Ubuntu, la distribución más popular de Linux, ha retirado su versión de escritorio 23.10 después de que se descubriera que sus traducciones al ucraniano contenían discursos de odio.

Según el proyecto Ubuntu, un colaborador malicioso está detrás de los insultos antisemitas, homofóbicos y xenófobos que se inyectaron en la distribución a través de una "herramienta de terceros" que vive fuera del Archivo Ubuntu.

Traducciones al ucraniano con hilos "insultantes"

Esta semana, Ubuntu retiró su instalador de escritorio 23.10 después de detectar cadenas insultantes enterradas en su lanzamiento ucraniano.

"Hemos identificado el discurso de odio de un colaborador malicioso en algunas de nuestras traducciones enviadas como parte de una herramienta de terceros fuera del Archivo Ubuntu", anunció el proyecto.

"La imagen de Ubuntu 23.10 ha sido eliminada y una nueva versión estará disponible una vez que se hayan restaurado las traducciones correctas".

En su foro de la comunidad, el equipo de Ubuntu explicó además que las traducciones maliciosas al ucraniano fueron enviadas por un colaborador de la comunidad a un "servicio público en línea de terceros" en el que confiaba el instalador de escritorio de Ubuntu para proporcionar soporte de idiomas.


Una solicitud de extracción de GitHub descubierta por los usuarios de Reddit [1, 2] y vista por BleepingComputer eliminó las "cadenas [de localización] insultantes" alrededor del 12 de octubre.

BleepingComputer observó que las cadenas ucranianas crípticas y maliciosas fueron inyectadas por un usuario con el nombre de "Danilo Negrilo" hacia el final del archivo de traducciones, lo que las hacía más difíciles de detectar.

Aunque las traducciones malintencionadas han sido descubiertas en un momento de crecientes tensiones en Oriente Medio, la historia confirma que el sabotaje ocurrió alrededor del 22 de septiembre, antes de que entrara en vigor la guerra entre Israel y Hamas.

Preocupaciones sobre las inyecciones de malware

Dado que el impacto de este incidente se limitó a las traducciones, los usuarios han expresado su preocupación por la posibilidad de malware que podría inyectarse en futuras versiones de Ubuntu a través de dependencias de manera similar.

"Confío en Ubuntu porque es el más utilizado por lo que debería tener el mejor equipo de revisión, pero si esto pasó con las traducciones y nadie lo vio, imagínate con dependencias con malware inyectado", publicó un usuario en X (antes Twitter). "Creo que nadie revisa nada".

"Si esto es cierto, entonces eso significa que no estás probando las versiones beta de tu distro que no están en inglés", dijo otro.

"Las posibilidades de malware de actores de mala fe son enormes. Esto es algo que hay que superar. No eres elementaryOS. Eres una gran empresa y esto no debería suceder".

Sin embargo, vale la pena señalar que revisar las traducciones enviadas en diferentes idiomas, a menos que los propios desarrolladores dominen estos idiomas, es una tarea mucho más desafiante para la que una auditoría de seguridad de código regular puede no estar diseñada.

Además, las dependencias, el código y los componentes de código abierto pueden someterse a un proceso de validación independiente, destinado a frustrar el malware, que el adecuado para las traducciones, lo que hace que incidentes como estos sean más difíciles de descubrir.

Ubuntu ahora ha restaurado sus traducciones al ucraniano "al estado antes de que fuera saboteado", pero está dedicando tiempo adicional a "una auditoría más amplia antes de ponerlo oficialmente a disposición".

Mientras tanto, se recomienda a los usuarios que descarguen Ubuntu Desktop 23.10 desde la página de descargas de Ubuntu utilizando la ISO del instalador heredado que no se ve afectada por el incidente. Alternativamente, los usuarios pueden actualizar desde una versión de Ubutnu previamente compatible.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Valve ha anunciado la implementación de medidas de seguridad adicionales para los desarrolladores que publican juegos en Steam, incluidos los códigos de confirmación basados en SMS. Esto es para hacer frente a un brote reciente de actualizaciones maliciosas que impulsan malware desde cuentas de editores comprometidas.

Steamworks es un conjunto de herramientas y servicios que los desarrolladores y editores de juegos/software utilizan para distribuir sus productos en la plataforma Steam.

Es compatible con DRM (gestión de derechos digitales), multijugador, transmisión de video, emparejamiento, sistema de logros, voz y chat en el juego, microtransacciones, estadísticas, guardado en la nube y uso compartido de contenido creado por la comunidad (Steam Workshop).

A partir de finales de agosto y hasta septiembre de 2023, ha habido un número elevado de informes sobre cuentas de Steamworks comprometidas y los atacantes que cargan compilaciones maliciosas que infectan a los jugadores con malware.

Valve aseguró a la comunidad de jugadores que el impacto de estos ataques se limitó a unos pocos cientos de usuarios, que fueron informados individualmente de la posible violación a través de avisos enviados por la compañía.


Para frenar este problema, Valve aplicará una nueva comprobación de seguridad basada en SMS a partir del 24 de octubre de 2023, que los desarrolladores de juegos deben pasar antes de enviar una actualización a la rama de lanzamiento predeterminada (no a las versiones beta).

El mismo requisito se aplicará cuando alguien intente agregar nuevos usuarios al grupo de socios de Steamworks, que ya está protegido por una confirmación basada en correo electrónico. A partir del 24 de octubre, el administrador del grupo debe verificar la acción con un código SMS.

"Como parte de una actualización de seguridad, cualquier configuración de cuenta de Steamworks que se cree en vivo en la rama predeterminada/pública de una aplicación lanzada deberá tener un número de teléfono asociado con su cuenta para que Steam pueda enviarle un mensaje de texto con un código de confirmación antes de continuar", se lee en el anuncio de Valve de principios de esta semana.

"Lo mismo ocurrirá con cualquier cuenta de Steamworks que necesite agregar nuevos usuarios. Este cambio se implementará el 24 de octubre de 2023, así que asegúrese de agregar un número de teléfono a su cuenta ahora".

"También planeamos agregar este requisito para otras acciones de Steamworks en el futuro".

Para aquellos que usan la API SetAppBuildLive, Steam la ha actualizado para requerir un SteamID para la confirmación, particularmente para los cambios en la rama predeterminada de una aplicación lanzada.

El uso de "steamcmd" para poner en marcha las compilaciones ya no es aplicable para administrar la rama predeterminada de las aplicaciones publicadas.

Además, Valve dice que no habrá una solución para los desarrolladores sin un número de teléfono, por lo que deben encontrar una manera de recibir mensajes de texto para continuar publicando en la plataforma.

No es una solución perfecta

Si bien la introducción de la verificación basada en SMS es un buen paso para lograr una mejor seguridad de la cadena de suministro en Steam, el sistema está lejos de ser perfecto.

Uno de los desarrolladores del juego, Benoît Freslon, explicó que fue infectado con un malware de robo de información que se utilizó para robar sus credenciales.

Usando estas credenciales robadas, el actor de amenazas lanzó brevemente una actualización maliciosa para NanoWar: Cells VS Virus que infectó a los jugadores con malware.

Freslon explicó en Twitter que la nueva medida de seguridad MFA basada en SMS de Valve no habría ayudado a detener el ataque, ya que el malware ladrón de información arrebató tokens de sesión a todas sus cuentas.


En una publicación separada en su sitio web, el desarrollador del juego explicó que el ataque ocurrió en Discord, y los actores de amenazas lo engañaron para que descargara y revisara un juego de Unity llamado "Extreme Invaders".

El instalador del juego dejó caer un malware de robo de contraseñas en su computadora, que se dirigía a sus cuentas de Discord, Steam, Twitch, Twitter y otras.

Hasta que los tokens fueron revocados o expiraron, los atacantes continuaron accediendo a las cuentas del desarrollador, permaneciendo libres para enviar actualizaciones de juegos con malware a los jugadores.

Además, SMS 2FA es inherentemente vulnerable a los ataques de intercambio de SIM en los que los actores de amenazas pueden transferir el número de un desarrollador de juegos a una nueva SIM y eludir la medida de seguridad.

Una solución mejor y más moderna sería aplicar aplicaciones de autenticación o claves de seguridad físicas, especialmente para proyectos con grandes comunidades.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha observado que un malware conocido como DarkGate se propaga a través de plataformas de mensajería instantánea como Skype y Microsoft Teams.

En estos ataques, las aplicaciones de mensajería se utilizan para entregar un script de carga de Visual Basic for Applications (VBA) que se hace pasar por un documento PDF que, cuando se abre, desencadena la descarga y ejecución de un script AutoIt diseñado para iniciar el malware.

"No está claro cómo se vieron comprometidas las cuentas de origen de las aplicaciones de mensajería instantánea, sin embargo, se plantea la hipótesis de que fue a través de credenciales filtradas disponibles a través de foros clandestinos o el compromiso previo de la organización matriz", dijo Trend Micro en un nuevo análisis publicado el jueves.

DarkGate, documentado por primera vez por Fortinet en noviembre de 2018, es un malware básico que incorpora una amplia gama de funciones para recopilar datos confidenciales de los navegadores web, realizar minería de criptomonedas y permitir a sus operadores controlar de forma remota los hosts infectados. También funciona como un descargador de cargas útiles adicionales como Remcos RAT.

Las campañas de ingeniería social que distribuyen el malware han experimentado un aumento en los últimos meses, aprovechando las tácticas de entrada iniciales, como los correos electrónicos de phishing y el envenenamiento de la optimización de motores de búsqueda (SEO) para atraer a los usuarios involuntarios a instalarlo.

El repunte sigue a la decisión del autor del malware de anunciar el malware en foros clandestinos y alquilarlo como malware como servicio a otros actores de amenazas después de años de usarlo de forma privada.

El uso del mensaje de chat de Microsoft Teams como vector de propagación para DarkGate fue destacado previamente por Truesec a principios del mes pasado, lo que indica que es probable que varios actores de amenazas lo estén utilizando.


La mayoría de los ataques se han detectado en América, seguidos de cerca por Asia, Oriente Medio y África, según Trend Micro.

El procedimiento general de infección que abusa de Skype y Teams se parece mucho a una campaña de malspam informada por Telekom Security a finales de agosto de 2023, salvo por el cambio en la ruta de acceso inicial.

"El actor de amenazas abusó de una relación de confianza entre las dos organizaciones para engañar al destinatario para que ejecutara el script VBA adjunto", dijeron los investigadores de Trend Micro Trent Bessell, Ryan Maglaque, Aira Marcelo, Jack Walsh y David Walsh.

"El acceso a la cuenta de Skype de la víctima permitió al actor secuestrar un hilo de mensajería existente y crear la convención de nomenclatura de los archivos para que se relacionaran con el contexto del historial de chat".

El script VBA sirve como un conducto para obtener la aplicación AutoIt legítima (AutoIt3.exe) y un script AutoIT asociado responsable de iniciar el malware DarkGate.

Una secuencia de ataque alternativa implica que los atacantes envíen un mensaje de Microsoft Teams que contiene un archivo adjunto ZIP que contiene un archivo LNK que, a su vez, está diseñado para ejecutar un script VBA para recuperar AutoIt3.exe y el artefacto DarkGate.

"Los ciberdelincuentes pueden usar estas cargas útiles para infectar sistemas con varios tipos de malware, incluidos ladrones de información, ransomware, herramientas de administración remota maliciosas y/o abusadas y mineros de criptomonedas", dijeron los investigadores.

"Siempre que se permita la mensajería externa, o que no se controle el abuso de las relaciones de confianza a través de cuentas comprometidas, esta técnica para la entrada inicial se puede realizar con cualquier aplicación de mensajería instantánea (IM)".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El personal militar de la Unión Europea y los líderes políticos que trabajan en iniciativas de igualdad de género se han convertido en el objetivo de una nueva campaña que ofrece una versión actualizada de RomCom RAT llamada PEAPOD.

La firma de ciberseguridad Trend Micro atribuyó los ataques a un actor de amenazas que rastrea bajo el nombre de Void Rabisu, que también se conoce como Storm-0978, Tropical Scorpius y UNC2596, y también se cree que está asociado con el ransomware Cuba.

El colectivo adversario es un grupo inusual en el sentido de que lleva a cabo ataques tanto por motivos financieros como de espionaje, difuminando la línea entre sus modos de operación. También está vinculado exclusivamente al uso de RomCom RAT.

Los ataques que involucran el uso de la puerta trasera han señalado a Ucrania y a los países que apoyan a Ucrania en su guerra contra Rusia durante el último año.

A principios de este mes de julio, Microsoft implicó a Void Rabisu en la explotación de CVE-2023-36884, un fallo de ejecución remota de código en Office y Windows HTML, mediante el uso de señuelos de documentos de Microsoft Office especialmente diseñados relacionados con el Congreso Mundial de Ucrania.

RomCom RAT es capaz de interactuar con un servidor de comando y control (C&C) para recibir comandos y ejecutarlos en la máquina de la víctima, al mismo tiempo que incluye técnicas de evasión de defensa, marcando una evolución constante en su sofisticación.

El malware generalmente se distribuye a través de correos electrónicos de spear-phishing altamente dirigidos y anuncios falsos en motores de búsqueda como Google y Bing para engañar a los usuarios para que visiten sitios de señuelo que alojan versiones troyanizadas de aplicaciones legítimas.


"Void Rabisu es uno de los ejemplos más claros en los que vemos una mezcla de las tácticas, técnicas y procedimientos (TTP) típicos utilizados por los actores de amenazas cibercriminales y los TTP utilizados por los actores de amenazas patrocinados por estados-nación motivados principalmente por objetivos de espionaje", dijo Trend Micro.

El último conjunto de ataques detectados por la compañía en agosto de 2023 también ofrece RomCom RAT, solo que es una iteración actualizada y reducida del malware que se distribuye a través de un sitio web llamado wplsummit[.] com, que es una réplica del legítimo wplsummit[.] org.

En el sitio web está presente un enlace a una carpeta de Microsoft OneDrive que alberga un ejecutable llamado "Unpublished Pictures 1-20230802T122531-002-sfx.exe", un archivo de 21.6 MB que tiene como objetivo imitar una carpeta que contiene fotos de la Cumbre de Mujeres Líderes Políticas (WPL) que tuvo lugar en junio de 2023.

El binario es un descargador que coloca 56 imágenes en el sistema de destino como señuelo, mientras recupera un archivo DLL de un servidor remoto. Se dice que estas fotos fueron obtenidas por el actor malicioso de publicaciones individuales en varias plataformas de redes sociales como LinkedIn, X (anteriormente conocida como Twitter) e Instagram.

El archivo DLL, por su parte, establece contacto con otro dominio para obtener el artefacto PEAPOD de tercera etapa, que admite 10 comandos en total, frente a los 42 comandos admitidos por su predecesor.

La versión revisada está equipada para ejecutar comandos arbitrarios, descargar y cargar archivos, obtener información del sistema e incluso desinstalarse del host comprometido. Al reducir el malware a las características más esenciales, la idea es limitar su huella digital y complicar los esfuerzos de detección.

"Si bien no tenemos evidencia de que Void Rabisu esté patrocinado por un estado-nación, es posible que sea uno de los actores de amenazas motivados financieramente de la clandestinidad criminal que se vio arrastrado a actividades de ciberespionaje debido a las extraordinarias circunstancias geopolíticas causadas por la guerra en Ucrania", dijo Trend Micro.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft anunció a principios de esta semana que el protocolo de autenticación NTLM se eliminará en Windows 11 en el futuro.

NTLM (abreviatura de New Technology LAN Manager) es una familia de protocolos que se utilizan para autenticar a los usuarios remotos y proporcionar seguridad de sesión.

Kerberos, otro protocolo de autenticación, ha reemplazado a NTLM y ahora es el protocolo de autenticación predeterminado actual para los dispositivos conectados a un dominio en todas las versiones de Windows anteriores a Windows 2000.

Si bien era el protocolo predeterminado que se usaba en las versiones anteriores de Windows, NTLM todavía se usa hoy en día y, si, por alguna razón, se produce un error en Kerberos, se usará NTLM en su lugar.

Los actores de amenazas han explotado ampliamente NTLM en ataques de retransmisión NTLM en los que obligan a los dispositivos de red vulnerables (incluidos los controladores de dominio) a autenticarse en servidores bajo el control de los atacantes, elevando los privilegios para obtener un control completo sobre el dominio de Windows.

A pesar de esto, NTLM todavía se usa en servidores Windows, lo que permite a los atacantes explotar vulnerabilidades como ShadowCoerce, DFSCoerce, PetitPotam y RemotePotato0, diseñadas para eludir las mitigaciones de ataques de retransmisión NTLM.

NTLM también ha sido blanco de ataques pass-the-hash, en los que los ciberdelincuentes explotan las vulnerabilidades del sistema o despliegan software malicioso para adquirir hashes NTLM, que representan contraseñas hash, de un sistema objetivo.

Una vez en posesión del hash, los atacantes pueden utilizarlo para autenticarse como el usuario comprometido, obteniendo así acceso a datos confidenciales y propagados lateralmente en la red.


Microsoft dice que los desarrolladores ya no deberían usar NTLM en sus aplicaciones desde 2010, y ha estado aconsejando a los administradores de Windows que deshabiliten NTLM o configuren sus servidores para bloquear los ataques de retransmisión NTLM utilizando Active Directory Certificate Services (AD CS).

Sin embargo, Microsoft ahora está trabajando en dos nuevas características de Kerberos: IAKerb (autenticación inicial y de paso a través mediante Kerberos) y KDC local (Centro de distribución de claves locales).

"El KDC local para Kerberos se basa en el Administrador de cuentas de seguridad de la máquina local, por lo que la autenticación remota de las cuentas de usuario locales se puede realizar mediante Kerberos", explicó Matthew Palko de Microsoft.

"Esto aprovecha IAKerb para permitir que Windows pase mensajes Kerberos entre máquinas locales remotas sin tener que agregar soporte para otros servicios empresariales como DNS, netlogon o DCLocator. IAKerb tampoco requiere que abramos nuevos puertos en la máquina remota para aceptar mensajes Kerberos".

Microsoft tiene la intención de introducir las dos nuevas características de Kerberos en Windows 11 para ampliar su uso y abordar dos desafíos importantes que conducen a la reserva de Kerberos a NTLM.

La primera característica, IAKerb, permite a los clientes autenticarse con Kerberos en una gama más amplia de topologías de red. La segunda característica implica un centro de distribución de claves (KDC) local para Kerberos, que amplía la compatibilidad con Kerberos a las cuentas locales.

Redmond también planea ampliar los controles de administración de NTLM, proporcionando a los administradores una mayor flexibilidad para supervisar y restringir el uso de NTLM dentro de sus entornos.

"Reducir el uso de NTLM culminará en última instancia en su desactivación en Windows 11. Estamos adoptando un enfoque basado en datos y monitoreando las reducciones en el uso de NTLM para determinar cuándo será seguro desactivarlo", dijo Palko.

"Mientras tanto, puede usar los controles mejorados que estamos proporcionando para obtener una ventaja. Una vez deshabilitados de forma predeterminada, los clientes también podrán usar estos controles para volver a habilitar NTLM por razones de compatibilidad".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los ciberdelincuentes están empleando una novedosa técnica de distribución de código denominada 'EtherHiding', que abusa de los contratos Smart Chain (BSC) de Binance para ocultar scripts maliciosos en la cadena de bloques.

Los actores de amenazas responsables de esta campaña utilizaron anteriormente sitios de WordPress comprometidos que redirigían a hosts de Cloudflare Worker para inyectar JavaScript malicioso en sitios web pirateados, pero luego pasaron a abusar de los sistemas blockchain que proporcionan un canal de distribución mucho más resistente y evasivo.

"En los últimos dos meses, aprovechando una amplia gama de sitios de WordPress secuestrados, este actor de amenazas ha engañado a los usuarios para que descarguen actualizaciones maliciosas falsas del navegador", mencionan los investigadores de Guardio Labs, Nati Tal y Oleg Zaytsev, quienes descubrieron la campaña.

"Si bien su método inicial de alojar código en hosts de Cloudflare Worker abusados fue eliminado, han cambiado rápidamente para aprovechar la naturaleza descentralizada, anónima y pública de blockchain. Esta campaña está en marcha y es más difícil que nunca detectarla y eliminarla".

Malware EtherHiding

EtherHiding es una nueva técnica de los actores de amenazas denominada 'ClearFake' para distribuir código que se inyecta en sitios web pirateados para mostrar superposiciones falsas de actualizaciones del navegador.

Guardio Labs explica que los piratas informáticos se dirigen a sitios vulnerables de WordPress o credenciales de administrador comprometidas para inyectar dos etiquetas de script en páginas web.

Estas inyecciones de scripts cargan la biblioteca JS de Binance Smart Chain (BSC) y obtienen scripts maliciosos de la cadena de bloques que luego se inyectan en el sitio.


Este código obtenido de BSC también se inyecta en la página web para desencadenar la descarga de la carga útil de la tercera etapa, esta vez desde los servidores del actor de amenazas (C2).

La dirección C2 se refiere directamente desde la cadena de bloques, por lo que los atacantes pueden cambiarla fácilmente con frecuencia para evadir bloqueos.

Estas cargas útiles de tercera etapa se ejecutan en el navegador del usuario para mostrar una superposición falsa en el sitio que solicita a los usuarios que actualicen su navegador Google Chrome, Microsoft Edge o Mozilla Firefox.


Una vez que la víctima hace clic en el botón de actualización, se le dirige a descargar un ejecutable malicioso de Dropbox u otros sitios de alojamiento legítimos.


Ventaja de la cadena de bloques

La cadena de bloques está diseñada para ejecutar aplicaciones descentralizadas y contratos inteligentes, y cualquier código alojado en ella no se puede eliminar, por lo que alojarlo allí en lugar de usar infraestructura alquilada hace que estos ataques sean imbloqueables.

Cuando uno de sus dominios se marca, los atacantes actualizan la cadena para intercambiar el código malicioso y los dominios relacionados, continuando el ataque con una interrupción mínima.

Además, no hay cargos por realizar estos cambios, por lo que los ciberdelincuentes pueden esencialmente abusar del sistema tanto como necesiten sin sufrir una carga financiera que haga que sus operaciones no sean rentables.


Una vez que se implementa un contrato inteligente en el BSC, funciona de forma autónoma y no se puede cerrar. Incluso reportar la dirección como maliciosa no evitará que distribuya el código malicioso cuando se invoque.

Guardio Labs dice que informar de la dirección activa una advertencia en la página del explorador BSC de Binance para alertar a los usuarios de que no interactúen con la dirección. Sin embargo, los visitantes de sitios de WordPress comprometidos nunca verán esa advertencia ni se darán cuenta de lo que sucede bajo el capó.


La única forma de mitigar el problema es centrarse en la seguridad de WordPress, utilizando contraseñas de administrador seguras y únicas, manteniendo los plugins actualizados y eliminando los complementos y cuentas no utilizados.

Si bien actualmente es una evolución de las campañas de ClearFake, EtherHiding presenta las tácticas en constante evolución de los actores de amenazas para hacer que sus ataques sean más resistentes a la eliminación.

Si este método tiene éxito, el abuso de Blockchain podría convertirse en parte integral de varias cadenas de ataque de entrega de carga útil en los próximos meses.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha descubierto que un paquete malintencionado hospedado en el administrador de paquetes NuGet para .NET Framework proporciona un troyano de acceso remoto denominado SeroXen RAT.

El paquete, llamado Pathoschild.Stardew.Mod.Build.Config y publicado por un usuario llamado Disti, es un error tipográfico de un paquete legítimo llamado Pathoschild.Stardew.ModBuildConfig, dijo la firma de seguridad de la cadena de suministro de software Phylum en un informe hoy.

Si bien el paquete real ha recibido casi 79,000 descargas hasta la fecha, se dice que la variante maliciosa infló artificialmente su recuento de descargas después de su publicación el 6 de octubre de 2023, para superar las 100,000 descargas.

El perfil detrás del paquete ha publicado otros seis paquetes que han atraído no menos de 2.1 millones de descargas acumulativas, cuatro de los cuales se hacen pasar por bibliotecas para varios servicios criptográficos como Kraken, KuCoin, Solana y Monero, pero también están diseñados para implementar SeroXen RAT.

La cadena de ataque se inicia durante la instalación del paquete mediante un script tools/init.ps1 que está diseñado para lograr la ejecución de código sin activar ninguna advertencia, un comportamiento previamente revelado por JFrog en marzo de 2023 como explotado para recuperar malware de la siguiente etapa.

"Aunque está en desuso, el script init.ps1 sigue siendo respetado por Visual Studio y se ejecutará sin ninguna advertencia al instalar un paquete NuGet", dijo JFrog en ese momento. "Dentro del archivo .ps1, un atacante puede escribir comandos arbitrarios".

En el paquete analizado por Phylum, el script de PowerShell se usa para descargar un archivo denominado x.bin desde un servidor remoto que, en realidad, es un script de Windows Batch muy ofuscado, que, a su vez, es responsable de construir y ejecutar otro script de PowerShell para implementar finalmente el RAT de SeroXen.

SeroXen RAT, un malware listo para usar, se ofrece a la venta por $ 60 por un paquete de por vida, lo que lo hace fácilmente accesible para los ciberdelincuentes. Es un RAT sin archivos que combina las funciones de Quasar RAT, el rootkit r77 y la herramienta de línea de comandos de Windows NirCmd.

"El descubrimiento de SeroXen RAT en los paquetes NuGet solo subraya cómo los atacantes continúan explotando los ecosistemas de código abierto y los desarrolladores que los usan", dijo Phylum.

El desarrollo se produce cuando la compañía detectó siete paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hacen pasar por ofertas legítimas de proveedores de servicios en la nube como Aliyun, Amazon Web Services (AWS) y Tencent Cloud para transmitir subrepticiamente las credenciales a una URL remota ofuscada.

Los nombres de los paquetes se enumeran a continuación:

• tencent-cloud-python-sdk
• python-alibabacloud-sdk-core
• AlibabaCloud-OSS2
• python-alibabacloud-tea-openapi
• aws-enumerate-iam
• enumerate-iam-aws
• alisdkcore

"En esta campaña, el atacante está explotando la confianza de un desarrollador, tomando una base de código existente y bien establecida e insertando un solo bit de código malicioso destinado a exfiltrar credenciales confidenciales en la nube", señaló Phylum.

"La sutileza radica en la estrategia del atacante de preservar la funcionalidad original de los paquetes, intentando pasar desapercibidos, por así decirlo. El ataque es minimalista y simple, pero efectivo".

Checkmarx, que también compartió detalles adicionales de la misma campaña, dijo que también está diseñada para apuntar a Telegram a través de un paquete engañoso llamado telethon2, que tiene como objetivo imitar telethon, una biblioteca de Python para interactuar con la API de Telegram.

La mayoría de las descargas de las bibliotecas falsificadas se han originado en los EE. UU., seguidos de China, Singapur, Hong Kong, Rusia y Francia.


"En lugar de realizar una ejecución automática, el código malicioso dentro de estos paquetes se ocultó estratégicamente dentro de las funciones, diseñadas para activarse solo cuando se llamaba a estas funciones", dijo la compañía. "Los atacantes aprovecharon las técnicas de Typosquatting y StarJacking para atraer a los desarrolladores a sus paquetes maliciosos".

A principios de este mes, Checkmarx expuso aún más una campaña implacable y progresivamente sofisticada dirigida a PyPI para sembrar la cadena de suministro de software con 271 paquetes maliciosos de Python con el fin de robar datos confidenciales y criptomonedas de los hosts de Windows.

Los paquetes, que también venían equipados con funciones para desmantelar las defensas del sistema, se descargaron colectivamente aproximadamente 75.000 veces antes de ser eliminados.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se han lanzado parches para dos fallos de seguridad que afectan a la biblioteca de transferencia de datos de Curl, el más grave de los cuales podría dar lugar a la ejecución de código.

La lista de vulnerabilidades es la siguiente:

• CVE-2023-38545 (puntuación CVSS: 7,5): vulnerabilidad de desbordamiento de búfer basada en montón SOCKS5
• CVE-2023-38546 (puntuación CVSS: 5,0) - Inyección de cookies sin archivo

CVE-2023-38545 es el más grave de los dos, y ha sido descrito por el desarrollador principal del proyecto, Daniel Stenberg, como "probablemente el peor fallo de seguridad de Curl en mucho tiempo". Afecta a las versiones de libcurl 7.69.0 a 8.3.0 inclusive.

"Esta falla hace que Curl se desborde como un búfer basado en un montón en el protocolo de enlace proxy SOCKS5", dijeron los mantenedores en un aviso. "Cuando se le pide a Curl que pase el nombre de host al proxy SOCKS5 para permitir que resuelva la dirección en lugar de que lo haga el propio Curl, la longitud máxima que puede tener ese nombre de host es de 255 bytes".

"Si se detecta que el nombre de host tiene más de 255 bytes, Curl cambia a la resolución de nombre local y, en su lugar, pasa la dirección resuelta solo al proxy. Debido a un error, la variable local que significa 'dejar que el host resuelva el nombre' podría obtener el valor incorrecto durante un protocolo de enlace SOCKS5 lento y, contrariamente a la intención, copiar el nombre de host demasiado largo en el búfer de destino en lugar de copiar solo la dirección resuelta allí".

Curl dijo que la vulnerabilidad probablemente podría ser explotada sin la necesidad de un ataque de denegación de servicio y que se podría desencadenar un desbordamiento con un servidor HTTPS malicioso que realice una redirección a una URL especialmente diseñada.

"Al ver que Curl es un proyecto ubicuo, se puede asumir con buena confianza que esta vulnerabilidad será explotada en la naturaleza para la ejecución remota de código, con exploits más sofisticados que se están desarrollando", dijo JFrog. "Sin embargo, el conjunto de condiciones previas necesarias para que una máquina sea vulnerable es más restrictivo de lo que se creía inicialmente".

"Un exploit válido requeriría que un atacante desencadenara la ejecución de código, por ejemplo, pasando un nombre de host a una aplicación web que desencadenaría la ejecución de código en Curl", dijo Johannes B. Ullrich, decano de investigación en el Instituto de Tecnología SANS. "A continuación, el exploit solo existe si Curl se usa para conectarse a un proxy SOCKS5. Esta es otra dependencia, lo que hace que la explotación sea menos probable".

La segunda vulnerabilidad, que afecta a las versiones 7.9.1 a 8.3.0 de libcurl, permite a un actor malintencionado insertar cookies a voluntad en un programa en ejecución que utiliza libcurl en circunstancias específicas.

Los parches para ambas fallas están disponibles en la versión 8.4.0 lanzada el 11 de octubre de 2023. En concreto, la actualización garantiza que Curl ya no cambie al modo de resolución local si un nombre de host es demasiado largo, lo que mitiga el riesgo de desbordamientos de búfer basados en montón.

"Esta familia de defectos habría sido imposible si Curl se hubiera escrito en un lenguaje seguro para la memoria en lugar de C, pero portar Curl a otro idioma no está en la agenda", agregó Stenberg.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Apple ha publicado actualizaciones de seguridad para iPhones y iPads más antiguos para los parches de backport lanzados hace una semana, abordando dos vulnerabilidades de día cero explotadas en los ataques.

"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS anteriores a iOS 16.6", dijo la compañía en un aviso.

El primer día cero (rastreado como CVE-2023-42824) es una vulnerabilidad de escalada de privilegios causada por una debilidad en el kernel XNU que puede permitir a los atacantes locales elevar los privilegios en iPhones y iPads vulnerables.

Apple ahora también ha solucionado el problema en iOS 16.7.1 y iPadOS 16.7.1 con comprobaciones mejoradas, pero aún no ha revelado quién descubrió e informó la falla.

El segundo, un error identificado como CVE-2023-5217, es causado por una vulnerabilidad de desbordamiento de búfer de pila dentro de la codificación VP8 de la biblioteca de códecs de video libvpx de código abierto. Esta falla podría permitir que los actores de amenazas obtengan la ejecución de código arbitrario tras una explotación exitosa.

A pesar de que Apple no confirmó ningún caso de explotación en la naturaleza, Google parcheó previamente el error libvpx como un día cero en su navegador web Chrome. Microsoft también abordó la misma vulnerabilidad en sus productos Edge, Teams y Skype.

Google atribuyó el descubrimiento de CVE-2023-5217 al investigador de seguridad Clément Lecigne, miembro del Grupo de Análisis de Amenazas (TAG) de Google, un equipo de expertos en seguridad conocido por descubrir los días cero explotados en ataques de spyware dirigidos respaldados por el estado dirigidos a personas de alto riesgo.

La lista de dispositivos afectados por los dos errores de día cero es extensa e incluye:

• iPhone 8 y modelos posteriores
• iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores

CISA agregó las dos vulnerabilidades [1, 2] a su Catálogo de Vulnerabilidades Explotadas Conocidas la semana pasada, ordenando a las agencias federales que protejan sus dispositivos contra ataques entrantes.

Apple también abordó recientemente tres días cero (CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993) que informaron investigadores de Citizen Lab y Google TAG. Los actores de amenazas los explotaron para implementar el software espía Predator de Cytrox.

Además, Citizen Lab encontró otras dos vulnerabilidades de día cero (CVE-2023-41061 y CVE-2023-41064) que fueron corregidas por Apple el mes pasado.

Estas fallas se explotaron como parte de una cadena de exploits de clic cero conocida como BLASTPASS y se utilizaron para instalar el software espía Pegasus de NSO Group en iPhones completamente parcheados.

Desde principios de año, Apple parcheó 18 vulnerabilidades de día cero explotadas en la naturaleza para atacar iPhones y Macs, que incluyen:

• dos días cero (CVE-2023-37450 y CVE-2023-38606) en julio
• tres días cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439) en junio
• tres días cero más (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) en mayo
• dos días cero (CVE-2023-28206 y CVE-2023-28205) en abril
• y otro WebKit de día cero (CVE-2023-23529) en febrero

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una campaña recientemente descubierta denominada "Stayin' Alive" se dirige a organizaciones gubernamentales y proveedores de servicios de telecomunicaciones de toda Asia desde 2021, utilizando una amplia variedad de malware "desechable" para evadir la detección.

La mayoría de los objetivos de la campaña vistos por la empresa de ciberseguridad Check Point se encuentran en Kazajistán, Uzbekistán, Pakistán y Vietnam, mientras que la campaña aún está en marcha.

Los ataques parecen originarse en el actor de espionaje chino conocido como 'ToddyCat', que se basa en mensajes de spear-phishing que llevan archivos adjuntos maliciosos para cargar una variedad de cargadores de malware y puertas traseras.


Los investigadores explican que los actores de amenazas utilizan muchos tipos diferentes de herramientas personalizadas, que creen que son desechables para ayudar a evadir la detección y evitar vincular los ataques entre sí.

"El amplio conjunto de herramientas descritas en este informe están hechas a medida y probablemente sean fácilmente desechables. Como resultado, no muestran solapamientos claros de código con ningún conjunto de herramientas conocido, ni siquiera entre sí", explica Check Point.

El ataque comienza con un correo electrónico

El ataque comienza con un correo electrónico de spear-phishing diseñado para dirigirse a personas específicas en organizaciones clave, instándolas a abrir el archivo ZIP adjunto.

El archivo contiene un ejecutable firmado digitalmente con el nombre que coincide con el contexto del correo electrónico y una DLL maliciosa que explota una vulnerabilidad (CVE-2022-23748) en el software Dante Discovery de Audinate para cargar lateralmente el malware "CurKeep" en el sistema.


CurKeep es una puerta trasera de 10 kb que establece la persistencia en el dispositivo violado, envía información del sistema al servidor de comando y control (C2) y luego espera los comandos.

La puerta trasera puede filtrar una lista de directorios para los archivos de programa de la víctima, indicando qué software está instalado en la computadora, ejecutar comandos y enviar la salida al servidor C2, y manejar las tareas basadas en archivos según las instrucciones de sus operadores.

Más allá de CurKeep, la campaña utiliza otras herramientas, principalmente cargadores, ejecutados principalmente a través de métodos similares de carga lateral de DLL.

Entre los más notables se encuentran el cargador CurLu, CurCore y CurLog, cada uno con funcionalidades y mecanismos de infección únicos.

CurCore es la más interesante de las cargas útiles secundarias, ya que puede crear archivos y rellenar su contenido con datos arbitrarios, ejecutar comandos remotos o leer un archivo y devolver sus datos en forma codificada en base64.

Otra puerta trasera notable que se destaca del resto es 'StylerServ', que actúa como un oyente pasivo que monitorea el tráfico en cinco puertos (60810 a 60814) para un archivo de configuración específico cifrado XOR ('stylers.bin').


El informe no especifica la funcionalidad exacta o el propósito de StylerServ o stylers.bin, pero es probable que sea parte de un mecanismo de servicio de configuración sigiloso para otros componentes de malware.

Check Point informa que "Stayin' Alive" utiliza varias muestras y variantes de estos cargadores y cargas útiles, a menudo adaptados a objetivos regionales específicos (idioma, nombres de archivo, temas).

La compañía de seguridad dice que el clúster recién identificado es probablemente un segmento de una campaña más amplia que involucra más herramientas y métodos de ataque no descubiertos.

A juzgar por la gran variedad de herramientas distintas que se ven en los ataques y su nivel de personalización, parecen ser desechables.

A pesar de las diferencias de código en esas herramientas, todas se conectan a la misma infraestructura, que Kaspersky vinculó previamente a ToddyCat, un grupo de espías cibernéticos chinos.

Actualización 10/12 - Poco después de la publicación de este informe, Kaspersky publicó una actualización sobre su seguimiento de la APT ToddyCat, destacando los nuevos métodos de ataque y cargas útiles que sus analistas descubrieron recientemente.

Durante el año pasado, Kaspersky observó un grupo paralelo de actividad del mismo actor de amenazas, diferente al visto por Check Point, con dos variantes de ataque que emplean ejecutables VLC legítimos para cargar malware utilizando la técnica de carga lateral de DLL.

Un malware notable implementado en estos ataques es 'Ninja Agent', que cuenta con administración de archivos, shell inverso, administración de procesos y más.

Otras herramientas que ToddyCat implementó en estos ataques incluyen LoFiSe (rastreador y ladrón de archivos), Cobalt Strike (suite de pruebas de penetración), DropBox Uploader y una puerta trasera UDP pasiva.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Más de 17.000 sitios web de WordPress se han visto comprometidos en el mes de septiembre de 2023 con un malware conocido como Balada Injector, casi el doble que en agosto.

De estos, se dice que 9.000 de los sitios web se han infiltrado utilizando un fallo de seguridad recientemente revelado en el plugin tagDiv Composer (CVE-2023-3169, puntuación CVSS: 6,1) que podría ser explotado por usuarios no autenticados para realizar ataques de secuencias de comandos entre sitios (XSS) almacenados.

"Esta no es la primera vez que la pandilla Balada Injector ha atacado vulnerabilidades en los temas premium de tagDiv", dijo el investigador de seguridad de Sucuri, Denis Sinegubko.

"Una de las primeras inyecciones masivas de malware que pudimos atribuir a esta campaña tuvo lugar durante el verano de 2017, donde se abusó activamente de los errores de seguridad revelados en los temas de WordPress de Newspaper y Newsmag".

Balada Injector es una operación a gran escala descubierta por primera vez por Doctor Web en diciembre de 2022, en la que los actores de amenazas explotan una variedad de fallas en los complementos de WordPress para implementar una puerta trasera de Linux en sistemas susceptibles.

El objetivo principal del implante es dirigir a los usuarios de los sitios comprometidos a páginas de soporte técnico falsas, premios fraudulentos de lotería y estafas de notificaciones automáticas. Más de un millón de sitios web se han visto afectados por la campaña desde 2017.

Los ataques que involucran a Balada Injector se desarrollan en forma de olas de actividad recurrentes que ocurren cada dos semanas, con un aumento en las infecciones detectadas los martes después del inicio de una ola durante el fin de semana.

El último conjunto de infracciones implica la explotación de CVE-2023-3169 para inyectar un script malicioso y, en última instancia, establecer un acceso persistente a los sitios mediante la carga de puertas traseras, la adición de complementos maliciosos y la creación de administradores de blogs fraudulentos.

Históricamente, estos scripts se han dirigido a los administradores de sitios de WordPress que han iniciado sesión, ya que permiten al adversario realizar acciones maliciosas con privilegios elevados a través de la interfaz de administración, incluida la creación de nuevos usuarios administradores que pueden usar para ataques de seguimiento.

La naturaleza en rápida evolución de los scripts se evidencia por su capacidad para plantar una puerta trasera en las páginas de error 404 de los sitios web que son capaces de ejecutar código PHP arbitrario o, alternativamente, aprovechar el código incrustado en las páginas para instalar un complemento malicioso wp-zexit de manera automatizada.

Sucuri lo describió como "uno de los tipos de ataques más complejos" realizados por el script, dado que imita todo el proceso de instalación de un complemento desde un archivo ZIP y su activación.

La funcionalidad principal del complemento es la misma que la puerta trasera, que consiste en ejecutar código PHP enviado de forma remota por los actores de amenazas.

Las nuevas oleadas de ataques observadas a finales de septiembre de 2023 implican el uso de inyecciones de código aleatorio para descargar y lanzar un malware de segunda etapa desde un servidor remoto para instalar el plugin wp-zexit.

También se utilizan scripts ofuscados que transmiten las cookies del visitante a una URL controlada por el actor y obtienen a cambio un código JavaScript no especificado.

"Su ubicación en los archivos de los sitios comprometidos muestra claramente que esta vez, en lugar de usar la vulnerabilidad tagDiv Composer, los atacantes aprovecharon sus puertas traseras y usuarios administradores maliciosos que habían sido plantados después de ataques exitosos contra los administradores del sitio web", explicó Sinegubko.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Amazon Web Services (AWS), Cloudflare y Google dijeron el martes que tomaron medidas para mitigar los ataques de denegación de servicio distribuido (DDoS) que batieron récords y que se basaron en una técnica novedosa llamada HTTP/2 Rapid Reset.

Los ataques de capa 7 se detectaron a fines de agosto de 2023, dijeron las compañías en una divulgación coordinada. La susceptibilidad acumulada a este ataque se rastrea como CVE-2023-44487 y tiene una puntuación CVSS de 7,5 sobre un máximo de 10.

Mientras que los ataques dirigidos a la infraestructura en la nube de Google alcanzaron un máximo de 398 millones de solicitudes por segundo (RPS), los que afectaron a AWS y Cloudflare superaron un volumen de 155 millones y 201 millones de RPS, respectivamente.

HTTP/2 Rapid Reset se refiere a una falla de día cero en el protocolo HTTP/2 que puede ser explotada para llevar a cabo ataques DDoS. Una característica importante de HTTP/2 es la multiplexación de solicitudes a través de una única conexión TCP, que se manifiesta en forma de flujos simultáneos.

Además, un cliente que quiera abortar una solicitud puede emitir una trama RST_STREAM para detener el intercambio de datos. El ataque de restablecimiento rápido aprovecha este método para enviar y cancelar solicitudes en rápida sucesión, eludiendo así el máximo de flujo simultáneo del servidor y sobrecargando el servidor sin alcanzar su umbral configurado.

"Los ataques de restablecimiento rápido de HTTP/2 consisten en múltiples conexiones HTTP/2 con solicitudes y reinicios en rápida sucesión", dijeron Mark Ryland y Tom Scholl de AWS.

"Por ejemplo, se transmitirá una serie de solicitudes para múltiples flujos, seguidas de un reinicio para cada una de esas solicitudes. El sistema de destino analizará y actuará sobre cada solicitud, generando registros para una solicitud que luego es restablecida o cancelada por un cliente".

Esta capacidad de restablecer los flujos inmediatamente permite que cada conexión tenga un número indefinido de solicitudes en curso, lo que permite a un actor de amenazas emitir un aluvión de solicitudes HTTP/2 que pueden abrumar la capacidad de un sitio web objetivo para responder a nuevas solicitudes entrantes, eliminándolo de manera efectiva.


Dicho de otra manera, al iniciar cientos de miles de flujos HTTP/2 y cancelarlos rápidamente a escala a través de una conexión establecida, los actores de amenazas pueden abrumar los sitios web y dejarlos fuera de línea. Otro aspecto crucial es que estos ataques se pueden llevar a cabo utilizando una botnet de tamaño modesto, algo así como 20.000 máquinas, según lo observado por Cloudflare.

"Este día cero proporcionó a los actores de amenazas una nueva herramienta crítica en su navaja suiza de vulnerabilidades para explotar y atacar a sus víctimas en una magnitud que nunca antes se había visto", dijo Grant Bourzikas, director de seguridad de Cloudflare.

HTTP/2 es utilizado por el 35,6% de todos los sitios web, según W3Techs. El porcentaje de solicitudes que utilizan HTTP/2 es del 77%, según los datos compartidos por Web Almanac.

Google Cloud dijo que ha observado múltiples variantes de los ataques de restablecimiento rápido que, si bien no son tan efectivos como la versión inicial, son más eficientes que los ataques DDoS HTTP/2 estándar.

"La primera variante no cancela inmediatamente las transmisiones, sino que abre un lote de transmisiones a la vez, espera un tiempo y luego cancela esas transmisiones y luego abre inmediatamente otro gran lote de nuevas transmisiones", dijeron Juho Snellman y Daniele Lamartino.

"La segunda variante elimina por completo la cancelación de transmisiones y, en cambio, intenta abrir con optimismo más transmisiones simultáneas de las que anunciaba el servidor".

F5, en un aviso independiente propio, dijo que el ataque afecta al módulo NGINX HTTP/2 y ha instado a sus clientes a actualizar su configuración NGINX para limitar el número de flujos simultáneos a un valor predeterminado de 128 y persistir las conexiones HTTP para hasta 1000 solicitudes.

"Después de hoy, los actores de amenazas serán en gran medida conscientes de la vulnerabilidad HTTP/2; e inevitablemente se volverá trivial explotar y dar inicio a la carrera entre los defensores y los ataques: primero en parchear vs. primero en explotar", dijo Bourzikas. "Las organizaciones deben asumir que los sistemas serán probados y tomar medidas proactivas para garantizar la protección".

Las empresas responden al ataque de restablecimiento rápido de HTTP/2

Tras la divulgación pública de CVE-2023-44487, varias empresas han lanzado actualizaciones para contrarrestar el nuevo vector de ataque en su software:

• Alibaba Tengine
• Apache Tomcat
• F5
• Golang
• Kubernetes
• Distribuciones de Linux Debian, Red Hat y Ubuntu
• Microsoft
• Netty
• Veloz

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vez más, los piratas informáticos están abusando de LinkedIn Smart Links en ataques de phishing para eludir las medidas de protección y evadir la detección en un intento de robar las credenciales de la cuenta de Microsoft.

Los Smart Links forman parte del servicio Sales Navigator de LinkedIn, que se utiliza para el marketing y el seguimiento, lo que permite a las cuentas de empresa enviar contenido por correo electrónico utilizando enlaces rastreables para determinar quién interactuó con él.

Además, debido a que Smart Link utiliza el dominio de LinkedIn seguido de un parámetro de código de ocho caracteres, parecen originarse en una fuente confiable y eluden las protecciones del correo electrónico.

El abuso de la función Smart Link de LinkedIn no es nuevo, ya que la empresa de ciberseguridad Cofense descubrió la técnica en una campaña de finales de 2022 dirigida a usuarios eslovacos con señuelos falsos del servicio postal.

La nueva campaña se orienta a las cuentas de Microsoft

La compañía de seguridad del correo electrónico informa hoy que identificó un aumento en el abuso de LinkedIn Smart Link recientemente, con más de 800 correos electrónicos de varios temas que conducen a una amplia gama de objetivos a páginas de phishing.

Según Cofense, los ataques recientes ocurrieron entre julio y agosto de 2023, utilizando 80 Smart Links únicos, y se originaron en cuentas comerciales de LinkedIn recién creadas o comprometidas.

Los datos de Cofense muestran que los sectores más atacados de esta última campaña son las finanzas, la manufactura, la energía, la construcción y la salud.


"A pesar de que Finanzas y Manufactura tienen mayores volúmenes, se puede concluir que esta campaña no fue un ataque directo a ningún negocio o sector en particular, sino un ataque general para recopilar tantas credenciales como sea posible utilizando cuentas comerciales de LinkedIn y Smart Links para llevar a cabo el ataque", explica Cofense.

Los correos electrónicos enviados a los destinatarios utilizan asuntos relacionados con pagos, recursos humanos, documentos, notificaciones de seguridad y otros, y el enlace/botón incrustado desencadena una serie de redireccionamientos desde un enlace inteligente de LinkedIn "confiable".


Para agregar legitimidad al proceso de suplantación de identidad (phishing) y crear una falsa sensación de autenticidad en la página de inicio de sesión de Microsoft, el enlace inteligente enviado a las víctimas se ajusta para contener la dirección de correo electrónico del objetivo.


La página de phishing leerá la dirección de correo electrónico del enlace en el que hizo clic la víctima y la completará automáticamente en el formulario, solo esperando que la víctima complete la contraseña, al igual que sucede en el portal de inicio de sesión legítimo.


La página de phishing se asemeja a un portal de inicio de sesión estándar de Microsoft en lugar de un diseño personalizado y específico de la empresa.

Si bien esto amplía su rango objetivo, puede disuadir a las personas familiarizadas con los portales únicos de su empleador.

Se debe educar a los usuarios para que no confíen únicamente en las herramientas de seguridad del correo electrónico para bloquear las amenazas, ya que los actores de phishing adoptan cada vez más tácticas que abusan de los servicios legítimos para eludir estas protecciones.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft Defender para punto de conexión ahora usa la interrupción automática de ataques para aislar las cuentas de usuario en peligro y bloquear el movimiento lateral en ataques de manos en el teclado con la ayuda de una nueva funcionalidad de "contener usuario" en versión preliminar pública.

En tales incidentes, como los que involucran ransomware operado por humanos, los actores de amenazas se infiltran en las redes, se mueven lateralmente después de escalar privilegios a través de cuentas robadas y despliegan cargas útiles maliciosas.

Según Microsoft, Defender for Endpoint ahora evita los intentos de movimiento lateral de los atacantes dentro de la infraestructura de TI local o en la nube de las víctimas al aislar temporalmente las cuentas de usuario comprometidas (también conocidas como identidades sospechosas) que podrían explotar para lograr sus objetivos.

"La interrupción de ataques logra este resultado al contener a los usuarios comprometidos en todos los dispositivos para superar a los atacantes antes de que tengan la oportunidad de actuar maliciosamente, como usar cuentas para moverse lateralmente, realizar robo de credenciales, exfiltración de datos y cifrado de forma remota", dijo Rob Lefferts, vicepresidente corporativo de Microsoft 365 Security.

"Esta capacidad predeterminada identificará si el usuario comprometido tiene alguna actividad asociada con cualquier otro punto final y cortará inmediatamente todas las comunicaciones entrantes y salientes, conteniéndolas esencialmente".

Según Microsoft, cuando se detectan las etapas iniciales de un ataque operado por humanos en un punto de conexión mediante señales de varias cargas de trabajo de Microsoft 365 Defender (incluidas identidades, puntos de conexión, correo electrónico y aplicaciones SaaS), la característica de interrupción de ataque automatizada bloqueará el ataque en ese dispositivo.


Al mismo tiempo, Defender para punto de conexión también "inoculará" todos los demás dispositivos de la organización bloqueando el tráfico malintencionado entrante, dejando a los atacantes sin más objetivos.

"Cuando se contiene una identidad, cualquier dispositivo incorporado de Microsoft Defender para punto de conexión compatible bloqueará el tráfico entrante en protocolos específicos relacionados con ataques (inicios de sesión de red, RPC, SMB, RDP) al tiempo que habilita el tráfico legítimo", explica Redmond en un documento de soporte.

"Esta acción puede ayudar significativamente a reducir el impacto de un ataque. Cuando se contiene una identidad, los analistas de operaciones de seguridad tienen tiempo adicional para localizar, identificar y remediar la amenaza a la identidad comprometida".

Microsoft agregó la interrupción automática de ataques a su solución Microsoft 365 Defender XDR (Extended Detection and Response) en noviembre de 2022 durante su conferencia anual Microsoft Ignite para desarrolladores y profesionales de TI.

La capacidad ayuda a contener los ataques en curso y a aislar automáticamente los activos afectados al limitar el movimiento lateral a través de las redes comprometidas.

"Desde agosto de 2023, más de 6.500 dispositivos se han librado del cifrado de las campañas de ransomware ejecutadas por grupos de hackers como BlackByte y Akira, e incluso equipos rojos a sueldo", según los datos internos de Microsoft.

Defender para punto de conexión también es capaz de aislar dispositivos Windows pirateados y no administrados desde junio de 2022, lo que impide que los actores malintencionados se muevan lateralmente a través de las redes de las víctimas al bloquear toda la comunicación hacia y desde los dispositivos comprometidos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Después de varios meses de desarrollo, Google dio a conocer el lanzamiento de la versión estable de la nueva versión de su plataforma móvil «Android 14» en la cual se presentan una gran cantidad de innovaciones, mejoras y mucho más.

Una de las novedades que se destaca de Android 14 son las mejoras de rendimiento y la eficiencia de la plataforma, ya que sé continuo mejorando el rendimiento de la plataforma en tablets y dispositivos con pantallas plegables, pues ahora se proporcionan bibliotecas para predecir eventos asociados con el movimiento del puntero y proporcionar baja latencia cuando se trabaja con lápices ópticos.

Tambien se destaca que se actualizaron las pautas para desarrollar aplicaciones para dispositivos de pantalla grande, pues se añadieron patrones de interfaz de usuario genéricos para pantallas grandes para abordar usos como redes sociales, comunicaciones, contenido multimedia, lectura y compras. Se ha propuesto una versión preliminar del SDK con herramientas para desarrollar aplicaciones que funcionan correctamente con diferentes tipos de dispositivos (teléfonos inteligentes, tabletas, televisores inteligentes, etc.) y diferentes factores de forma.

En Android 14, el sistema de administración de memoria se ha optimizado para asignar recursos de manera más eficiente a las aplicaciones que se ejecutan en segundo plano. Unos segundos después de que la aplicación se coloca en estado de caché, el trabajo en segundo plano se limita a las API que administran el ciclo de vida de la aplicación, como la API de Foreground Services, JobScheduler y WorkManager.

Las notificaciones marcadas con «FLAG_ONGOING_EVENT» ahora se pueden rechazar cuando se muestran en un dispositivo desbloqueado, en otras palabras si el dispositivo está en modo de pantalla de bloqueo, estas notificaciones no se descartarán. Las notificaciones que son importantes para el funcionamiento del sistema tampoco se descartarán.


Otro de los aspectos destacados de esta nueva versión de la plataforma es el «Almacenamiento de Health Connect», que proporciona almacenamiento centralizado de datos de pulseras de fitness y otros dispositivos relacionados con la salud del usuario, y organiza el acceso conjunto a los datos de salud entre diferentes aplicaciones. El acceso a la configuración de Health Connect ahora se proporcionará a través del configurador de plataforma estándar. Además, Health Connect ha agregado soporte para guardar información sobre la ruta realizada durante el entrenamiento. La ruta se puede visualizar en el mapa y, si se desea, transferir a otras aplicaciones para su procesamiento.

Ademas de ello, también se destaca que se han ampliado las posibilidades de personalizar la apariencia de la interfaz, pues se ha simplificado la interfaz para seleccionar imágenes de fondo, se ha agregado un nuevo conjunto de plantillas de diseño de pantalla de bloqueo, que ofrecen diferentes fuentes, widgets y colores, y admiten el uso de IA para adaptar el diseño a la situación actual.

Se han ampliado los medios para confirmar el acceso a la información de ubicación, pues se agregó una nueva sección al cuadro de diálogo que solicita confirmación de acceso a la ubicación con información sobre cuándo se transfieren los datos de ubicación a la aplicación y detalles sobre dónde puede obtener información adicional sobre el acceso a los datos transferidos.

Tambien se destaca que se implementó la visualización periódica (una vez al mes) de notificaciones que advierten sobre cambios realizados por aplicaciones a las que se les otorga acceso a la ubicación, métodos de transferencia de datos a terceros (por ejemplo, se muestra cuando una aplicación comienza a utilizar datos de ubicación al mostrar publicidad).

Se han ampliado las capacidades de escala de fuentes, el nivel máximo de escala de fuentes se ha aumentado del 130 % al 200 % y, para garantizar que el texto con un gran aumento no parezca demasiado grande, ahora se aplica automáticamente un cambio no lineal en el nivel de escala, lo que permitirá una legibilidad óptima del texto para personas con baja visión sin riesgo de distorsiones en el diseño de la interfaz.

Por otra parte, también se destaca el soporte para grabar vídeo HDR y con el cual se ha ampliado con la posibilidad de obtener información adicional de la cámara, permitiendo guardar imágenes en el formato "Ultra HDR", que utiliza 10 bits por canal para codificación de colores.

De los demás cambios que se destacan:

• Se agregaron botones al bloque desplegable de configuración rápida para cambiar rápidamente los tamaños de fuente y acceder a la configuración de Google Home.
• Se agregó una configuración para permitir que el flash LED de la cámara parpadee cuando llegan nuevas notificaciones o junto con sonidos de advertencia.
• Para los auriculares con cable conectados mediante USB, se ha agregado la posibilidad de utilizar formatos de sonido sin pérdida de calidad (lossless).
• Se han ampliado las posibilidades de vincular configuraciones de idioma individuales a diferentes aplicaciones.
• Se agregó un permiso separado para permitir que las aplicaciones ejecuten acciones mientras la aplicación está en segundo plano.
• Se proporcionan plantillas de interfaz para pantallas grandes para adaptarse a usos tales como redes sociales, comunicaciones, contenido multimedia, lectura y compras.

¿Como obtener Android 14?

Para los interesados en poder probar ya la versión estable de Android 14, deben saber que ya están en preparación las actualizaciones para los dispositivos de la serie Pixel. Posteriormente, está previsto preparar actualizaciones de firmware para las diferentes marcas de smartphones.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

a mediados de julio se publicó Linux Mint 21.2, segundo lanzamiento basado en la más reciente versión LTS de Ubuntu, le ha llegado el turno a LMDE 6, que a grades rasgos es lo mismo, pero con base en Debian 12. Aquí tienes, pues, la nueva versión de Linux Mint Debian Edition.

Como recuerdan en el anuncio oficial, LMDE tiene como «objetivo garantizar que Linux Mint pueda continuar brindando la misma experiencia de usuario, así como determinar cuánto trabajo supondría hacerlo si Ubuntu desapareciera». Y aunque no parece probable que tal cosa vaya a suceder en el corto, medio e incluso largo plazo, introduciendo en la ecuación la apuesta de Canonical por su propio formato de paquetes, Snap, y el rechazo de Linux Mint al mismo, quién sabe lo que puede llegar a pasar antes de tiempo.

Sea como fuere LMDE es, para tu interés, una Linux Mint basada en Debian cuya diferencia más notable con respecto a la edición principal, dejando a un lado la propia base del sistema, es que no recibe actualizaciones intermedias del medio de instalación, por lo que hasta que aparezca la próxima LMDE 7 basada en Debian 13, todo lo que tendrás que hacer es aplicar las actualizaciones que lleguen por la vía ordinaria. ¿Te interesa la propuesta? Porque LMDE está recién salida del horno.

Por lo demás, poca o ninguna novedad reseñable. Con nombre en clave 'Faye', LMDE 6 está basada en Debian 12 Bookwork y, en consecuencia, se apoya en los componentes base de este, incluyendo el kernel Linux 6.1 LTS, systemd 252, Mesa 22.3 y un largo etcétera, aderezado por algunos añadidos propios. Esto a nivel de sistema base, cabe repetir. De la gestión del software al entorno de escritorio es todo cien por cien Linux Mint, al estilo de sus versiones más recientes.

Así, lo que vas a usar en LMDE 6 casi lo mismo que está usando cualquier otro usuario en Linux Mint 21.2, a destacar el escritorio Cinnamon 5.8 y soporte de Flatpak (y Flathub) integrado en el gestor de software y actualizaciones propio de la distribución, lo cual le otorga a distribuciones de software añejo, como Debian, una vidilla que hace años era impensable encontrar.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Seis meses después de la presentación oficial, FSR 3 ha empezado a llegar a algunos juegos y AMD ha anunciado la próxima publicación del código fuente bajo la licencia MIT. De esta manera la compañía mantiene la línea que ha seguido con su tecnología de reescalado, la cual siempre ha empezado a distribuirse como software privativo y orientado a Windows para luego abrirse y llegar a otros sistemas y soluciones como emuladores.

En comparación con versiones anteriores de la tecnología, FSR 3 sobresale por la generación de imágenes, con la que es posible generar fotogramas totalmente nuevos mientras y presentarlos al usuario a la vez que se mejora la tasa de fotogramas por segundo. La propia AMD explica que esto se logra con la incorporación de dos tecnologías: la interpolación de cuadros y el flujo óptico mejorado a partir de AMD Fluid Motion Frames.

En comparación con el DLSS, la tecnología de reescalado de NVIDIA, FSR destaca por su soporte multilpataforma, por lo que capaz de funcionar tanto en gráficas Radeon como GeForce. Si se quiere disfrutar de FSR 3 en su plenitud, con Fluid Motion, el suelo para Windows está establecido en la RX 5700 y la serie GeForce RTX 20 (Turing), pero lo recomendado es partir de las series Radeon RX 6000 o GeForce RTX 30 (Ampere).

La última versión de la tecnología de reescalado de AMD también puede ser usada de manera castrada, sin Fluid Motion, y aquí lo mínimo para Windows es una Radeon RX 590 o una NVIDIA GeForce GTX 10 (Pascal) y lo recomendado es la serie RX 5000 o la GeForce RTX 20. De integradas no se ha mencionado nada, pero nos suponemos que cualquiera que esté basada en las arquitecturas RDNA 2 y RNDA 3 debería de poder soportar FSR 3.


Los primeros juegos en integrar FSR 3 son Forspoken e Immortals of Aveum, pero esto es MuyLinux, así que lo importante aquí es la publicación del código fuente. Aquí el gigante rojo ha dicho textualmente que "AMD FidelityFX Super Resolution 3.0, al igual que las versiones anteriores de AMD FSR, estará disponible pronto en GPUOpen con una licencia MIT de código abierto permisiva. Si está interesado en evaluar AMD FSR 3 para el título de su juego, comuníquese con su representante de AMD para solicitar acceso anticipado".

En resumidas cuentas, AMD va a repetir la misma jugada que ha hecho en anteriores ocasiones, aunque esperemos que esta ocasión no se demore demasiado. Cuando el código fuente de la tercera versión sea publicado, FSR mantendrá su posición como la tecnología de reescalado más abierta de entre las que tienen repercusión, más viendo que el XeSS de Intel no ha cumplido en estos términos las expectativas que había generado. Sobre DLSS, la forma de proceder de NVIDIA es bien conocida y como alternativa ha publicado una tecnología de reescalado espacial multiplataforma y de código abierto similar a las primeras versiones de FSR, pero que no parece haber atraído a muchos usuarios ni desarrolladoras.

En resumidas cuentas, la publicación de FSR 3 como código abierto está en camino. En el frente de Linux lo interesante será ver qué puede aportar en Proton, la Steam Deck con sus futuras iteraciones y los emuladores.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hasta USD 7 mil millones en criptomonedas se han lavado ilícitamente a través de delitos entre cadenas, y el Grupo Lazarus, vinculado a Corea del Norte, está vinculado al robo de aproximadamente USD 900 millones de esas ganancias entre julio de 2022 y julio de este año.

"A medida que las entidades tradicionales, como los mezcladores, continúan siendo objeto de incautaciones y escrutinio de sanciones, el desplazamiento de los criptodelitos a tipologías de salto de cadena o activo también está en aumento", dijo la firma de análisis de blockchain Elliptic en un nuevo informe publicado esta semana.

La delincuencia entre cadenas se refiere a la conversión de criptoactivos de un token o blockchain a otro, a menudo en rápida sucesión, en un intento de ofuscar su origen, lo que lo convierte en un método lucrativo para el lavado de dinero para los robos de criptomonedas y una alternativa a los enfoques de Acc como los mezcladores.

Según los datos recopilados por Elliptic, el uso de puentes entre cadenas por parte del Grupo Lazarus contribuyó a la mayor parte del aumento del 111% en la proporción de fondos enviados a través de dichos servicios.

Se estima que el equipo de hackers norcoreanos ha robado casi 240 millones de dólares en criptomonedas desde junio de 2023, tras una serie de ataques dirigidos a Atomic Wallet (100 millones de dólares), CoinsPaid (37,3 millones de dólares), Alphapo (60 millones de dólares), No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (41 millones de dólares) y CoinEx (31 millones de dólares).


"La diversidad, el número y la excentricidad en la implementación de las campañas de Lazarus definen a este grupo, así como que realiza los tres pilares de las actividades cibercriminales: ciberespionaje, sabotaje cibernético y búsqueda de ganancias financieras", dijo ESET sobre el actor de amenazas a fines del mes pasado.

El actor de amenazas también se ha relacionado con el uso de Avalanche Bridge para depositar más de 9.500 bitcoins, al tiempo que emplea soluciones de cadena cruzada para mover algunos de los activos saqueados.

"Como lo demuestra el hecho de que los activos terminen en la misma cadena de bloques en numerosas ocasiones, estas transacciones no tienen ningún propósito comercial legítimo más que ofuscar su origen", dijo Elliptic. "Tender puentes de un lado a otro en aras de la ofuscación, es decir, 'saltar en cadena', es ahora una tipología reconocida de lavado de dinero".

La revelación se produce cuando el Servicio Nacional de Inteligencia de Corea del Sur (NIS, por sus siglas en inglés) ha advertido de que Corea del Norte está atacando su sector de construcción naval desde principios de año.

"Los métodos de piratería utilizados principalmente por las organizaciones de piratería de Corea del Norte fueron ocupar y eludir las PC de las empresas de mantenimiento de TI, e instalar código malicioso después de distribuir correos electrónicos de phishing a empleados internos", dijo la agencia.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

GitHub ha anunciado una mejora en su función de escaneo de secretos que extiende las comprobaciones de validez a servicios populares como Amazon Web Services (AWS), Microsoft, Google y Slack.

Las comprobaciones de validez, introducidas por la filial de Microsoft a principios de este año, alertan a los usuarios sobre si los tokens expuestos encontrados por el escaneo de secretos están activos, lo que permite medidas de corrección efectivas. Se habilitó por primera vez para los tokens de GitHub.

El servicio de alojamiento de código y control de versiones basado en la nube dijo que tiene la intención de admitir más tokens en el futuro.

Para alternar la configuración, los propietarios de empresas u organizaciones y los administradores de repositorios pueden dirigirse a Configuración > Seguridad y análisis de código > Análisis de secretos y marcar la opción "Verificar automáticamente si un secreto es válido enviándolo al socio correspondiente".

A principios de este año, GitHub también amplió las alertas de escaneo de secretos para todos los repositorios públicos y anunció la disponibilidad de la protección push para ayudar a los desarrolladores y mantenedores a proteger de manera proactiva su código mediante el escaneo de secretos altamente identificables antes de que se envíen.

El desarrollo se produce cuando Amazon presentó una vista previa de los requisitos mejorados de protección de cuentas que obligarán a los usuarios privilegiados (también conocidos como usuarios raíz) de una cuenta de AWS Organization a activar la autenticación multifactor (MFA) a partir de mediados de 2024.

"MFA es una de las formas más simples y efectivas de mejorar la seguridad de las cuentas, ya que ofrece una capa adicional de protección para ayudar a evitar que personas no autorizadas obtengan acceso a los sistemas o datos", dijo Steve Schmidt, director de seguridad de Amazon.

Los métodos de MFA débiles o mal configurados también encontraron un lugar entre las 10 configuraciones erróneas de red más comunes, según un nuevo aviso conjunto emitido por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).


"Algunas formas de MFA son vulnerables al phishing, al 'push bombing', a la explotación de las vulnerabilidades del protocolo Signaling System 7 (SS7) y/o a las técnicas de 'SIM swap'", dijeron las agencias.

"Estos intentos, si tienen éxito, pueden permitir que un actor de amenazas obtenga acceso a las credenciales de autenticación de MFA o eluda MFA y acceda a los sistemas protegidos por MFA".

Las otras configuraciones erróneas de ciberseguridad prevalentes son las siguientes:

• Configuraciones predeterminadas de software y aplicaciones
• Separación incorrecta del privilegio de usuario/administrador
• Supervisión insuficiente de la red interna
• Falta de segmentación de la red
• Mala gestión de parches
• Derivación de los controles de acceso al sistema
• Listas de control de acceso (ACL) insuficientes en recursos compartidos de red y servicios
• Mala higiene de las credenciales
• Ejecución de código sin restricciones

Como mitigaciones, se recomienda que las organizaciones eliminen las credenciales predeterminadas y protejan las configuraciones; deshabilitar los servicios no utilizados e implementar controles de acceso; priorizar la aplicación de parches; Audite y supervise las cuentas y privilegios administrativos.

También se ha instado a los proveedores de software a que implementen principios de seguridad por diseño, utilicen lenguajes de programación seguros para la memoria siempre que sea posible, eviten incrustar contraseñas predeterminadas, proporcionen registros de auditoría de alta calidad a los clientes sin cargo adicional y exijan métodos de MFA resistentes al phishing.

"Estas configuraciones erróneas ilustran (1) una tendencia de debilidades sistémicas en muchas grandes organizaciones, incluidas aquellas con posturas cibernéticas maduras, y (2) la importancia de que los fabricantes de software adopten principios de seguridad por diseño para reducir la carga de los defensores de la red", señalaron las agencias.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

23andMe ha confirmado a BleepingComputer que está al tanto de los datos de los usuarios de su plataforma que circulan en foros de hackers y atribuye la filtración a un ataque de relleno de credenciales.

23andMe es una empresa estadounidense de biotecnología y genómica que ofrece servicios de pruebas genéticas a los clientes que envían una muestra de saliva a sus laboratorios y obtienen un informe de ascendencia y predisposiciones genéticas.

Recientemente, un actor de amenazas filtró muestras de datos que supuestamente fueron robados de una empresa de genética y, unos días después, se ofreció a vender paquetes de datos pertenecientes a clientes de 23andMe.


La fuga de datos inicial fue limitada, ya que el actor de amenazas publicó 1 millón de líneas de datos para personas asquenazíes. Sin embargo, el 4 de octubre, el actor de amenazas ofreció vender perfiles de datos al por mayor por entre 1 y 10 dólares por cuenta de 23andMe, dependiendo de cuántos se compraran.


Un portavoz de 23andMe confirmó que los datos son legítimos y le dijo a BleepingComputer que los actores de amenazas utilizaron credenciales expuestas de otras violaciones para acceder a las cuentas de 23andMe y robar los datos confidenciales.

"Nos enteramos de que cierta información del perfil del cliente de 23andMe se recopiló a través del acceso a cuentas de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta individuales", declaró el portavoz de 23andMe

"No tenemos ningún indicio en este momento de que haya habido un incidente de seguridad de datos dentro de nuestros sistemas".

"Más bien, los resultados preliminares de esta investigación sugieren que las credenciales de inicio de sesión utilizadas en estos intentos de acceso pueden haber sido recopiladas por un actor de amenazas a partir de datos filtrados durante incidentes que involucran a otras plataformas en línea donde los usuarios han reciclado credenciales de inicio de sesión".

La información que se ha expuesto a partir de este incidente incluye nombres completos, nombres de usuario, fotos de perfil, sexo, fecha de nacimiento, resultados de ascendencia genética y ubicación geográfica.

BleepingComputer también se ha enterado de que el número de cuentas vendidas por el ciberdelincuente no refleja el número de cuentas de 23andMe violadas utilizando credenciales expuestas.

Las cuentas comprometidas habían optado por la función 'Parientes de ADN' de la plataforma, que permite a los usuarios encontrar parientes genéticos y conectarse con ellos.

El actor de amenazas accedió a un pequeño número de cuentas de 23andMe y luego extrajo los datos de sus coincidencias de ADN relativo, lo que muestra cómo optar por una función puede tener consecuencias inesperadas para la privacidad.

23andMe le dijo a BleepingComputer que la plataforma ofrece autenticación de dos factores como una medida adicional de protección de cuentas y alienta a todos los usuarios a habilitarla.

Los usuarios deben abstenerse de reutilizar contraseñas y emplear constantemente credenciales seguras y distintas para cada cuenta en línea que tengan.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta