente inoperable.
Descubierto por los investigadores de Group-IB, ClickLock Stealer ha sido identificado en campañas activas desde mayo de 2026, afectando al menos a 100 víctimas distribuidas en 33 países, con una concentración significativa en Europa. Los expertos consideran que el malware aún se encuentra en desarrollo, aunque su nivel de sofisticación demuestra una clara evolución de las amenazas dirigidas contra equipos Apple.
¿Qué es ClickLock Stealer?
ClickLock Stealer es un malware de robo de información (Infostealer) diseñado específicamente para sistemas macOS. Su principal objetivo es obtener la contraseña del usuario y utilizarla para acceder al Llavero de macOS (Keychain), extraer credenciales almacenadas, descifrar información protegida de Google Chrome y robar datos altamente sensibles como cookies, carteras de criptomonedas, gestores de contraseñas y credenciales FTP.
Lo que diferencia a esta amenaza de otros programas maliciosos es que no depende únicamente del engaño inicial. Si el usuario rechaza introducir su contraseña, el malware responde bloqueando progresivamente el funcionamiento normal del sistema operativo hasta que la víctima cede.
Así comienza el ataque
La cadena de infección inicia mediante una campaña basada en la técnica ClickFix, una modalidad de ingeniería social que ha ganado popularidad durante el último año.
La víctima es dirigida a una página fraudulenta que simula una verificación de Cloudflare mediante un supuesto CAPTCHA acompañado por una barra de progreso falsa.
En lugar de realizar una comprobación legítima, la página solicita al usuario copiar y pegar un comando directamente en la aplicación Terminal de macOS.
Una vez ejecutado el comando, comienza silenciosamente la descarga del malware.
Durante esta fase:
- Se descargan varias cargas útiles desde sitios web comprometidos.
- Algunas se ejecutan directamente mediante Bash.
- Otras se almacenan ocultas en directorios del sistema.
- Se oculta el cursor del ratón.
- Se reducen las interrupciones del teclado para dificultar la interacción del usuario.
Todo el proceso está cuidadosamente diseñado para transmitir una falsa sensación de legitimidad.
Un falso cuadro de diálogo roba la contraseña
Tras la instalación inicial, ClickLock presenta una ventana que aparenta ser un cuadro de autenticación oficial de macOS.
El diálogo utiliza:
- El nombre real del usuario.
- Un icono de Apple descargado dinámicamente.
- Una interfaz prácticamente idéntica a la del sistema operativo.
La contraseña introducida no se envía inmediatamente.
Antes de transmitirla, el malware utiliza el comando dscl para comprobar localmente si la contraseña es válida.
Solo cuando la verificación resulta correcta, las credenciales son enviadas a los atacantes.
Este procedimiento evita que los operadores reciban contraseñas erróneas y mejora considerablemente la eficacia de la campaña.
El sistema se convierte en un rehén
La característica más innovadora de ClickLock es su mecanismo de presión psicológica.
Si el usuario decide cancelar el cuadro de autenticación, el malware instala automáticamente dos LaunchAgents, garantizando su persistencia incluso después de reiniciar el equipo.
Durante el siguiente inicio de sesión comienza un auténtico secuestro del escritorio.
Cada 210 milisegundos, el malware fuerza el cierre de aplicaciones esenciales como:
- Finder.
- Dock.
- Spotlight.
- Terminal.
- Monitor de Actividad.
- Safari.
- Google Chrome.
- Mozilla Firefox.
- Microsoft Edge.
Este ciclo puede mantenerse activo durante aproximadamente 83 horas, aunque algunos procesos secundarios permanecen ejecutándose hasta 34 días.
El resultado es un escritorio prácticamente inutilizable donde únicamente permanece visible un cuadro solicitando la contraseña del usuario.
También bloquea las herramientas de seguridad
El malware elimina deliberadamente muchas de las herramientas que normalmente utilizaría un administrador para detener la infección.
Entre ellas:
- Monitor de Actividad.
- Terminal.
- Notification Center.
La desactivación del Centro de Notificaciones durante varias horas también evita que el usuario reciba determinados avisos relacionados con Gatekeeper u otros mecanismos de protección de macOS.
Si Terminal aún no dispone de permisos de Acceso Completo al Disco, el propio malware abre automáticamente la configuración correspondiente e intenta convencer al usuario para que conceda dichos privilegios.
¿Qué información roba ClickLock?
Una vez obtenida la contraseña válida, comienza la fase de exfiltración de datos.
Los investigadores de Group-IB comprobaron que el malware recopila una enorme cantidad de información confidencial.
Entre los datos robados destacan:
- Contraseña de inicio de sesión de macOS.
- Llavero (Keychain) completo.
- Cookies del navegador.
- Credenciales almacenadas.
- Historial de navegación.
- Historial de comandos de Terminal.
- Archivos de FileZilla.
- Datos de gestores de contraseñas.
- Extensiones de billeteras de criptomonedas.
- Carteras digitales de escritorio.
- Credenciales FTP.
- Información de perfiles de navegadores.
Todo este contenido se comprime posteriormente en un archivo ZIP antes de ser enviado al atacante.
El verdadero objetivo: la clave AES de Chrome
Uno de los elementos más valiosos obtenidos por ClickLock es la Chrome Safe Storage Key, la clave AES utilizada por Google Chrome para cifrar localmente:
- Contraseñas.
- Cookies.
- Tokens de autenticación.
Con esta clave, los delincuentes pueden descifrar toda esa información fuera del equipo de la víctima, facilitando el secuestro de sesiones activas y el acceso a múltiples servicios sin necesidad de conocer las contraseñas originales.
Por ello, Group-IB recomienda considerar comprometidas todas las credenciales almacenadas en Chrome tras una infección.
Infraestructura difícil de rastrear
Uno de los aspectos que más llamó la atención de los investigadores es la ausencia de una infraestructura tradicional de comando y control (C2).
En lugar de ello, ClickLock emplea:
- Bots de Telegram para la exfiltración.
- Sitios web legítimos previamente comprometidos.
- Servidores WordPress hackeados.
- Una versión modificada de GSocket, una conocida herramienta de túneles cifrados de código abierto.
Gracias a esta estrategia, los operadores reducen considerablemente la probabilidad de ser detectados.
Apple ya había intentado bloquear este tipo de ataques
En marzo de 2026 Apple introdujo nuevas medidas de protección en macOS 26.4.
Entre ellas destacan:
- Advertencias cuando Terminal detecta comandos pegados potencialmente peligrosos.
- Bloqueo automático de malware conocido.
Sin embargo, estas medidas presentan limitaciones.
Las advertencias únicamente aparecen bajo determinadas circunstancias y continúan ofreciendo un botón que permite ejecutar igualmente el contenido copiado.
Además, la protección depende de que Apple ya conozca previamente el malware.
ClickLock fue desarrollado precisamente para adaptarse a estas nuevas defensas.
Indicadores de compromiso detectados por Group-IB
Los investigadores identificaron varios comportamientos especialmente útiles para detectar esta amenaza.
Entre ellos destacan:
- Ejecución del comando security find-generic-password desde scripts de shell.
- Uso de osascript para mostrar falsos cuadros de autenticación.
- Creación sospechosa de LaunchAgents mediante launchctl.
- Descarga de archivos utilizando curl canalizado directamente hacia Bash.
- Lecturas masivas de perfiles de navegadores.
- Comunicación con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.
- Finalización repetitiva de procesos mediante killall y pkill.
La presencia conjunta de varios de estos indicadores debe considerarse una fuerte señal de compromiso.
¿Qué hacer si sospechas una infección?
Si un equipo comienza a cerrar continuamente aplicaciones mientras solicita repetidamente la contraseña del sistema, los expertos recomiendan no introducir las credenciales bajo ninguna circunstancia.
Las acciones recomendadas incluyen:
- Mantener presionado el botón de encendido hasta apagar completamente el Mac.
- Reiniciar el equipo en Modo Seguro.
- Analizar el sistema con herramientas antimalware especializadas.
- Revocar inmediatamente todas las sesiones activas del navegador.
- Cambiar todas las contraseñas almacenadas.
- Sustituir las claves de billeteras de criptomonedas si estaban guardadas en el equipo.
- Revisar el Llavero de macOS y eliminar cualquier elemento sospechoso.
En dispositivos con Apple Silicon, el acceso al Modo Seguro requiere mantener pulsado el botón de encendido hasta que aparezcan las opciones de arranque y seleccionar posteriormente la opción correspondiente.
ClickLock marca una nueva evolución en el malware para macOS
ClickLock Stealer representa un cambio significativo en la evolución de las amenazas dirigidas a macOS. Más allá del robo tradicional de credenciales, introduce una estrategia de coacción interactiva que convierte al propio sistema operativo en un instrumento de presión para obligar al usuario a entregar su contraseña.
La combinación de ingeniería social, persistencia mediante LaunchAgents, robo del Llavero de macOS, extracción de la clave AES de Chrome y uso de infraestructura distribuida basada en Telegram y GSocket demuestra un alto grado de sofisticación. Aunque Apple ha reforzado las defensas de macOS con nuevas funciones de protección, este caso evidencia que los atacantes continúan adaptándose rápidamente a los cambios de seguridad.
Para minimizar el riesgo, es fundamental mantener macOS actualizado, desconfiar de cualquier sitio que solicite ejecutar comandos en Terminal, habilitar soluciones de seguridad avanzadas y formar a los usuarios para identificar campañas de ingeniería social como ClickFix. La prevención sigue siendo la mejor defensa frente a amenazas capaces de convertir un simple clic en el inicio de un compromiso total del sistema.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#24
Noticias Informáticas / Zoom corrige vulnerabilidad cr...
Último mensaje por Dragora - Julio 16, 2026, 12:16:33 PM
Zoom ha publicado una nueva serie de actualizaciones de seguridad para corregir múltiples vulnerabilidades que afectan a sus productos para Windows, entre ellas una falla crítica que podría permitir a un atacante tomar el control de cuentas de usuarios mediante acceso a la red. La vulnerabilidad, identificada como CVE-2026-53412, recibió una puntuación de 9,8 sobre 10 en la escala CVSS, lo que la sitúa entre las amenazas de mayor gravedad para la popular plataforma de videoconferencias.
Además de esta vulnerabilidad crítica, la compañía solucionó otras tres fallas de alta severidad relacionadas con la escalada de privilegios y errores en la gestión de permisos, reforzando así la seguridad de Zoom Workplace, Zoom VDI y Zoom Rooms para Windows.
Aunque hasta el momento no existen evidencias de explotación activa de estas vulnerabilidades, los expertos en ciberseguridad recomiendan instalar las actualizaciones de inmediato para reducir el riesgo de ataques y proteger la información corporativa y personal.
CVE-2026-53412: una vulnerabilidad crítica que pone en riesgo las cuentas de Zoom
La vulnerabilidad más importante corregida por Zoom es CVE-2026-53412, un fallo clasificado con una puntuación CVSS de 9,8, considerado crítico debido al impacto potencial que puede tener sobre los usuarios.
Según explicó Zoom en su aviso oficial de seguridad, el problema se origina por una validación incorrecta de entradas (Improper Input Validation) presente en varios de sus productos para Windows.
Esta deficiencia permite que un atacante no autenticado, siempre que tenga acceso a la red, pueda ejecutar acciones que desemboquen en una toma de control de la cuenta de un usuario afectado.
La combinación de un alto impacto y la posibilidad de explotación remota convierte esta vulnerabilidad en una prioridad para administradores de sistemas, empresas y usuarios particulares que utilizan Zoom como herramienta de colaboración.
Productos afectados por la vulnerabilidad crítica
La falla CVE-2026-53412 afecta a diversos componentes del ecosistema Zoom para Windows, incluyendo:
- Zoom Desktop Client para Windows.
- Zoom Workplace para Windows.
- Zoom VDI Client para Windows.
- Zoom Meeting SDK para Windows.
Estos productos son ampliamente utilizados tanto en entornos empresariales como educativos, por lo que una vulnerabilidad de este nivel representa un riesgo considerable para organizaciones que dependen diariamente de la plataforma para reuniones virtuales, trabajo remoto y comunicación interna.
Zoom también corrige tres vulnerabilidades de alta gravedad
Junto con la vulnerabilidad crítica, Zoom publicó parches para otras tres fallas catalogadas como de alta severidad, todas relacionadas con la posibilidad de que un atacante autenticado obtenga privilegios elevados dentro del sistema.
CVE-2026-53411: escalada de privilegios en Zoom Workplace VDI
La primera vulnerabilidad de alta gravedad corresponde a CVE-2026-53411, con una puntuación CVSS de 7,8.
El fallo afecta al plugin Zoom Workplace VDI para Windows anterior a la versión 6.6.14.
La vulnerabilidad se debe igualmente a una validación incorrecta de entradas y puede permitir que un usuario autenticado con acceso local obtenga privilegios superiores a los inicialmente asignados.
Aunque requiere acceso previo al equipo, este tipo de vulnerabilidades suele utilizarse como parte de cadenas de ataque más complejas para comprometer completamente un sistema.
CVE-2026-53410: condición de carrera durante la instalación
Otra de las vulnerabilidades corregidas es CVE-2026-53410, clasificada con una puntuación CVSS de 7,0.
En este caso, el problema corresponde a una condición de carrera TOCTOU (Time-of-Check to Time-of-Use) presente durante los procesos de instalación y desinstalación de determinados clientes de Zoom para Windows.
Este tipo de vulnerabilidad aparece cuando un recurso cambia entre el momento en que el sistema verifica su estado y el momento en que finalmente lo utiliza.
Un atacante autenticado con acceso local podría aprovechar esta condición para obtener privilegios elevados y ejecutar acciones no autorizadas dentro del sistema operativo.
Productos afectados por CVE-2026-53410
Zoom confirmó que esta vulnerabilidad afecta a múltiples productos:
Zoom Workplace para Windows anteriores a la versión 7.0.5.
Zoom Workplace VDI Client para Windows anteriores a las versiones 6.5.17 y 6.6.14.
Zoom Workplace VDI Plugin para Windows anteriores a las versiones 6.5.17 y 6.6.14.
Zoom Rooms para Windows anteriores a la versión 7.0.5.
Remote Control para Zoom Contact Center para Windows anteriores a la versión 7.0.0.
La amplia cantidad de componentes afectados demuestra la importancia de revisar cuidadosamente las versiones instaladas en todos los dispositivos corporativos.
CVE-2026-53409: problemas en la gestión de privilegios
La cuarta vulnerabilidad solucionada por Zoom es CVE-2026-53409, con una puntuación CVSS de 7,8.
Esta falla afecta a Zoom Rooms para Windows anteriores a la versión 7.1.0.
El problema está relacionado con una gestión inadecuada de privilegios que puede permitir que un usuario autenticado con acceso local eleve sus permisos y ejecute acciones restringidas dentro del sistema.
Si bien requiere acceso físico o una sesión ya comprometida, este tipo de vulnerabilidades puede facilitar movimientos laterales dentro de una infraestructura corporativa.
¿Existe explotación activa?
Hasta el momento de la publicación del aviso de seguridad, Zoom indicó que no tiene conocimiento de ataques activos que aprovechen ninguna de las cuatro vulnerabilidades.
No obstante, esta situación puede cambiar rápidamente.
Es habitual que, tras la publicación de un boletín de seguridad, investigadores y actores maliciosos analicen las diferencias entre versiones para desarrollar exploits funcionales.
Por ello, los especialistas en ciberseguridad recomiendan aplicar las actualizaciones antes de que aparezcan pruebas de concepto públicas o campañas de explotación dirigidas.
Cómo proteger los sistemas frente a estas vulnerabilidades
La principal recomendación de Zoom consiste en actualizar inmediatamente todos los productos afectados a las versiones corregidas.
Además, resulta aconsejable adoptar otras medidas de seguridad complementarias, entre ellas:
- Mantener habilitadas las actualizaciones automáticas siempre que sea posible.
- Verificar periódicamente la versión instalada del cliente de Zoom.
- Restringir los privilegios administrativos únicamente al personal autorizado.
- Implementar soluciones de detección y respuesta ante amenazas (EDR).
- Supervisar los registros de actividad para detectar comportamientos anómalos.
- Aplicar políticas de mínimo privilegio en todos los equipos corporativos.
- Complementar la seguridad con autenticación multifactor (MFA) para proteger las cuentas de usuario.
Estas prácticas reducen considerablemente el riesgo de explotación incluso cuando aparecen nuevas vulnerabilidades.
La importancia de mantener Zoom actualizado
Las plataformas de videoconferencia se han convertido en herramientas críticas para empresas, instituciones educativas y organismos públicos. Esto las convierte también en un objetivo atractivo para los ciberdelincuentes, quienes buscan explotar cualquier vulnerabilidad para acceder a información sensible, interrumpir operaciones o comprometer redes corporativas.
El lanzamiento de estas actualizaciones por parte de Zoom demuestra la importancia de mantener una gestión proactiva de la ciberseguridad. Vulnerabilidades como CVE-2026-53412, capaces de facilitar el secuestro de cuentas mediante acceso a la red, representan un riesgo significativo si no se corrigen a tiempo.
Aunque actualmente no existen evidencias de explotación en ataques reales, la experiencia demuestra que los actores maliciosos suelen actuar con rapidez una vez que los detalles técnicos de una vulnerabilidad son públicos. Por ello, aplicar las versiones más recientes de Zoom Workplace, Zoom VDI, Zoom Meeting SDK y Zoom Rooms para Windows debe ser una prioridad para cualquier organización que desee mantener la confidencialidad, integridad y disponibilidad de sus sistemas.
Mantener el software actualizado, combinar las actualizaciones con políticas de seguridad sólidas y fomentar buenas prácticas entre los usuarios sigue siendo la estrategia más efectiva para minimizar la superficie de ataque y proteger los entornos digitales frente a amenazas cada vez más sofisticadas.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#25
Noticias Informáticas / Windows 11 24H2 dejará de reci...
Último mensaje por Dragora - Julio 16, 2026, 12:07:54 PM
Microsoft ha confirmado oficialmente que Windows 11 24H2 Home y Pro, junto con Windows 10 Enterprise LTSB 2016, dejarán de recibir actualizaciones de seguridad y mantenimiento en octubre de 2026. Este anuncio representa un paso importante dentro del ciclo de vida del sistema operativo y supone un llamado de atención para millones de usuarios y organizaciones que aún utilizan estas versiones.
El fin del soporte implica que estos sistemas operativos ya no recibirán parches de seguridad, correcciones de errores ni mejoras de rendimiento, incrementando significativamente el riesgo de sufrir ataques informáticos, vulnerabilidades de día cero y otros incidentes de ciberseguridad.
Ante este escenario, Microsoft recomienda migrar cuanto antes a Windows 11 25H2, la versión más reciente del sistema operativo, con el objetivo de mantener los dispositivos protegidos frente a las amenazas actuales y futuras.
Microsoft anuncia el fin de las actualizaciones para Windows 11 24H2
A través de una actualización publicada en su centro de mensajes, Microsoft informó que el 13 de octubre de 2026 finalizará el soporte para las siguientes ediciones:
- Windows 11 Home versión 24H2.
- Windows 11 Pro versión 24H2.
- Windows 10 Enterprise LTSB 2016.
A partir de esa fecha, los equipos que continúen utilizando estas versiones dejarán de recibir las habituales actualizaciones acumulativas mensuales, incluyendo tanto los parches de seguridad como las actualizaciones de calidad y estabilidad.
La compañía explicó que los dispositivos afectados permanecerán operativos, pero estarán expuestos a nuevas vulnerabilidades que no serán corregidas, aumentando el riesgo de compromisos de seguridad y pérdida de información.
¿Qué significa el fin del soporte de Windows?
Cuando Microsoft declara el fin del soporte de una versión de Windows, no significa que el sistema deje de funcionar de inmediato.
Sin embargo, sí implica importantes consecuencias para la seguridad y el rendimiento de los equipos.
Entre los principales cambios destacan:
- Fin de las actualizaciones de seguridad.
- Ausencia de correcciones para nuevas vulnerabilidades.
- No se publicarán mejoras de estabilidad.
- Mayor exposición frente a ransomware y malware.
- Posibles incompatibilidades con aplicaciones modernas.
- Reducción del soporte ofrecido por fabricantes de software y hardware.
En la práctica, continuar utilizando una versión sin soporte incrementa considerablemente la superficie de ataque disponible para los ciberdelincuentes.
Enterprise y Education continuarán recibiendo soporte
Aunque las ediciones Home y Pro llegarán al final de su ciclo de vida en octubre de 2026, Microsoft confirmó que las versiones Windows 11 Enterprise y Windows 11 Education permanecerán bajo soporte general hasta el 12 de octubre de 2027.
Esta diferencia responde al modelo de mantenimiento que Microsoft aplica a las ediciones empresariales, diseñadas para organizaciones que requieren ciclos de actualización más largos y una mayor estabilidad en sus entornos corporativos.
Esto permite que empresas, instituciones educativas y organismos gubernamentales planifiquen sus migraciones con mayor flexibilidad y reduzcan el impacto operativo de las actualizaciones.
Windows 11 25H2 es la actualización recomendada
Para evitar riesgos de seguridad, Microsoft recomienda actualizar los equipos a Windows 11 versión 25H2, conocida también como Windows 11 2025 Update.
Esta actualización comenzó a distribuirse de forma general en septiembre de 2024 mediante un paquete de habilitación, una metodología que permite instalar la nueva versión rápidamente sobre Windows 11 24H2 sin necesidad de realizar una reinstalación completa del sistema operativo.
Entre las ventajas de Windows 11 25H2 destacan:
- Últimas actualizaciones de seguridad.
- Mejor rendimiento general.
- Compatibilidad con nuevas funciones de Windows.
- Mejoras en estabilidad y confiabilidad.
- Optimizaciones para hardware moderno.
- Protección frente a amenazas emergentes.
La estrategia del paquete de habilitación también reduce significativamente el tiempo necesario para completar la actualización, facilitando su implementación tanto en hogares como en organizaciones.
La actualización llegará automáticamente a muchos usuarios
Microsoft indicó que los equipos domésticos que ejecutan Windows 11 Home y Pro 24H2, siempre que no estén administrados por un departamento de TI, recibirán automáticamente la actualización hacia Windows 11 25H2.
No obstante, los usuarios conservarán cierto control sobre el proceso.
Será posible:
- Posponer temporalmente la actualización.
- Elegir cuándo reiniciar el equipo.
- Programar la instalación en un horario conveniente.
Esta estrategia busca reducir el número de dispositivos que permanezcan utilizando versiones sin soporte una vez alcanzada la fecha límite.
Cómo comprobar si tu equipo puede actualizarse
Microsoft recomienda verificar manualmente la disponibilidad de la actualización siguiendo estos pasos:
- Abrir Configuración.
- Seleccionar Windows Update.
- Hacer clic en Buscar actualizaciones.
- Si el dispositivo es compatible, aparecerá la opción para descargar e instalar Windows 11 versión 25H2.
En algunos casos, la actualización puede tardar algunos días o semanas en aparecer debido al despliegue gradual que Microsoft realiza para minimizar posibles incidencias.
Windows 10 también continúa acercándose a su despedida
El anuncio también afecta a Windows 10 Enterprise LTSB 2016, una edición ampliamente utilizada en entornos industriales, hospitales, sistemas de control y dispositivos especializados donde la estabilidad tiene prioridad sobre la incorporación de nuevas funciones.
Estos sistemas dejarán igualmente de recibir actualizaciones el 13 de octubre de 2026, lo que obligará a muchas organizaciones a planificar una migración hacia versiones más recientes de Windows o a evaluar alternativas compatibles con sus necesidades operativas.
Microsoft amplía el programa ESU para Windows 10
En paralelo al anuncio del fin del soporte, Microsoft también confirmó recientemente la ampliación del programa Extended Security Updates (ESU) para Windows 10.
Gracias a esta extensión, los consumidores inscritos en el programa podrán seguir recibiendo actualizaciones de seguridad críticas hasta el 12 de octubre de 2027, proporcionando un margen adicional para quienes todavía no puedan migrar inmediatamente a Windows 11.
Este programa resulta especialmente útil para usuarios con equipos antiguos o empresas que aún dependen de aplicaciones heredadas cuya compatibilidad con Windows 11 requiere más tiempo de planificación.
Riesgos de seguir utilizando un Windows sin soporte
Continuar utilizando un sistema operativo que ha alcanzado el final de su soporte representa uno de los mayores riesgos de seguridad informática para usuarios y organizaciones.
Los ciberdelincuentes suelen centrar sus ataques en plataformas que ya no reciben parches oficiales, aprovechando vulnerabilidades conocidas para desarrollar campañas de malware, ransomware, robo de credenciales o espionaje digital.
Entre los principales riesgos se encuentran:
- Explotación de vulnerabilidades sin corregir.
- Incremento de ataques de ransomware.
- Robo de información confidencial.
- Incompatibilidad con software moderno.
- Incumplimiento de normativas de seguridad y protección de datos.
- Mayor coste de mantenimiento y recuperación ante incidentes.
Para las empresas, operar con sistemas obsoletos también puede traducirse en problemas de cumplimiento normativo, auditorías desfavorables y pérdidas económicas derivadas de interrupciones operativas.
Planificar la migración es una decisión estratégica
El anuncio de Microsoft reafirma la importancia de mantener los sistemas operativos actualizados como parte de una estrategia integral de ciberseguridad. La finalización del soporte para Windows 11 24H2 Home y Pro y Windows 10 Enterprise LTSB 2016 no solo implica dejar de recibir nuevas funciones, sino perder el acceso a parches que protegen frente a amenazas cada vez más sofisticadas.
Actualizar a Windows 11 25H2 permitirá a los usuarios seguir recibiendo correcciones de seguridad, mejoras de estabilidad y compatibilidad con las tecnologías más recientes. Para las organizaciones, además, representa una oportunidad para revisar su infraestructura tecnológica, fortalecer sus políticas de gestión de actualizaciones y reducir la superficie de ataque frente a ciberdelincuentes.
En un contexto donde los ataques dirigidos a sistemas desactualizados continúan en aumento, mantener un sistema operativo dentro de su ciclo de soporte es una medida esencial para proteger la información, garantizar la continuidad del negocio y minimizar los riesgos asociados a las vulnerabilidades conocidas.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#26
Noticias Informáticas / 23andMe pagará 18 millones por...
Último mensaje por Dragora - Julio 16, 2026, 12:03:42 PM
La empresa de pruebas genéticas 23andMe, actualmente operando bajo el nombre de Chrome Holding Co., alcanzó un acuerdo por 18 millones de dólares para resolver las reclamaciones presentadas por una coalición integrada por 43 fiscales generales de Estados Unidos, quienes acusaron a la compañía de no implementar las medidas de seguridad necesarias para proteger la información genética y personal de millones de usuarios.
Este caso se ha convertido en uno de los incidentes de ciberseguridad y protección de datos más relevantes de los últimos años, no solo por la magnitud de la información comprometida, sino también por la sensibilidad de los datos expuestos. A diferencia de una dirección de correo electrónico o un número de teléfono, la información genética es permanente, única e imposible de cambiar una vez que ha sido filtrada.
Una brecha de seguridad que pasó desapercibida durante cinco meses
La filtración fue revelada públicamente en octubre de 2023, aunque las investigaciones determinaron que los atacantes lograron acceder a las cuentas de los usuarios durante un período de aproximadamente cinco meses, entre abril y septiembre del mismo año.
El ataque fue llevado a cabo mediante una técnica conocida como credential stuffing o relleno de credenciales, un método que aprovecha combinaciones de nombres de usuario y contraseñas previamente robadas en otras plataformas para intentar acceder automáticamente a diferentes servicios donde los usuarios reutilizan las mismas credenciales.
Debido a la ausencia de mecanismos efectivos de detección y prevención, los ciberdelincuentes consiguieron acceder a miles de cuentas legítimas sin ser detectados durante meses.
6,9 millones de clientes afectados
Como consecuencia del incidente, los atacantes obtuvieron información perteneciente a aproximadamente 6,9 millones de clientes.
Entre los datos comprometidos se encontraban:
- Información genética.
- Datos sobre ascendencia familiar.
- Relaciones genealógicas.
- Información de perfiles personales.
- Datos compartidos mediante las funciones de coincidencia genética.
Posteriormente, parte de esta información comenzó a aparecer en foros clandestinos y mercados de la dark web, donde los delincuentes publicaron millones de perfiles genéticos como prueba de autenticidad para atraer compradores.
La exposición de datos genéticos representa uno de los mayores riesgos para la privacidad digital, ya que este tipo de información puede revelar aspectos relacionados con la salud, la ascendencia familiar e incluso permitir identificar indirectamente a familiares del usuario.
La investigación reveló múltiples deficiencias de seguridad
Tras la divulgación del incidente, una coalición de fiscales generales inició una investigación para determinar si la empresa había cumplido con sus obligaciones de protección de datos.
La fiscal general del estado de Nueva York, Letitia James, explicó que la investigación concluyó que 23andMe carecía de controles básicos de seguridad que hoy son considerados estándares mínimos dentro de la industria tecnológica.
Entre las principales deficiencias detectadas destacan:
- Ausencia de autenticación multifactor (MFA) obligatoria.
- Falta de bloqueo automático frente a múltiples intentos fallidos de inicio de sesión.
- Escasa limitación de velocidad para evitar ataques automatizados.
- Deficientes sistemas de prevención de intrusiones.
- Monitorización insuficiente de accesos sospechosos.
- Falta de respuesta ante actividades de inicio de sesión inusuales.
- Vulnerabilidades conocidas que nunca fueron corregidas.
Según las autoridades, estas omisiones facilitaron que los ciberdelincuentes mantuvieran acceso durante meses sin activar alertas de seguridad significativas.
La respuesta inicial de 23andMe generó críticas
Uno de los aspectos más cuestionados por los investigadores fue la gestión inicial del incidente.
De acuerdo con la investigación, la empresa negó inicialmente haber sufrido una brecha de seguridad y posteriormente atribuyó la responsabilidad a las malas prácticas de los propios usuarios, argumentando que muchos reutilizaban contraseñas comprometidas en otros servicios.
Sin embargo, las autoridades sostienen que esta explicación no exime a la organización de implementar controles adecuados para detectar comportamientos anómalos y proteger las cuentas incluso cuando las credenciales hayan sido comprometidas previamente.
La postura inicial de la empresa provocó fuertes críticas tanto por parte de expertos en ciberseguridad como de organismos reguladores.
El acuerdo obliga a reforzar la ciberseguridad
Como parte del acuerdo alcanzado con la coalición de fiscales generales, la compañía deberá implementar importantes mejoras en materia de seguridad informática y protección de datos.
Entre las nuevas obligaciones destacan:
- Creación de un Consejo Asesor de Seguridad de Datos.
- Implementación de procesos permanentes de análisis y gestión de riesgos.
- Mejora de los controles internos de ciberseguridad.
- Fortalecimiento de la protección de cuentas de usuario.
- Garantía permanente para que los clientes puedan eliminar completamente sus datos personales y genéticos cuando así lo soliciten.
Estas medidas buscan reducir significativamente el riesgo de futuros incidentes y mejorar la confianza de los consumidores.
Letitia James: "Las empresas tienen el deber de proteger los datos"
La fiscal general de Nueva York fue especialmente crítica con la actuación de la compañía.
Según James, millones de personas confiaron a 23andMe información extremadamente sensible con la expectativa de que sería protegida mediante controles adecuados.
Sin embargo, la falta de medidas básicas permitió que dichos datos terminaran siendo robados y comercializados en los sectores más oscuros de Internet.
Las autoridades consideran que este acuerdo no solo representa una sanción económica, sino también un precedente importante para toda la industria de servicios genéticos y empresas que administran información altamente confidencial.
Demandas colectivas y millonarias sanciones
La filtración de datos desencadenó una larga cadena de consecuencias legales para la compañía.
En noviembre de 2023, poco después del incidente, 23andMe modificó sus Términos de Uso, introduciendo cambios destinados a limitar la capacidad de los usuarios para presentar demandas colectivas y fomentar el arbitraje individual, una decisión que también generó controversia.
Posteriormente, en septiembre de 2024, la empresa aceptó pagar 30 millones de dólares para resolver una importante demanda colectiva presentada por clientes afectados por la filtración de información.
Los problemas financieros continuaron agravándose hasta que, en marzo de 2025, 23andMe se acogió al Capítulo 11 de la Ley de Quiebras de Estados Unidos, iniciando un proceso de reorganización acompañado de la venta de sus activos.
La protección de los datos genéticos durante la bancarrota
La declaración de bancarrota despertó una nueva preocupación entre reguladores y consumidores: el futuro de los datos genéticos almacenados por la empresa.
En junio de 2025, Letitia James y otros 27 fiscales generales presentaron nuevas acciones legales con el objetivo de garantizar que la información genética de millones de usuarios no fuera transferida sin las debidas garantías durante el proceso de venta de activos.
Ese mismo mes, la Oficina del Comisionado de Información del Reino Unido (ICO) impuso a la empresa una multa de 2,31 millones de libras esterlinas (aproximadamente 3,12 millones de dólares) tras concluir que existieron graves fallos de seguridad que facilitaron la filtración masiva de datos.
TTAM Research Institute adquirió 23andMe
Finalmente, en julio de 2025, la organización sin ánimo de lucro TTAM Research Institute, actualmente registrada como 23andMe Research Institute y dirigida por la cofundadora Anne Wojcicki, completó la adquisición de la compañía.
La operación se cerró por aproximadamente 305 millones de dólares, permitiendo que la organización asumiera el control de todos los activos de la empresa y continuara administrando su infraestructura y servicios.
Un caso que redefine la protección de los datos genéticos
El incidente de 23andMe representa un punto de inflexión para la industria de las pruebas de ADN y para todas las organizaciones que almacenan información altamente sensible. La filtración de datos genéticos de 6,9 millones de personas demuestra que las amenazas actuales no solo afectan a credenciales o información financiera, sino también a datos biométricos y hereditarios cuya exposición puede tener consecuencias permanentes.
Este caso también envía un mensaje claro a las empresas: implementar autenticación multifactor, monitoreo continuo, detección de accesos anómalos, limitación de intentos de inicio de sesión y una estrategia integral de ciberseguridad ya no son prácticas recomendables, sino requisitos esenciales para proteger la confianza de los usuarios y cumplir con las exigencias regulatorias. Las sanciones económicas, las demandas colectivas y el impacto reputacional sufrido por 23andMe evidencian que descuidar la seguridad de los datos puede convertirse en un riesgo empresarial de enorme magnitud.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#27
Cursos, manuales y libros / Re:English magazine collection
Último mensaje por Proculin - Julio 16, 2026, 05:40:08 AMNancy Drew - The Demon of River Heights vol.1 (Graphic Novel by Stefan Petrucha)

Everyone's favorite girl detective makes her graphic novel debut! An all-new series of full-color Nancy Drew graphic novels, with all-new comics stories based on the series by Carolyn Keene, starts right here! Join Nancy, along with Bess and George, as they search for missing student filmmakers and discover the deadly secret behind the local urban legend known as "The Demon of River Heights." Ages 8 to 12. Papercutz is the exciting new graphic novel publisher that's building a huge following among the next generation of comics fans. Even the most reluctant readers are becoming addicted to the Papercutz approach of giving classic characters a modern makeover! Each Papercutz graphic novel features comics stories drawn in the style of the popular Japanese comics known as manga, and beautifully rendered with state of the art color. While educators rave about the high quality of the Papercutz writing and artwork, readers 8 and up are simply enjoying the great adventures found in each fun-filled volume. Be sure to check out other Papercutz titles such as The Hardy Boys, Zorro and Totally Spies.
Language: English | Format: cbr | Size: 60 MB

Código: text

Everyone's favorite girl detective makes her graphic novel debut! An all-new series of full-color Nancy Drew graphic novels, with all-new comics stories based on the series by Carolyn Keene, starts right here! Join Nancy, along with Bess and George, as they search for missing student filmmakers and discover the deadly secret behind the local urban legend known as "The Demon of River Heights." Ages 8 to 12. Papercutz is the exciting new graphic novel publisher that's building a huge following among the next generation of comics fans. Even the most reluctant readers are becoming addicted to the Papercutz approach of giving classic characters a modern makeover! Each Papercutz graphic novel features comics stories drawn in the style of the popular Japanese comics known as manga, and beautifully rendered with state of the art color. While educators rave about the high quality of the Papercutz writing and artwork, readers 8 and up are simply enjoying the great adventures found in each fun-filled volume. Be sure to check out other Papercutz titles such as The Hardy Boys, Zorro and Totally Spies.
Language: English | Format: cbr | Size: 60 MB

https://www.up-4ever.net/xgonpr2o78bc
https://mega4upload.net/ritm1mtopskc
https://filespayouts.com/e2syz2ywyiat/NancyDrew_v01.cbr
https://rg.to/file/0ce3fdc1d06b90f856bf17d4f4f41471 #28
Noticias Informáticas / SAP corrige vulnerabilidades c...
Último mensaje por Dragora - Julio 15, 2026, 12:27:28 PM
SAP ha publicado su Actualización de Seguridad de julio de 2026, incorporando múltiples correcciones para vulnerabilidades que afectan a varios de sus productos empresariales. Entre ellas destaca CVE-2026-44747, una vulnerabilidad crítica con una puntuación CVSS de 9.9, considerada una de las fallas más graves del mes por su potencial para comprometer la confidencialidad, integridad y disponibilidad de los sistemas que ejecutan SAP NetWeaver Application Server ABAP.
Además de este fallo, la compañía también solucionó otras dos vulnerabilidades críticas que afectan a SAP Approuter y SAP Commerce Cloud, ambas con una puntuación CVSS de 9.1. Aunque hasta el momento no existen evidencias de explotación activa en entornos reales, expertos en ciberseguridad recomiendan aplicar las actualizaciones lo antes posible para reducir la superficie de ataque y evitar posibles compromisos futuros.
Las vulnerabilidades fueron analizadas por especialistas de Onapsis, quienes advirtieron que algunas de ellas podrían permitir a atacantes no autenticados acceder a datos sensibles, modificar información crítica e incluso provocar interrupciones en servicios empresariales.
CVE-2026-44747: la vulnerabilidad más crítica afecta a SAP NetWeaver ABAP
La vulnerabilidad CVE-2026-44747 es el problema más severo corregido por SAP durante este ciclo de actualizaciones. Con una puntuación CVSS de 9.9, el fallo se clasifica como una vulnerabilidad de escritura fuera de límites (Out-of-Bounds Write) que afecta al SAP NetWeaver Application Server ABAP.
Este tipo de vulnerabilidad ocurre cuando un proceso escribe datos fuera del espacio de memoria asignado, generando corrupción de memoria y permitiendo comportamientos inesperados en la aplicación.
Según SAP, un atacante autenticado podría aprovechar errores lógicos en la gestión de memoria para provocar:
- Acceso no autorizado a información confidencial.
- Modificación de datos críticos del sistema.
- Corrupción de memoria.
- Inestabilidad del servidor.
- Interrupción parcial o total de los servicios empresariales.
Debido al alto impacto potencial sobre la infraestructura SAP, la compañía recomienda aplicar el parche oficial del Kernel ABAP lo antes posible.
Solución temporal disponible, pero con importantes limitaciones
Mientras los administradores planifican la instalación del parche, SAP y Onapsis han propuesto una medida de mitigación temporal.
La recomendación consiste en desactivar determinados nodos ICF (Internet Communication Framework) mediante la transacción SICF, específicamente aquellos que poseen una propiedad concreta relacionada con la vulnerabilidad.
Sin embargo, esta medida presenta una importante desventaja.
Al deshabilitar dichos nodos también se bloquea la apertura de transacciones mediante SAP GUI para HTML, una funcionalidad ampliamente utilizada en numerosas organizaciones para acceder a aplicaciones SAP desde navegadores web.
Por este motivo, Onapsis advierte que la mitigación temporal no resulta viable para todos los entornos de producción, por lo que insiste en que la mejor opción sigue siendo instalar la versión corregida del Kernel ABAP.
SAP Approuter también corrige una vulnerabilidad crítica
Otra de las vulnerabilidades solucionadas durante el mes corresponde a CVE-2026-27690, con una puntuación CVSS de 9.1.
El fallo afecta a SAP Approuter cuando se implementa en entornos distintos de Cloud Foundry.
La vulnerabilidad consiste en un problema de HTTP Request/Response Smuggling, una técnica mediante la cual un atacante manipula la interpretación de las solicitudes HTTP entre diferentes componentes de la infraestructura.
Si un atacante explota con éxito esta vulnerabilidad puede:
- Desincronizar las solicitudes y respuestas HTTP.
- Interceptar respuestas destinadas a otros usuarios.
- Obtener información sensible.
- Provocar ataques de denegación de servicio (DoS).
- Alterar el flujo normal de las comunicaciones.
Lo más preocupante es que el ataque no requiere autenticación previa, aumentando significativamente el riesgo para los sistemas expuestos a Internet.
CVE-2026-44761: credenciales predeterminadas ponen en riesgo SAP Commerce Cloud
La tercera vulnerabilidad crítica corregida por SAP corresponde a CVE-2026-44761, también con una puntuación CVSS de 9.1.
En este caso, el problema no reside en un error de programación tradicional, sino en el uso de credenciales OAuth 2.0 predeterminadas presentes en configuraciones de ejemplo publicadas anteriormente por SAP.
Durante años, la documentación del SAP Help Portal incluyó scripts destinados a facilitar el desarrollo y las pruebas.
Estos scripts creaban automáticamente clientes OAuth 2.0 utilizando:
- Identificadores conocidos.
- Secretos codificados de forma fija.
- Configuraciones de ejemplo.
Aunque dichos recursos estaban pensados exclusivamente para laboratorios y entornos de desarrollo, algunos administradores terminaron importándolos directamente en sistemas de producción.
¿Cómo puede explotarse esta vulnerabilidad?
Si una organización mantiene activo el cliente OAuth 2.0 generado por estos scripts sin modificar las credenciales predeterminadas, un atacante no autenticado podría aprovechar la información pública disponible para obtener un token válido de acceso.
Una vez conseguido el token, sería posible:
- Invocar determinadas API del sistema.
- Leer información empresarial.
- Modificar registros.
- Alterar datos almacenados.
- Comprometer la integridad de la plataforma.
La vulnerabilidad presenta un alto impacto sobre la confidencialidad y la integridad, aunque SAP indica que no afecta directamente a la disponibilidad del servicio.
¿Qué sistemas son realmente vulnerables?
No todos los clientes de SAP Commerce Cloud están expuestos.
Según Onapsis, únicamente se encuentran en riesgo aquellas organizaciones que:
- Ejecutaron los scripts de configuración de ejemplo.
- Mantuvieron el cliente OAuth 2.0 generado automáticamente.
- No sustituyeron las credenciales predeterminadas por valores únicos y seguros.
En cambio, los sistemas donde:
- El cliente OAuth fue eliminado.
- Se modificó el secreto por uno robusto.
- Nunca se utilizaron los scripts de ejemplo.
No resultan afectados por esta vulnerabilidad.
Recomendaciones para administradores SAP
Los expertos de Onapsis recomiendan realizar una auditoría completa de los entornos SAP para identificar posibles configuraciones inseguras.
Entre las principales acciones recomendadas destacan:
- Aplicar inmediatamente las actualizaciones de seguridad de julio de 2026.
- Instalar el nuevo Kernel ABAP corregido para eliminar el riesgo asociado a CVE-2026-44747.
- Revisar la configuración del servicio ICF si el parche no puede instalarse de inmediato.
- Auditar todos los clientes OAuth 2.0 existentes en SAP Commerce Cloud.
- Eliminar cualquier cliente de prueba heredado.
- Sustituir todas las credenciales codificadas por secretos únicos y robustos.
- Revisar los registros de acceso a las API para detectar actividades sospechosas.
- Mantener actualizados los sistemas SAP conforme al calendario oficial de actualizaciones.
La importancia de una correcta gestión de configuraciones
El caso de CVE-2026-44761 pone de manifiesto un problema frecuente en muchas organizaciones: trasladar configuraciones de desarrollo directamente a producción.
Las credenciales predeterminadas, cuentas de prueba y configuraciones de ejemplo continúan siendo una de las principales causas de incidentes de seguridad en infraestructuras empresariales. Este tipo de errores puede pasar desapercibido durante años y convertirse en una puerta de entrada para atacantes cuando la información se encuentra documentada públicamente.
Por ello, además de aplicar parches de seguridad, resulta fundamental establecer procesos de revisión periódica de configuraciones, eliminar componentes innecesarios y verificar que ningún entorno productivo conserve parámetros heredados de laboratorios o pruebas.
No existen evidencias de explotación, pero el riesgo es elevado
Hasta la fecha de publicación del boletín de seguridad, SAP y Onapsis indicaron que no existen pruebas de explotación activa de estas vulnerabilidades en ataques reales.
Sin embargo, la elevada puntuación CVSS y la disponibilidad pública de los detalles técnicos incrementan considerablemente la probabilidad de que actores maliciosos intenten desarrollar exploits en las próximas semanas.
Históricamente, las vulnerabilidades críticas en productos SAP suelen convertirse rápidamente en objetivos prioritarios para grupos de ciberdelincuencia y actores patrocinados por Estados, debido al elevado valor de la información almacenada en estos sistemas.
En fin...
Las actualizaciones de seguridad de SAP correspondientes a julio de 2026 corrigen algunas de las vulnerabilidades más importantes del año, destacando CVE-2026-44747 en SAP NetWeaver ABAP, así como fallos críticos en SAP Approuter y SAP Commerce Cloud. Aunque actualmente no se han detectado ataques que exploten estas debilidades, su impacto potencial sobre la confidencialidad, integridad y disponibilidad de los sistemas empresariales exige una respuesta inmediata por parte de los administradores.
La recomendación es clara: aplicar los parches oficiales sin demora, revisar las configuraciones heredadas de entornos de prueba y fortalecer las credenciales utilizadas en servicios OAuth. Adoptar una estrategia de gestión proactiva de vulnerabilidades y configuraciones permitirá reducir significativamente el riesgo de compromiso y garantizar la continuidad operativa de las plataformas SAP frente a amenazas cada vez más sofisticadas.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#29
Noticias Informáticas / LabubaRAT: el nuevo malware en...
Último mensaje por Dragora - Julio 15, 2026, 12:22:44 PM
Los investigadores de ciberseguridad han identificado un nuevo troyano de acceso remoto (Remote Access Trojan o RAT) denominado LabubaRAT, una amenaza avanzada desarrollada en Rust que utiliza la identidad de NVIDIA para infiltrarse en sistemas Windows y proporcionar a los atacantes un acceso remoto completo a los equipos comprometidos.
El análisis, publicado por los expertos de Blackpoint Cyber, revela que este malware destaca por su arquitectura flexible, su capacidad para adaptarse a distintas campañas de ataque y el uso de múltiples canales de comunicación para mantener el control sobre los dispositivos infectados incluso cuando alguno de sus métodos de conexión es bloqueado.
Además, las características observadas durante la investigación sugieren que LabubaRAT podría estar siendo distribuido bajo un modelo de Malware como Servicio (MaaS), lo que facilitaría que distintos ciberdelincuentes puedan utilizar la misma plataforma para ejecutar campañas personalizadas contra empresas y usuarios de todo el mundo.
¿Qué es LabubaRAT?
LabubaRAT es un troyano de acceso remoto diseñado para ofrecer a los operadores un control prácticamente total sobre los sistemas comprometidos.
A diferencia de muchas amenazas tradicionales, este malware no depende de configuraciones estáticas ni de servidores codificados directamente en su código fuente. En su lugar, fue diseñado como un framework modular, permitiendo reutilizar el mismo ejecutable en diferentes operaciones sin necesidad de recompilar el malware.
Esta flexibilidad convierte a LabubaRAT en una herramienta altamente atractiva para grupos criminales que buscan reducir el tiempo de preparación de nuevas campañas y modificar rápidamente su infraestructura de comando y control.
Suplantación de software legítimo de NVIDIA
El punto de entrada identificado por Blackpoint Cyber corresponde a un archivo denominado:
- nvidia-sysruntime.exe
El nombre fue cuidadosamente elegido para simular pertenecer al NVIDIA Container Runtime, un componente legítimo ampliamente utilizado en entornos de virtualización y contenedores.
Esta técnica de suplantación aumenta significativamente las probabilidades de que administradores y usuarios ejecuten el archivo sin sospechar que se trata de software malicioso.
El empleo de nombres asociados con fabricantes tecnológicos reconocidos continúa siendo una de las estrategias más efectivas de ingeniería social utilizadas por los ciberdelincuentes.
Configuración dinámica para cada campaña
Uno de los aspectos más innovadores de LabubaRAT es que no incorpora información fija sobre su infraestructura de Comando y Control (C2).
En lugar de ello, recibe todos los parámetros durante su ejecución mediante argumentos de línea de comandos.
Entre los datos configurables destacan:
- Dirección del servidor C2.
- Intervalos de comunicación.
- Parámetros de autenticación.
- Identificadores de campaña.
- Configuración personalizada para cada víctima.
Alternativamente, toda esta información puede suministrarse mediante un único argumento codificado en Base64, simplificando aún más el despliegue del malware.
Gracias a esta arquitectura, un mismo binario puede utilizarse simultáneamente en diferentes campañas dirigidas a organizaciones completamente distintas.
Almacenamiento local mediante SQLite
Una vez inicializado, LabubaRAT almacena la configuración recibida dentro de una base de datos SQLite local.
Esta decisión permite conservar información crítica incluso después de reinicios del sistema, facilitando que el malware continúe operando sin requerir una nueva configuración por parte del atacante.
Además, el uso de SQLite representa una alternativa ligera, rápida y ampliamente compatible con sistemas Windows.
Perfilado completo del sistema comprometido
Antes de ejecutar acciones más agresivas, LabubaRAT realiza un exhaustivo reconocimiento del entorno comprometido.
El objetivo consiste en determinar qué herramientas de seguridad están presentes y adaptar su comportamiento para reducir el riesgo de detección.
Entre la información recopilada se encuentran:
Navegadores instalados
El malware verifica la presencia de navegadores ampliamente utilizados como:
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Brave
Esta información puede utilizarse posteriormente para realizar robo de credenciales, cookies o sesiones autenticadas.
Soluciones de seguridad
LabubaRAT también identifica numerosos productos de protección empresarial, entre ellos:
- Microsoft Defender
- CrowdStrike
- SentinelOne
- Sophos
- Carbon Black
- Malwarebytes
- Bitdefender
- ESET
- Kaspersky
- McAfee
- Symantec
- Trend Micro
Conocer qué solución antivirus está instalada permite modificar la ejecución de determinadas funciones o evitar comportamientos que puedan activar mecanismos de detección.
Información del hardware
El malware recopila además:
- Nombre del equipo.
- Modelo del procesador.
- Cantidad de memoria RAM.
- Estado del Control de Cuentas de Usuario (UAC).
Estos datos ayudan al operador a evaluar el valor del sistema comprometido y decidir los siguientes pasos del ataque.
Capacidades del nuevo RAT
LabubaRAT ofrece un conjunto de funcionalidades propias de plataformas avanzadas de administración remota utilizadas por actores de amenazas sofisticados.
Entre sus capacidades destacan:
Ejecución remota de comandos
Los atacantes pueden ejecutar instrucciones directamente sobre el sistema comprometido utilizando la consola de Windows.
Ejecución de PowerShell
El malware admite la ejecución remota de scripts PowerShell, permitiendo automatizar ataques, descargar herramientas adicionales o modificar configuraciones del sistema.
Ejecución de JavaScript
También soporta scripts JavaScript, ampliando las posibilidades para ejecutar cargas útiles personalizadas.
Captura de pantalla
LabubaRAT puede obtener capturas de pantalla periódicas del escritorio para monitorizar la actividad del usuario y recopilar información sensible.
Gestión completa de archivos
Los operadores pueden:
- Descargar archivos.
- Subir documentos.
- Eliminar información.
- Mover archivos entre directorios.
- Administrar el contenido del sistema remoto.
Proxy SOCKS5
Una característica especialmente relevante es el soporte para SOCKS5, que permite utilizar el equipo comprometido como punto intermedio para redirigir tráfico de red.
Esto facilita el movimiento lateral dentro de organizaciones y dificulta el rastreo de la actividad del atacante.
Múltiples canales de comunicación para evitar interrupciones
Uno de los elementos más sofisticados del malware es la incorporación de varios métodos de comunicación simultáneos con el servidor de comando y control.
LabubaRAT admite:
- HTTPS
- WebView2
- Túneles DNS
Gracias a esta redundancia, si una organización bloquea uno de los canales, el malware puede continuar comunicándose mediante otro mecanismo disponible.
Esta estrategia incrementa notablemente la resiliencia de la amenaza frente a herramientas tradicionales de seguridad perimetral.
Persistencia y mantenimiento del acceso
Además de proporcionar acceso remoto inmediato, LabubaRAT incorpora mecanismos que permiten mantener el control del sistema a nivel de usuario.
Según Blackpoint Cyber, el malware fue diseñado para:
- Registrar nuevos equipos comprometidos.
- Mantener información local del sistema.
- Adaptarse al entorno.
- Garantizar el reinicio automático.
- Continuar operando durante largos periodos.
Todo ello elimina la necesidad de instalar herramientas adicionales para conservar el acceso inicial.
¿Malware como Servicio (MaaS)?
Los investigadores encontraron diversos indicios que apuntan a que LabubaRAT podría estar comercializándose bajo un modelo de Malware-as-a-Service (MaaS).
Este tipo de plataformas permite que distintos ciberdelincuentes alquilen el malware mediante suscripciones, obteniendo acceso a:
- Paneles de administración.
- Infraestructura C2.
- Actualizaciones automáticas.
- Gestión de campañas.
- Soporte técnico.
En este caso, una de las pistas más relevantes fue el nombre LabubaPanel, asociado a la infraestructura de comando y control utilizada por la amenaza, además de un favicon con la temática del popular personaje Labubu.
¿Por qué Rust se ha convertido en el lenguaje favorito para desarrollar malware?
Durante los últimos años, Rust ha ganado una enorme popularidad entre desarrolladores legítimos gracias a su seguridad de memoria, rendimiento y portabilidad. Sin embargo, esas mismas características también han despertado el interés de los ciberdelincuentes.
Las principales ventajas que ofrece Rust para la creación de malware incluyen:
- Mayor dificultad para el análisis estático.
- Binarios optimizados y de alto rendimiento.
- Compatibilidad multiplataforma.
- Menor cantidad de firmas conocidas por soluciones antivirus.
- Gestión eficiente de memoria sin necesidad de recolector de basura.
Como resultado, cada vez más familias de malware modernas están siendo desarrolladas total o parcialmente utilizando este lenguaje.
Recomendaciones para protegerse frente a LabubaRAT
Las organizaciones pueden reducir significativamente el riesgo de infección implementando una estrategia de defensa multicapa que incluya:
- Descargar software únicamente desde los sitios oficiales de NVIDIA y otros fabricantes.
- Verificar la firma digital de cualquier ejecutable antes de instalarlo.
- Supervisar la ejecución de archivos con nombres similares a componentes legítimos del sistema.
- Restringir el uso de PowerShell y JavaScript cuando no sean necesarios.
- Monitorizar conexiones HTTPS y túneles DNS inusuales.
- Implementar soluciones EDR capaces de detectar comportamientos anómalos en lugar de depender exclusivamente de firmas tradicionales.
- Mantener actualizadas las soluciones antivirus y los sistemas operativos.
En fin...
El descubrimiento de LabubaRAT confirma la evolución constante del panorama de amenazas y evidencia cómo los actores maliciosos están adoptando arquitecturas cada vez más flexibles y difíciles de detectar. Su desarrollo en Rust, la capacidad para recibir configuraciones dinámicas, el soporte para múltiples canales de comunicación y la posibilidad de operar como una plataforma de Malware como Servicio (MaaS) convierten a esta amenaza en una herramienta especialmente peligrosa para empresas y organismos.
La combinación de técnicas de ingeniería social, la suplantación de software legítimo de NVIDIA y un amplio conjunto de funciones de administración remota demuestra que los atacantes continúan perfeccionando sus herramientas para maximizar el éxito de sus campañas. Ante este escenario, las organizaciones deben fortalecer sus controles de seguridad, monitorizar comportamientos anómalos y fomentar la concienciación de los usuarios para reducir el riesgo de compromisos que puedan derivar en robo de información, espionaje o movimientos laterales dentro de la infraestructura corporativa.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
#30
Noticias Informáticas / Repositorios falsos de GitHub ...
Último mensaje por Dragora - Julio 15, 2026, 12:16:30 PM
Una nueva campaña de cibercrimen ha puesto nuevamente a GitHub en el centro de atención tras descubrirse cientos de repositorios falsificados diseñados para distribuir malware ladrón de información (InfoStealer). Los ciberdelincuentes han creado proyectos que aparentan ser software legítimo, herramientas de seguridad, aplicaciones financieras y utilidades ampliamente utilizadas con el objetivo de engañar a desarrolladores, administradores de sistemas y usuarios finales para que descarguen archivos maliciosos.
La investigación, realizada por Arctic Wolf, revela que los atacantes publicaron 292 repositorios fraudulentos, todos cuidadosamente diseñados para parecer auténticos y posicionarse en los resultados de búsqueda de GitHub y de motores de búsqueda externos. La campaña demuestra una evolución significativa en las tácticas de ingeniería social, aprovechando la confianza que millones de usuarios depositan en la plataforma de desarrollo más utilizada del mundo.
¿Cómo funciona la campaña de malware en GitHub?
Según los investigadores, la actividad maliciosa comenzó el 26 de junio de 2026, cuando los atacantes empezaron a publicar una gran cantidad de repositorios que imitaban productos tecnológicos reconocidos.
Entre los proyectos suplantados se encontraban:
- Herramientas de ciberseguridad.
- Plataformas de criptomonedas.
- Software financiero.
- Utilidades para desarrolladores.
- Aplicaciones para macOS.
- Clientes de correo electrónico seguros.
- Herramientas relacionadas con videojuegos.
- Aplicaciones premium ampliamente utilizadas.
Cada repositorio incluía un archivo README aparentemente legítimo que describía el supuesto software e incorporaba un botón o enlace para descargar el programa.
Sin embargo, dicho enlace redirigía a una landing page maliciosa, especialmente diseñada para generar confianza en la víctima.
Páginas falsas con apariencia profesional
Uno de los aspectos más llamativos de la campaña es el nivel de profesionalismo utilizado para convencer a los usuarios.
Las páginas de descarga incorporaban elementos como:
- Botones con mensajes como "Descargar contenido seguro".
- Sellos e insignias falsas de confianza.
- Logotipos prácticamente idénticos a los originales.
- Diseño limpio y convincente.
- Nombres personalizados según el software suplantado.
Arctic Wolf descubrió que todas estas páginas utilizan una misma plantilla HTML y JavaScript reutilizable.
El código adapta automáticamente la apariencia dependiendo del repositorio desde donde llega el visitante, modificando dinámicamente:
- El nombre del supuesto software.
- El logotipo mostrado.
- El texto visible.
- El identificador utilizado para rastrear cada campaña.
Este nivel de automatización permitió a los atacantes mantener cientos de repositorios activos utilizando prácticamente la misma infraestructura.
Descarga de archivos ZIP que cambian constantemente
Cuando la víctima pulsa el botón de descarga, el servidor entrega un archivo ZIP cuyo contenido cambia aproximadamente cada minuto.
Esta técnica dificulta considerablemente la detección mediante soluciones antivirus tradicionales y sistemas automáticos de análisis.
Dentro del archivo comprimido se encuentran dos componentes principales:
- Una biblioteca libcurl.dll modificada de forma maliciosa.
- Una copia legítima y firmada del actualizador WinGUP (gup.exe).
Aunque WinGUP es un ejecutable completamente legítimo, los atacantes aprovechan una técnica conocida como DLL Side-Loading, mediante la cual el programa carga automáticamente la biblioteca maliciosa antes que la versión legítima.
DLL Side-Loading: una técnica difícil de detectar
El uso de DLL Side-Loading continúa siendo una de las técnicas favoritas de los ciberdelincuentes porque permite ejecutar código malicioso utilizando aplicaciones firmadas y confiables.
En este caso:
- El usuario ejecuta el archivo aparentemente legítimo.
- WinGUP carga automáticamente la biblioteca libcurl.dll.
- La DLL maliciosa descifra un payload oculto.
- El malware BoryptGrab se ejecuta completamente en memoria.
- Comienza inmediatamente el robo de información.
Al ejecutarse principalmente en memoria, la amenaza reduce las probabilidades de ser detectada por soluciones tradicionales de seguridad.
¿Qué información roba BoryptGrab?
El malware identificado por Arctic Wolf pertenece a una variante de la familia BoryptGrab, especializada en el robo masivo de información confidencial.
Entre los datos comprometidos se encuentran:
Credenciales de navegadores
El malware extrae información almacenada en más de 19 navegadores web, incluyendo:
- Contraseñas guardadas.
- Cookies de autenticación.
- Historial.
- Información de tarjetas de pago.
- Datos de formularios.
Estas credenciales permiten a los atacantes secuestrar sesiones sin necesidad de conocer la contraseña original.
Monederos de criptomonedas
Uno de los principales objetivos son los activos digitales.
La campaña roba información perteneciente a 32 marcas distintas de billeteras de criptomonedas, incluyendo frases de recuperación, claves y archivos de configuración.
Aplicaciones de mensajería
Los investigadores también detectaron el robo de:
- Sesiones activas de Telegram.
- Tokens de Discord.
- Tokens de autenticación de Steam.
- Credenciales de la aplicación de mensajería Max, desarrollada por Meta.
Con esta información, los atacantes pueden secuestrar cuentas sin necesidad de superar mecanismos de autenticación adicionales.
Administrador de Credenciales de Windows
El malware también obtiene datos almacenados en el Windows Credential Manager, donde muchas aplicaciones guardan usuarios y contraseñas.
Archivos personales
Otro objetivo importante consiste en localizar documentos relacionados con activos financieros o información sensible.
Busca archivos cuyos nombres contengan términos como:
- Password
- Wallet
- Recovery
- Backup
- Seed
- Crypto
- Passwords
Asimismo, recopila:
- Capturas de pantalla.
- Información completa del sistema.
- Lista del software instalado.
- Configuración del equipo.
Una nueva capacidad para atacar Google Chrome
Uno de los hallazgos más importantes del informe es una funcionalidad previamente desconocida en esta variante de BoryptGrab.
Los investigadores descubrieron que el malware es capaz de eludir el cifrado vinculado a las aplicaciones basadas en Google Chrome.
Para conseguirlo, realiza una inyección directa de código dentro del proceso del navegador, obteniendo acceso a información protegida que normalmente permanece cifrada.
Esta técnica representa una evolución significativa frente a versiones anteriores del malware y aumenta considerablemente el riesgo para los usuarios de navegadores basados en Chromium.
Exfiltración de datos hacia servidores en Rusia
Una vez recopilada toda la información, el malware comprime los datos robados y los envía a un servidor de Comando y Control (C2) ubicado en Rusia.
Curiosamente, Arctic Wolf destaca varias características poco habituales:
- No instala mecanismos de persistencia.
- No intenta permanecer oculto durante largos periodos.
- Ejecuta el robo de información en una única sesión.
- No elimina completamente las evidencias del ataque.
Además, el directorio temporal utilizado para almacenar los datos recopilados permanece en el sistema, facilitando futuras investigaciones forenses.
GitHub elimina gran parte de los repositorios maliciosos
Tras recibir la notificación de Arctic Wolf, GitHub eliminó una parte significativa de los repositorios utilizados en la campaña.
No obstante, durante la publicación del informe todavía permanecían activos varios redireccionadores alojados en GitHub Pages, lo que demuestra la rapidez con la que los atacantes pueden reconstruir su infraestructura utilizando cuentas nuevas y contenido automatizado.
Este incidente vuelve a poner de manifiesto los desafíos que enfrentan plataformas colaborativas como GitHub para detectar proyectos fraudulentos antes de que sean utilizados para distribuir malware.
¿Quién está detrás de la campaña?
Hasta el momento, Arctic Wolf no ha podido atribuir el ataque a un grupo de amenazas específico.
Sin embargo, diversos indicadores apuntan a que el operador:
- Probablemente habla ruso.
- Mantiene infraestructura alojada en Rusia.
- Tiene motivaciones exclusivamente económicas.
- Busca maximizar el número de infecciones mediante campañas masivas.
No existen evidencias que vinculen esta operación con grupos patrocinados por Estados.
Cómo protegerse de este tipo de ataques
Los investigadores advierten que el éxito de esta campaña depende casi por completo de la confianza que los usuarios depositan en descargas gratuitas procedentes de repositorios aparentemente legítimos.
Para reducir el riesgo de infección, se recomienda:
- Descargar software únicamente desde sitios web oficiales y repositorios verificados.
- Revisar el historial, número de colaboradores y antigüedad de los proyectos en GitHub antes de descargar cualquier archivo.
- Desconfiar de repositorios recientemente creados que prometen versiones premium gratuitas o herramientas de pago sin licencia.
- Mantener actualizado el software de seguridad y aplicar las reglas YARA e indicadores de compromiso (IoCs) publicados por Arctic Wolf para detectar variantes de BoryptGrab.
- Supervisar conexiones salientes inusuales y analizar los archivos descargados con soluciones de seguridad antes de ejecutarlos.
En fin...
La campaña descubierta por Arctic Wolf demuestra que los ciberdelincuentes continúan perfeccionando sus estrategias de ingeniería social, aprovechando plataformas de confianza como GitHub para distribuir malware altamente especializado. La utilización de 292 repositorios falsos, páginas de descarga cuidadosamente diseñadas y técnicas avanzadas como el DLL Side-Loading y la ejecución completamente en memoria convierten a esta operación en una amenaza especialmente peligrosa para desarrolladores, profesionales de TI y usuarios de criptomonedas.
Más allá del malware en sí, este incidente evidencia que incluso las plataformas más confiables pueden ser utilizadas como vector de ataque cuando los usuarios descargan software sin verificar su autenticidad. Mantener una política de validación de repositorios, emplear herramientas de detección avanzadas y desconfiar de las "descargas gratuitas" de aplicaciones premium son medidas esenciales para evitar que campañas como esta comprometan credenciales, activos digitales e información crítica.
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

