Un jurado federal de EE. UU. ha ordenado al controvertido desarrollador israelí NSO Group pagar más de 168 millones de dólares a WhatsApp, propiedad de Meta, por el uso no autorizado del software espía Pegasus a través de sus servidores. Esta decisión llega cuatro meses después de que un juez determinara que NSO violó las leyes federales y estatales estadounidenses.

Pegasus: espionaje global mediante WhatsApp

La demanda, presentada originalmente por WhatsApp en 2019, acusaba a NSO Group de aprovechar una vulnerabilidad crítica de día cero (CVE-2019-3568, CVSS 9. en la función de llamadas de voz de la app para instalar Pegasus sin interacción del usuario. El fallo se ejecutó 43 veces desde servidores con sede en California durante mayo de 2019.

Más de 1.400 víctimas en 51 países

Los documentos judiciales revelan que más de 1.400 personas fueron espiadas en todo el mundo. Entre los afectados se encuentran:

• 456 personas en México
• 100 en India
• 82 en Bahréin
• 69 en Marruecos
• 58 en Pakistán

La lista de víctimas incluye periodistas, defensores de derechos humanos, disidentes políticos y figuras de la sociedad civil.

Veredicto histórico contra el software espía

Citar"Nuestro caso contra NSO sentó un precedente cuando el tribunal determinó que violaron la ley", afirmó Will Cathcart, director de WhatsApp en Meta. "El veredicto del jurado es un elemento disuasorio clave para toda la industria del spyware".

Meta buscará ahora una orden judicial permanente para impedir que NSO Group vuelva a atacar a WhatsApp. Además, la compañía anunció que donará parte de la compensación a organizaciones de derechos digitales que luchan contra el espionaje tecnológico.

Daños punitivos y compensatorios

• El jurado federal otorgó a WhatsApp:
• 167.254.000 dólares en daños punitivos
• 444.719 dólares en daños compensatorios, por el trabajo de los ingenieros que neutralizaron los vectores de ataque

La sentencia representa un triunfo importante para la privacidad digital y los derechos humanos, sectores que han denunciado reiteradamente a NSO Group por permitir el uso abusivo de Pegasus.

NSO Group bajo creciente escrutinio internacional

NSO Group argumentó que no es responsable de cómo sus clientes utilizan Pegasus. Sin embargo, la jueza Phyllis J. Hamilton refutó esa defensa, afirmando que no pueden "alegar luchar contra el terrorismo mientras se desentienden del uso real que se le da a su tecnología".

Meta añadió que NSO invierte decenas de millones de dólares anuales en nuevas técnicas de infección de dispositivos, incluyendo ataques a través de:

• Aplicaciones de mensajería
• Navegadores web
• Sistemas operativos como iOS y Android

Desde 2021, el Gobierno de EE. UU. ha sancionado a NSO Group por actividades cibernéticas maliciosas, lo que ha intensificado la presión internacional sobre la empresa.

Apple retiró una demanda similar

En contraste, Apple retiró una demanda contra NSO Group en septiembre de 2024, alegando que continuarla podría exponer detalles sensibles sobre su programa de seguridad.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Europol ha anunciado el cierre de múltiples servicios ilegales de denegación de servicio distribuido (DDoS) de alquiler, utilizados para lanzar miles de ciberataques a nivel mundial entre 2022 y 2025. La operación forma parte de una ofensiva más amplia contra el cibercrimen organizada en el marco de la Operación PowerOFF.

Arrestos e incautación de dominios vinculados a ataques DDoS

Como resultado de la operación conjunta, las autoridades polacas arrestaron a cuatro sospechosos, mientras que Estados Unidos incautó nueve dominios web asociados con las plataformas de ataques DDoS, ahora fuera de línea.

Según Europol, los detenidos estarían detrás de seis servicios de estrés/booter, identificados como:

• cfxapi
• cfxsecurity
• neostress
• jetstress
• quickdown
• zapcut

Estas plataformas permitían a los usuarios lanzar ataques DDoS por tan solo 10 euros, afectando a escuelas, organismos gubernamentales, empresas y plataformas de videojuegos.

Servicios de estrés DDoS: cómo funcionaban

Los servicios de estrés o booter DDoS se comercializaban abiertamente en foros clandestinos, camuflados como herramientas legales de pruebas de estrés para redes. Sin embargo, su propósito real era facilitar ataques de denegación de servicio, inundando servidores y sitios web con tráfico falso hasta volverlos inaccesibles.

Citar"Estos servicios ofrecían interfaces amigables que permitían a usuarios sin conocimientos técnicos realizar ataques con solo ingresar una IP, seleccionar el tipo de ataque y pagar una tarifa", explicó Europol.

A diferencia de los botnets tradicionales que requieren infectar dispositivos, estos servicios utilizaban infraestructura centralizada y alquilada, haciendo que los ataques DDoS fueran fácilmente accesibles y escalables.

Detalles sobre los servicios cerrados: cfxsecurity y QuickDown

Uno de los servicios destacados, cfxsecurity, operaba en los dominios cfxsecurity[.]bet y cfxsecurity[.]cc, promocionándose como el "servicio de pruebas de estrés número 1", ofreciendo supuestas pruebas integrales para garantizar la resiliencia de sitios web.

Sus planes tarifarios incluían:

• Starter: $20/mes
• Premium: $50/mes
• Enterprise: $130/mes

Otro caso notable es QuickDown (quickdown[.]pro), que ofrecía kits desde $20 hasta $379 mensuales. Según un informe de la empresa de ciberseguridad Radware (agosto de 2024), QuickDown adoptó una arquitectura híbrida que combinaba botnets y servidores dedicados. En septiembre de 2023, lanzaron un "complemento de botnet" con nuevos planes centrados en esta infraestructura.

Operación PowerOFF: lucha continua contra el DDoS como servicio

Esta acción forma parte de la Operación PowerOFF, una iniciativa global liderada por Europol en colaboración con agencias policiales de Países Bajos, Alemania, Polonia y Estados Unidos. El objetivo es desmantelar redes e infraestructuras que permiten ataques DDoS como servicio (DDoS-for-hire).

En una fase anterior, en diciembre de 2024, se cerraron 27 servicios adicionales y se formularon cargos contra seis personas en los Países Bajos y EE. UU.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cibercriminales están explotando activamente una vulnerabilidad crítica de escalada de privilegios no autenticada en el plugin OttoKit de WordPress, lo que les permite crear cuentas de administrador fraudulentas en sitios web vulnerables. Esta brecha representa una amenaza importante para la seguridad de miles de sitios basados en WordPress.

¿Qué es OttoKit y por qué es importante?

OttoKit, anteriormente conocido como SureTriggers, es un popular complemento de automatización e integración para WordPress que permite conectar sitios web con servicios de terceros y automatizar flujos de trabajo. Actualmente está instalado en más de 100.000 sitios web.

Detalles de la vulnerabilidad CVE-2025-27007

El 11 de abril de 2025, el investigador Denver Jackson reportó a Patchstack una falla crítica en OttoKit, registrada como CVE-2025-27007. Esta vulnerabilidad reside en un error lógico dentro de la función create_wp_connection, que permite a los atacantes eludir la autenticación cuando las contraseñas de aplicaciones no están configuradas correctamente.

A través de esta falla, los atacantes pueden obtener acceso de nivel administrador mediante solicitudes a la API REST del plugin, explotando la validación incompleta en los parámetros de entrada.

Solución y actualización del plugin OttoKit

• 12 de abril de 2025: Patchstack informó al proveedor del complemento.
• 21 de abril de 2025: Se lanzó la versión 1.0.83 de OttoKit, que incluye una validación adicional de la clave de acceso en las solicitudes.
• 24 de abril de 2025: La mayoría de los usuarios fueron forzados a actualizar automáticamente a la versión segura.

Explotación activa tras la divulgación pública

Aunque el informe de Patchstack fue publicado el 5 de mayo de 2025, la explotación activa comenzó menos de dos horas después de la divulgación. Los atacantes dirigieron sus esfuerzos a los puntos finales de la API REST, simulando integraciones legítimas para crear nuevas cuentas de administrador.

Utilizando nombres de usuario adivinados o forzados, junto con contraseñas aleatorias, claves de acceso falsas y direcciones de correo electrónico inventadas, los atacantes aprovecharon la función create_wp_connection para ejecutar llamadas API adicionales, como:


Estas solicitudes incluían la carga útil "type_event": "create_user_if_not_exists", lo que generaba cuentas de administrador de forma silenciosa en instalaciones vulnerables.

Recomendaciones de seguridad para los administradores de WordPress
Patchstack recomienda tomar medidas inmediatas si estás utilizando el plugin OttoKit:

• Actualizar de inmediato a la versión 1.0.83 o superior.
• Revisar los registros del sitio en busca de actividad sospechosa.
• Verificar la lista de cuentas de usuario y roles asignados.
• Implementar medidas adicionales de seguridad, como autenticación multifactor (MFA) y deshabilitar el acceso innecesario a la API REST.

Otra vulnerabilidad crítica reciente en OttoKit: CVE-2025-3102

Esta no es la primera vez que OttoKit enfrenta una vulnerabilidad crítica. En abril de 2025 también se descubrió y explotó otra falla de omisión de autenticación, identificada como CVE-2025-3102. En esa ocasión, los actores de amenazas también intentaron crear cuentas de administrador automatizadas usando datos aleatorios, evidenciando un patrón continuo de ataques.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo kit de phishing conocido como CoGUI ha irrumpido con fuerza en el panorama de la ciberseguridad, distribuyendo más de 580 millones de correos electrónicos fraudulentos entre enero y abril de 2025. Su objetivo principal: el robo de credenciales de acceso y datos de pago de usuarios desprevenidos en todo el mundo.

Campañas masivas de phishing con suplantación de identidad

Los ataques de CoGUI se caracterizan por suplantar a grandes marcas de confianza como Amazon, PayPal, Rakuten, Apple, así como agencias fiscales y bancos. La campaña más intensa se registró en enero de 2025, con 170 campañas activas que distribuyeron más de 172 millones de mensajes de phishing en un solo mes. En los meses siguientes, el volumen de correos maliciosos siguió siendo significativo.

Según investigadores de Proofpoint, esta es actualmente la campaña de phishing con mayor volumen registrada. Aunque el principal objetivo fue Japón, también se detectaron ataques en Estados Unidos, Canadá, Australia y Nueva Zelanda.

Origen y evolución del kit de phishing CoGUI

CoGUI ha estado en funcionamiento al menos desde octubre de 2024, pero su actividad fue registrada por Proofpoint a partir de diciembre del mismo año. En un principio, se identificaron similitudes con el kit de phishing Darcula, vinculado a operadores con sede en China. No obstante, un análisis más profundo reveló que CoGUI y Darcula no están directamente relacionados, aunque ambos son utilizados por actores de amenazas chinos.

Cómo funciona la cadena de ataque de CoGUI

La técnica de CoGUI comienza con un correo electrónico de phishing que aparenta ser enviado por una empresa legítima. Estos mensajes suelen incluir líneas de asunto urgentes que incitan al usuario a actuar de inmediato. El cuerpo del mensaje contiene un enlace que redirige a un sitio web de phishing, pero este solo se activa si el destinatario cumple con criterios específicos como:

• Dirección IP y ubicación geográfica
• Idioma del navegador
• Sistema operativo y resolución de pantalla
• Tipo de dispositivo (móvil o escritorio)

Si estos parámetros no se cumplen, el usuario es redirigido al sitio legítimo de la marca suplantada, lo que ayuda a ocultar la naturaleza fraudulenta del ataque. En cambio, si el objetivo cumple los criterios, se le lleva a una página de inicio de sesión falsa que replica el diseño original, lo que permite a los atacantes robar sus credenciales y datos personales.

Smishing y expansión del kit CoGUI

Además del phishing por correo electrónico, CoGUI también ha sido vinculado con campañas de smishing (phishing por SMS) en Estados Unidos. Estas campañas utilizaban señuelos relacionados con "pagos de peaje pendientes". Sin embargo, actualmente esa actividad ha migrado principalmente hacia el kit Darcula.

Los expertos de Proofpoint creen que CoGUI opera como un servicio disponible para múltiples cibercriminales, muchos de ellos con sede en China. Aunque su foco ha sido Japón, el kit podría ser fácilmente adoptado por otros grupos delictivos para lanzar campañas masivas en diferentes regiones.

Recomendaciones de ciberseguridad frente al phishing

Para reducir el riesgo de caer en estas amenazas, los expertos recomiendan:

• No actuar con prisa ante correos que solicitan acciones urgentes.
• Evitar hacer clic en enlaces incrustados en correos sospechosos.
• Acceder siempre directamente al sitio web oficial escribiendo la URL manualmente.
• Activar filtros antiphishing y soluciones de seguridad en correos electrónicos corporativos y personales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Comienza con 'Curso de Fundamentos de Ingeniería de Software'. Creo que en Platzi es gratis ese curso.

Para adentrarse en la ciberseguridad, se comienza por establecer una base en TI, comprendiendo redes (TCP/IP), los sistemas operativos (especialmente Linux y Windows) y los conceptos esenciales de seguridad, como tipos de amenazas y vulnerabilidades. Luego prácticas en scripting, siendo Python un buen inicio, y explorar pentesting, el análisis de seguridad o la forense digital para enfocar aprendizaje.

Gracias por todos los comentarios estoy en los grupos de Whatsapp y sigo mandando CV, tratando de estudiar y crecer espero pronto conseguir algo y poder salir de el estancamiento que siento que estoy ahora

En la app de underc0de tenes un curso 100% gratis de QA no estoy al tanto de muchos detalles porque no es mi área de expertice, pero podrías comenzar por ahí.

Buenas , como podría empezar para QA ? Que es lo que debería hacer primero ?

Google ha publicado su actualización de seguridad de mayo de 2025 para Android, corrigiendo un total de 46 vulnerabilidades que afectan al sistema operativo. Entre ellas destaca CVE-2025-27363, una falla crítica en el componente del sistema que ha sido explotada activamente en escenarios del mundo real.

La vulnerabilidad, clasificada con una puntuación CVSS de 8.1, permite la ejecución de código local sin privilegios adicionales y sin interacción del usuario, lo que la convierte en una amenaza significativa para millones de dispositivos Android.

¿Qué es CVE-2025-27363 y por qué es peligrosa?

Este fallo de seguridad se origina en FreeType, una biblioteca de renderizado de fuentes de código abierto ampliamente utilizada en Android. Fue reportado inicialmente por Meta (Facebook) en marzo de 2025 y afecta al procesamiento de fuentes TrueType GX y variables. El problema, descrito como un error de escritura fuera de los límites, puede ser explotado para ejecutar código malicioso.

Google reconoció oficialmente en su boletín de seguridad Android de mayo que CVE-2025-27363 podría estar siendo utilizada en ataques dirigidos, aunque no se han revelado detalles técnicos sobre la naturaleza de estas intrusiones.

La vulnerabilidad ya ha sido corregida en las versiones de FreeType posteriores a la 2.13.0, por lo que se recomienda a los desarrolladores y fabricantes de dispositivos actualizar sus sistemas lo antes posible.

Más fallas solucionadas en Android

Además de CVE-2025-27363, Google ha solucionado otras ocho vulnerabilidades críticas dentro del sistema Android, así como 15 fallas en el módulo Framework. Estas podrían facilitar ataques de escalada de privilegios, filtración de datos sensibles o denegación de servicio (DoS).

El boletín destaca que muchas de estas vulnerabilidades afectan únicamente a versiones anteriores del sistema operativo, lo que refuerza el consejo de Google:

Citar"Recomendamos a todos los usuarios actualizar a la versión más reciente de Android siempre que sea posible".

¿Por qué es importante actualizar Android?

Las actualizaciones de seguridad mensuales son esenciales para proteger dispositivos Android frente a amenazas emergentes. Vulnerabilidades como CVE-2025-27363, que ya están siendo explotadas activamente, representan un riesgo real de infección por malware, robo de datos personales o control remoto del dispositivo.

Actualizar garantiza que los parches de seguridad más recientes se apliquen, reduciendo significativamente el riesgo de ataques y mejorando la estabilidad general del sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta