El colectivo cibercriminal Scatter Spider ha vuelto a dominar los titulares en 2025, tras una ola de ciberataques dirigidos a empresas del sector asegurador y minorista. Entre las víctimas más recientes se encuentran Aflac, Philadelphia Insurance Companies y Erie Insurance, cuyos incidentes fueron revelados a través de informes del Formulario 8-K de la SEC, confirmando robo de datos confidenciales y parálisis operativa.

Google y CISA advierten sobre múltiples intrusiones

El Threat Intelligence Group de Google confirmó que actualmente investiga "múltiples intrusiones con patrones de Scatter Spider" en empresas estadounidenses, particularmente en el sector de los seguros. Este nuevo repunte en la actividad refuerza la peligrosidad de un actor que ha perfeccionado las técnicas de acceso no autorizado basadas en ingeniería social y suplantación de identidad.

Un repaso: ¿quién es Scatter Spider?

Activo desde 2022, Scatter Spider ha sido vinculado a violaciones de alto perfil como:

• Caesars Entertainment (2023): suplantación de un empleado de TI para restablecer credenciales. Resultado: base de datos de fidelización robada y rescate pagado de $15 millones.
• MGM Resorts (2023): ataque vía LinkedIn y call center externo, con filtración de 6 TB de datos, interrupciones de 36 horas y pérdidas por más de $100 millones.
• Transport for London (2024): exposición de datos bancarios de usuarios y empleados, y parálisis de servicios en línea durante meses.

La técnica común en estos ataques es el abuso de procesos de asistencia técnica para eludir el MFA (autenticación multifactor), ganando control de cuentas mediante ingeniería social.

2025: el resurgir de Scatter Spider

En 2025, Scatter Spider ha vuelto a atacar, esta vez centrando sus esfuerzos en retailers del Reino Unido como Marks & Spencer (M&S) y Co-op, ocasionando:

• M&S: £300 millones en pérdidas, desplome bursátil de casi £1.000 millones y una demanda colectiva en curso.
• Co-op: interrupciones en servicios físicos y digitales, junto a exfiltración de datos sensibles.

Las brechas se extendieron rápidamente a marcas globales como Dior, Victoria's Secret, Cartier, Coca-Cola, Adidas, The North Face y United Natural Foods, en una campaña masiva que, a diferencia de incidentes como Snowflake (2024), no se debió a una vulnerabilidad común, sino a una estrategia enfocada en comprometer identidades a escala.

TTP de Scatter Spider: identidad como vector de ataque principal

Scatter Spider se caracteriza por explotar debilidades humanas y procesos de seguridad mal implementados. Sus tácticas, técnicas y procedimientos (TTP) más relevantes incluyen:

• Phishing de credenciales vía correo electrónico y smishing.
• SIM swapping para sortear MFA basada en SMS.
• Fatiga de MFA (push bombing).
• Vishing para obtener códigos MFA de víctimas directamente.
• Ataques contra registradores de dominio, secuestrando DNS corporativo y correos entrantes.
• Uso de kits AiTM como Evilginx, robando sesiones activas del navegador.

Estas técnicas permiten eludir controles tradicionales de endpoint y red, demostrando que la identidad digital es el nuevo punto de ataque.

La identidad es el nuevo perímetro

Scatter Spider refleja una tendencia más amplia: los ataques basados en identidad son ahora la norma. Ya no se trata solo de malware o vulnerabilidades técnicas, sino de suplantación, manipulación de procesos y abuso de confianza. Grupos como Lapsus$, ShinyHunters y hasta APT rusos han adoptado estos métodos, dejando en claro que el terreno de juego ha cambiado.

Las estafas al soporte técnico llegaron para quedarse

Los ataques de asistencia técnica no son nuevos, pero su eficiencia y bajo costo los han vuelto casi inevitables. Su éxito radica en que muchas organizaciones no diferencian procesos de recuperación de cuentas entre empleados comunes y administradores privilegiados, lo que facilita la escalada de privilegios tras el primer acceso.

Scatter Spider evita controles tradicionales de seguridad

Este grupo evita deliberadamente herramientas como EDR, firewalls o antivirus, actuando en zonas donde la visibilidad es baja:

• Servicios en la nube (SaaS), con manipulación de registros y actividad difícil de diferenciar de lo legítimo.
• Entornos VMware, donde despliegan ransomware desde el hipervisor ESXi, fuera del alcance de herramientas de protección del host.

¿Cómo defenderse? Push Security ofrece una solución centrada en la identidad

La seguridad basada en navegador es clave frente a amenazas como Scatter Spider. La plataforma Push Security detecta y responde a ataques de identidad como:

• Phishing AiTM
• Relleno de credenciales y ataques de pulverización de contraseñas
• Secuestro de sesiones y vulnerabilidades en OAuth

Además, Push ha lanzado códigos de verificación de identidad en el navegador: una solución ligera para que los servicios de asistencia puedan verificar de forma segura que el solicitante forma parte legítima de la organización, reduciendo la exposición a fraudes telefónicos.

En fin, Scatter Spider no es solo un grupo de ciberdelincuentes: es el reflejo de una evolución en la forma en que se ejecutan los ciberataques en 2025. La suplantación de identidad, la ingeniería social altamente dirigida y la evasión de MFA son tácticas replicables y efectivas que cualquier organización puede enfrentar.

Reforzar los controles de identidad, revisar procesos de recuperación de cuentas y educar al personal ya no son prácticas recomendadas, sino requisitos fundamentales para sobrevivir en el nuevo panorama de amenazas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft ha confirmado un problema crítico en su servicio de control parental Family Safety, el cual está impidiendo que los usuarios puedan abrir Google Chrome y otros navegadores web en sistemas operativos Windows 10 y Windows 11. Este fallo afecta directamente a las funciones de supervisión digital utilizadas por millones de padres para controlar la actividad en línea de sus hijos.

¿Qué es Microsoft Family Safety?

Microsoft Family Safety es una herramienta de control parental integrada en Windows que permite a los padres:

• Administrar el tiempo frente a la pantalla
• Filtrar contenido inapropiado en la web
• Aprobar o bloquear aplicaciones y juegos
• Hacer seguimiento de la ubicación
• Recibir informes detallados de la actividad digital

Sin embargo, un fallo reciente en la función de filtrado web está provocando bloqueos inesperados, incluso en navegadores previamente aprobados.

Detalles del problema: Chrome bloqueado por error

Desde principios de junio, múltiples usuarios han reportado que Google Chrome no se abre o se cierra aleatoriamente cuando se utiliza en dispositivos con Microsoft Family Safety activado. El error fue inicialmente documentado por The Verge y posteriormente reconocido por Microsoft.

La causa principal del fallo es una desincronización en el mecanismo de aprobación de aplicaciones. Family Safety está diseñado para pedir una solicitud de aprobación parental cuando un menor intenta abrir un navegador no autorizado. Sin embargo, el sistema está bloqueando incluso navegadores ya aprobados previamente, como Chrome, especialmente después de una actualización de versión.

Declaración oficial de Microsoft

Según Microsoft:

Citar"Cuando un navegador se actualiza a una nueva versión, esta no puede bloquearse hasta que sea agregada manualmente a la lista de bloqueo. Esto está provocando que navegadores como Google Chrome y otros se cierren inesperadamente, incluso cuando ya han sido autorizados."

El error también impide que se muestre el mensaje estándar que solicita la aprobación de los padres: "Deberá solicitar usar esta aplicación". Esto sucede específicamente cuando la función de informes de actividad está desactivada en la configuración de Family Safety.

Sistemas afectados

Este error conocido afecta a dispositivos que ejecutan:

• Windows 10 versión 22H2
• Windows 11 versión 22H2 o posterior

Microsoft está trabajando activamente para lanzar una solución permanente a este problema, pero aún no hay una fecha de despliegue confirmada.

Solución temporal recomendada

Mientras Microsoft prepara una corrección definitiva, se ha recomendado una solución provisional:

• Activar la función "Informes de actividad" en la configuración de Microsoft Family Safety.
• Esto permite que las solicitudes de aprobación funcionen correctamente, permitiendo a los niños usar navegadores como Chrome tras la aprobación de sus padres.

Pasos sugeridos:

• Ir a Configuración > Cuentas > Familia y otros usuarios
• Acceder a la cuenta del menor
• Activar la opción "Informes de actividad"
• Verificar que el navegador bloqueado aparezca en la lista de solicitudes

De este modo, los padres podrán aprobar manualmente el uso de Chrome u otros navegadores después de cada actualización, hasta que el error se resuelva por completo.

Implicaciones en el control parental

Este tipo de errores puede afectar la experiencia de navegación segura para menores, así como interrumpir la productividad familiar, especialmente en entornos donde se depende de múltiples navegadores. Chrome, por ejemplo, sigue siendo uno de los navegadores más utilizados, y su bloqueo puede llevar a confusión y frustración entre los usuarios.

Microsoft ha asegurado que está enfocando esfuerzos en resolver dos problemas clave:

• El bloqueo temporal no intencionado de versiones actualizadas de navegadores aprobados
• La ausencia de solicitudes de consentimiento parental cuando deberían mostrarse

En fin, el error en Microsoft Family Safety que bloquea Google Chrome y otros navegadores tras actualizaciones ha sido confirmado por Microsoft y está siendo abordado. Mientras tanto, se recomienda habilitar los informes de actividad como solución temporal.

Este incidente subraya la importancia de que las herramientas de control parental se mantengan actualizadas y sin errores para garantizar la experiencia segura de menores en el entorno digital.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha actualizado su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) con tres nuevas amenazas que están siendo explotadas activamente en entornos reales. Las vulnerabilidades afectan a tecnologías ampliamente implementadas como AMI MegaRAC, enrutadores D-Link DIR-859 y Fortinet FortiOS, lo que pone en riesgo la integridad de múltiples redes empresariales y gubernamentales.

Estas fallas de seguridad representan distintos vectores de ataque que van desde la omisión de autenticación hasta la exposición de claves criptográficas, con consecuencias que incluyen la ejecución remota de código, la escalada de privilegios y el descifrado de datos sensibles.

Lista de vulnerabilidades añadidas al catálogo KEV

CVE-2024-54085 (CVSS: 10,0) – AMI MegaRAC SPx

Esta es una vulnerabilidad crítica de omisión de autenticación en la interfaz de host Redfish de AMI MegaRAC SPx. Fue revelada por la firma de seguridad de firmware Eclypsium y permite a un atacante remoto tomar el control completo del dispositivo sin necesidad de credenciales válidas.

Una explotación exitosa puede habilitar acciones como:

• Manipulación del firmware del dispositivo
• Instalación de malware persistente
• Acceso total al sistema de gestión remota

Eclypsium advierte que esta vulnerabilidad tiene un alcance considerable en infraestructuras empresariales y de centros de datos. Aunque no se han divulgado detalles específicos sobre su uso en la naturaleza, su inclusión en el catálogo KEV implica evidencia confirmada de explotación activa.

CVE-2024-0769 (CVSS: 5,3) – D-Link DIR-859

Esta vulnerabilidad de cruce de rutas afecta a los enrutadores D-Link DIR-859 y permite la escalada de privilegios, exponiendo información sensible de los usuarios del dispositivo. Fue identificada en campañas maliciosas reveladas por GreyNoise, donde atacantes lograron extraer:

• Nombres de cuentas
• Contraseñas
• Grupos de usuarios
• Descripciones asociadas

Un aspecto crítico de esta falla es que el D-Link DIR-859 se encuentra fuera de soporte desde diciembre de 2020, por lo que no existe un parche disponible. Se recomienda encarecidamente retirar y reemplazar estos dispositivos lo antes posible, ya que seguir utilizándolos representa una amenaza significativa.

CVE-2019-6693 (CVSS: 4,2) – Fortinet FortiOS, FortiManager y FortiAnalyzer

Este CVE corresponde a una clave criptográfica codificada de forma rígida, utilizada para cifrar datos de contraseñas dentro de la configuración de CLI en Fortinet FortiOS, FortiManager y FortiAnalyzer.

Un atacante que obtenga acceso a la configuración o al archivo de copia de seguridad del sistema puede:

• Descifrar contraseñas y datos confidenciales
• Acceder a credenciales privilegiadas
• Ampliar su acceso dentro de una red comprometida

Diversos reportes han vinculado esta vulnerabilidad con campañas del ransomware Akira, que la han aprovechado para lograr el acceso inicial a redes corporativas.

Implicaciones para las organizaciones gubernamentales y privadas

Dada la gravedad y explotación activa de estas vulnerabilidades, CISA ha emitido una orden de mitigación obligatoria para todas las agencias del Poder Ejecutivo Civil Federal (FCEB). Las entidades afectadas deberán aplicar las medidas correctivas correspondientes antes del 16 de julio de 2025, incluyendo:

• Aplicación de parches y actualizaciones de firmware donde estén disponibles.
• Retiro de dispositivos no soportados como el D-Link DIR-859.
• Auditoría de configuraciones en Fortinet para prevenir el uso de claves cifradas preestablecidas.

Recomendaciones generales de mitigación

Para minimizar el impacto de estas vulnerabilidades, se aconseja a las organizaciones:

• Actualizar todos los dispositivos vulnerables a versiones parcheadas si están disponibles.
• Reemplazar hardware obsoleto o sin soporte, como los enrutadores D-Link afectados.
• Monitorear el tráfico de red y los registros de eventos en busca de comportamientos anómalos.
• Aplicar segmentación de red para limitar el acceso lateral en caso de una intrusión.
• Utilizar soluciones de detección y respuesta a nivel de endpoint (EDR) para detectar explotación en tiempo real.

En fin, la incorporación de estas tres vulnerabilidades al catálogo KEV de CISA refleja su alto nivel de riesgo y la confirmación de que ya están siendo utilizadas por actores maliciosos. La combinación de una vulnerabilidad crítica sin autenticación, un router obsoleto sin parches y un defecto criptográfico en una solución de seguridad de red hace que esta alerta sea de gran importancia para equipos de TI y ciberseguridad.

La acción rápida, especialmente en entornos donde se utilizan AMI MegaRAC, Fortinet FortiOS o dispositivos D-Link DIR-859, es esencial para proteger los activos digitales frente a amenazas actuales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cisco ha publicado actualizaciones urgentes para remediar dos fallas de seguridad de máxima gravedad en Identity Services Engine (ISE) y ISE Passive Identity Connector (ISE-PIC). Estas vulnerabilidades, identificadas como CVE-2025-20281 y CVE-2025-20282, permiten la ejecución remota de código arbitrario sin autenticación previa, otorgando privilegios de usuario root en el sistema afectado. Ambas fallas recibieron la puntuación máxima de 10,0 en la escala CVSS, lo que indica un nivel crítico de riesgo.

Detalles técnicos de las vulnerabilidades

CVE-2025-20281: Ejecución remota de código no autenticado

Esta vulnerabilidad afecta a las versiones 3.3 y posteriores de Cisco ISE e ISE-PIC. El fallo reside en una validación insuficiente de las entradas proporcionadas por el usuario. Un atacante remoto no autenticado podría explotar esta debilidad enviando una solicitud de API especialmente diseñada, obteniendo así privilegios elevados para ejecutar comandos arbitrarios directamente en el sistema operativo subyacente como root.

CVE-2025-20282: Carga y ejecución de archivos maliciosos

La segunda vulnerabilidad afecta a la versión 3.4 de Cisco ISE e ISE-PIC. Esta se origina por falta de controles de validación al cargar archivos, permitiendo que un actor malicioso suba archivos arbitrarios a directorios privilegiados. Al ejecutar estos archivos, el atacante podría comprometer completamente el sistema, logrando nuevamente privilegios de root sin necesidad de autenticación.

Impacto y riesgo

Cisco ha confirmado que, de ser explotadas con éxito, estas vulnerabilidades podrían permitir a un atacante remoto tomar el control total de un dispositivo vulnerable. Esto incluye la posibilidad de ejecutar código arbitrario, instalar malware, modificar configuraciones críticas o interrumpir el servicio.

Aunque no se ha detectado explotación activa en entornos reales hasta el momento, la naturaleza crítica de las vulnerabilidades hace que sea imperativo aplicar los parches de seguridad de forma inmediata.

Versiones afectadas y parches disponibles

Cisco ha lanzado actualizaciones específicas para mitigar ambas vulnerabilidades. A continuación, se detallan las versiones parcheadas disponibles:

CVE-2025-20281:

• Cisco ISE/ISE-PIC versión 3.3 con el parche 6 (ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz)
• Cisco ISE/ISE-PIC versión 3.4 con el parche 2 (ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz)
• CVE-2025-20282:
• Cisco ISE/ISE-PIC versión 3.4 con el parche 2 (mismo archivo que el anterior)

La empresa ha señalado que no existen soluciones alternativas que mitiguen estas fallas. Por tanto, la única medida efectiva es instalar los parches recomendados lo antes posible.

Investigadores responsables

Cisco ha reconocido la labor de los investigadores que reportaron estas vulnerabilidades a través de canales responsables:

• Bobby Gould de Trend Micro Zero Day Initiative, responsable del hallazgo de CVE-2025-20281.
• Kentaro Kawane de GMO Cybersecurity, quien reportó tanto CVE-2025-20281 como CVE-2025-20282, y anteriormente CVE-2025-20286 (CVSS 9,9).

El trabajo de estos investigadores ha sido fundamental para que Cisco pudiera actuar rápidamente y emitir parches preventivos antes de que las fallas fueran explotadas en la naturaleza.

Recomendaciones para administradores y equipos de seguridad

Los administradores de sistemas que utilicen Cisco ISE o ISE-PIC deben:

• Verificar la versión instalada actualmente en sus sistemas.
• Aplicar de inmediato los parches oficiales publicados por Cisco para mitigar el riesgo.
• Monitorear registros y tráfico de red en busca de signos de actividad inusual o posibles intentos de explotación.
• Actualizar las políticas de seguridad para reforzar controles de entrada y validación de archivos.

En fin, las vulnerabilidades CVE-2025-20281 y CVE-2025-20282 representan una amenaza crítica para la infraestructura de red que utiliza Cisco Identity Services Engine. Dado su potencial de ser explotadas remotamente y sin autenticación, es fundamental que las organizaciones actúen con rapidez para proteger sus entornos.

Aplicar los parches de seguridad y mantener una política de actualizaciones proactiva es clave para prevenir accesos no autorizados y mantener la integridad de los sistemas de autenticación y control de acceso.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

es una pregunta que se respdio muchas veces, en el foro tenes muchos caminos igual depende de que quieras hay muchas especialidades

Chat gpt es más completo

Evil gpt

Si claro

Sabes Linux ?

Buena alternativa, algo similar a usar un segundo celular no?