Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

Páginas 1 ... 22 23 24 25 26 ... 249

#461

Noticias Informáticas / Servicio de Scraping de Discord afirma tener acceso a 1.800 millones de mensajes

Agosto 27, 2025, 12:17:43 AM

Los atacantes publicaron un anuncio del servicio en un popular foro de filtración de datos, utilizado para intercambiar datos robados de usuarios. La publicación afirma que el servicio permite a los usuarios examinar miles de millones de registros de Discord, lo que podría utilizarse para acosar a los usuarios de la plataforma.

Mientras tanto, el servicio de extracción de datos (scraping) afirma que, a cambio de una tarifa, permite a los usuarios acceder a:

1.800 millones de mensajes de Discord
35 millones de usuarios
207 millones de sesiones de voz
6.000 servidores de Discord

Si bien es posible que los atacantes tengan acceso a datos extraídos de servidores públicos y posiblemente privados de Discord, es imposible saberlo sin suscribirse al servicio controlado por ciberdelincuentes. Los atacantes afirman que están actualizando los mensajes indexados de Discord en tiempo real, lo que indica que los datos en los servidores del servicio están al día.

¿Cómo se explotan los mensajes de Discord?

Los atacantes pueden encontrar múltiples maneras de explotar los mensajes filtrados de los usuarios. Sin las obvias preocupaciones sobre la privacidad, los actores maliciosos suelen usar la actividad de Discord para acosar a personas y minorías.

En 2024, surgió un sitio web sospechoso llamado You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que afirmaba haber extraído miles de millones de mensajes públicos de Discord de casi 620 millones de usuarios.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login no se limitaba a los registros de mensajes. Agrupaba las cuentas de Steam de los usuarios y otras plataformas vinculadas, ofreciendo lo que denominó una "opción empresarial" a cualquiera que buscara entrenar modelos de IA con sus datos. Esto incluye, supuestamente, a agencias federales.

"La premisa del servicio es similar a la de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, otro servicio de extracción de datos, que Discord cerró el año pasado. El nuevo supuestamente tiene mayor integración con bases de datos vulneradas y servidores de FiveM. Es probable que el servicio se haya creado para facilitar el acoso en línea", explicó el equipo.

Los supuestos propietarios del servicio de scraping de Discord

A principios de 2024, Discord prohibió las cuentas vinculadas a Spy Pet de su plataforma, lo que básicamente eliminó los bots de extracción de datos de los servidores de la plataforma. En ese momento, Discord supuestamente declaró que la eliminación de sus servicios violaba las regulaciones de la compañía.

Según los investigadores de Cybernews, el servicio recientemente anunciado intenta capitalizar al menos dos tipos de personas: las que pagan por leer los mensajes de otros y las que pagan para que sus datos sean omitidos del servicio.

La página de términos y condiciones (TdC) del servicio recientemente anunciado afirma que opera en Estonia, un estado miembro de la UE, lo que significa que está sujeto a una de las leyes de privacidad más estrictas del mundo.

"Esta es una herramienta que facilita la investigación de personas con fines de acoso o discusiones en línea. Podría ser útil para personas con ciertas intenciones, pero lo mismo se puede hacer sin el servicio; simplemente requeriría mucho más trabajo manual", explicaron los investigadores.

Curiosamente, las Condiciones de Servicio indican que los datos probablemente extraídos de Discord se almacenan en servidores ubicados en la Federación Rusa. Los creadores del servicio probablemente creen que al almacenar datos fuera de la UE, en un país con el que la UE no mantiene una relación totalmente amistosa, pueden evitar repercusiones legales.

Sin embargo, como se puso de manifiesto en el caso Spy[.]Pet, servicios como este violan varios artículos del RGPD, incluido el "derecho al olvido" del Artículo 17.

Debido a su gran base de usuarios y a sus comunidades unidas, Discord suele ser blanco de ataques. Por ejemplo, a principios de este año, un grupo afirmó haber logrado extraer más de 348 millones de mensajes de casi 1000 servidores públicos de Discord.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#462

Noticias Informáticas / La filtración de ChatGPT revela que la gente compartirá todo con IA

Agosto 27, 2025, 12:14:55 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Seguimos alimentando a los chatbots de IA con detalles de nuestra vida privada, que podrían acabar no solo en manos de las grandes tecnológicas, sino también en Google.

Confiar a un chatbot de IA la mayoría de los secretos privados o un montón de detalles de la vida cotidiana podría ser contraproducente. A principios de agosto, los usuarios de internet se sorprendieron al descubrir miles de conversaciones de ChatGPT indexadas por motores de búsqueda y publicadas para cualquier usuario de Google.

Si bien OpenAI reaccionó con prontitud y eliminó la peligrosa función para compartir, el incidente revela la inquietante realidad de que las personas confían demasiado en los chatbots de IA.

La empresa de ciberseguridad SafetyDetectives investigó las conversaciones filtradas y concluyó que los usuarios de ChatGPT suelen compartir información privada, sensible e incluso peligrosa con la IA.

Los investigadores descargaron y analizaron 1000 de las conversaciones filtradas, con más de 43 millones de palabras. Entre ellas, descubrieron varios chats que mencionaban explícitamente información de identificación personal (PII), como nombres completos, direcciones y números de identificación.

"El impacto negativo de compartir información excesiva con ChatGPT va más allá de los factores psicológicos, emocionales y mentales. Las preocupaciones de seguridad en el mundo real también son considerables", escribieron los investigadores.

"No solo la información personal identificable (PII) podría utilizarse para el robo de identidad y el fraude, sino que también detalles delicados sobre la vida de un usuario podrían utilizarse para estafas de ingeniería social o chantaje".

Las personas hablan de derecho, salud y relaciones con IA

Los investigadores también detectaron menciones de temas como el suicidio, el extremismo y problemas de salud mental, como la ansiedad, la adicción y la depresión.

Los temas más comunes descubiertos estaban relacionados con la educación, el derecho y las fuerzas del orden. Aunque estos temas no son particularmente delicados ni sensibles, su frecuencia sugiere que los usuarios recurren cada vez más a los asistentes de IA para obtener conocimientos técnicos que antes estaban reservados para profesionales y autoridades del sector.

Otros temas que se suelen tratar con un chatbot incluyen relaciones, salud, asesoramiento financiero y dificultades.

"Recomendamos extremar la vigilancia al interactuar con chatbots y otras plataformas de IA que no ofrecen garantías claras de privacidad", afirman los investigadores.

"No se debe compartir información personal identificable (PII) ni otra información sensible con estos servicios, ya que aún no existen regulaciones claras y estrictas de protección del usuario en lo que respecta al uso de la IA".

Grok filtró chats privados

ChatGPT no fue el único chatbot que filtró conversaciones públicas en Google. Según un informe de Forbes, Grok, de Elon Musk, se vio envuelto en una polémica después de que los motores de búsqueda indexaran más de 370.000 conversaciones de usuarios.

Algunas conversaciones implicaban compartir datos personales, nombres y al menos una contraseña, así como archivos de imagen, hojas de cálculo y documentos de texto.

Algunas conversaciones contenían información más problemática, que infringía directamente las normas de xAI, como la generación de imágenes de un ataque terrorista ficticio en Cachemira y el intento de hackear una billetera de criptomonedas.

Al igual que en el caso de ChatGPT, la indexación se produjo sin el conocimiento ni el permiso de los usuarios. Al hacer clic en el botón "compartir", se crea un enlace que permite compartir la conversación mediante herramientas como el correo electrónico.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#463

Noticias Informáticas / “Crypto Hackers” siguen comerciando con fondos robados

Agosto 27, 2025, 12:11:41 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mientras que la mayoría de los hackers y explotadores de criptomonedas se centran en ocultar sus rastros, algunos continúan operando en el mercado con fondos robados.

Recientemente, el hacker que robó más de 300 millones de dólares a usuarios de Coinbase fue descubierto por analistas de Lookonchain el domingo, operando con solana (SOL) por valor de casi 8 millones de dólares. Esto siguió a otras operaciones en julio, cuando el delincuente adquirió al menos 14,8 millones de dólares en ethereum (ETH).

Mientras tanto, a principios de este mes, los mismos analistas descubrieron al hacker de Radiant Capital operando con ETH y obteniendo al menos 2,76 millones de dólares en ganancias.

"Compraron 4913 $ETH (20,47 millones de dólares) a 4168 dólares hace tres días y luego vendieron 4131 $ETH (19,52 millones de dólares) a 4726 dólares en las últimas cinco horas. Su reserva robada de 49,5 millones de dólares ha aumentado a más de 105 millones de dólares (+114%)", declaró Lookonchain en aquel entonces.

Según se informó, Radiant fue víctima de un ataque en octubre de 2024 mediante el envío de un PDF con malware a los ingenieros de la compañía.

Sin embargo, como suele ocurrir en el trading, algunas operaciones resultan en pérdidas. Por ejemplo, una billetera identificada por los mismos analistas como probablemente perteneciente a hackers perdió casi 7 millones de dólares al operar con ETH.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Además, un hacker asociado con Corea del Norte perdió alrededor de 2 millones de dólares al vender ETH en corto este mes cuando el precio subió. La experta en seguridad e investigadora Taylor Monahan, de MetaMask, la billetera de ETH más popular, se percató de esto.

"Solo están jugando con dinero extra mientras esperan cobrarlo", dijo Monahan, y agregó que estos hackers "negocian mejor que la mayoría" de los traders habituales en "Cripto Twitter".

Si bien las plataformas de intercambio centralizadas pueden congelar fondos ilícitos, los delincuentes optan por plataformas de intercambio descentralizadas donde pueden intercambiar sus tokens sin permiso.

Por ejemplo, en el caso del hacker norcoreano, utilizaron la plataforma Hyperliquid, según Monahan.

"Han hackeado todas las demás plataformas de intercambio con contratos perpetuos decentes y no se arriesgarán a ser congelados", concluyó.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#464

Noticias Informáticas / Se ha descubierto el primer ransomware impulsado por IA

Agosto 27, 2025, 12:09:52 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los hackers finalmente descubren un uso práctico para los modelos de IA locales

ESET anunció hoy el descubrimiento del primer ransomware conocido impulsado por IA. El ransomware en cuestión se ha denominado PromptLock, probablemente porque aparentemente todo lo relacionado con la IA generativa debe ir precedido de "prompt".

ESET afirmó que este malware utiliza un modelo de lenguaje grande y de peso abierto desarrollado por OpenAI para generar scripts que pueden realizar diversas funciones en sistemas Windows, macOS y Linux, a la vez que confunden a las herramientas de defensa al mostrar un comportamiento ligeramente diferente en cada ocasión.

"PromptLock aprovecha scripts Lua generados a partir de indicaciones predefinidas para enumerar el sistema de archivos local, inspeccionar los archivos de destino, exfiltrar datos seleccionados y realizar el cifrado", declaró ESET en una publicación de Mastodon sobre el malware. "Según los archivos de usuario detectados, el malware puede exfiltrar datos, cifrarlos o potencialmente destruirlos. Aunque la función de destrucción parece no estar implementada todavía".

Lua puede parecer una elección extraña como lenguaje de programación para ransomware; es conocido principalmente por su uso para desarrollar juegos en Roblox o plugins para el editor de texto NeoVim. Pero en realidad es un lenguaje de propósito general que ofrece diversas ventajas a los operadores de ransomware, como un buen rendimiento, compatibilidad multiplataforma y un enfoque en la simplicidad que lo hace ideal para la programación de vibraciones.

Es importante recordar que los LLM no son deterministas; su salida cambiará incluso si se proporciona la misma entrada con el mismo mensaje al mismo modelo en el mismo dispositivo. Resulta desesperante si se espera que muestren exactamente el mismo comportamiento a lo largo del tiempo, pero los operadores de ransomware no necesariamente lo desean, ya que facilita que las herramientas defensivas asocien patrones de comportamiento con malware conocido.

PromptLock "utiliza el modelo gpt-oss:20b de OpenAI localmente a través de la API de Ollama para generar scripts Lua maliciosos sobre la marcha", lo que le ayuda a evadir la detección. El hecho de que el modelo se ejecute localmente también impide que OpenAI delate a los operadores de ransomware. Si tuvieran que llamar a una API en sus servidores cada vez que generan uno de estos scripts, se les acabaría el juego. Las trampas de la codificación de vibración tampoco son aplicables, ya que los scripts se ejecutan en el sistema de otra persona.

Quizás esto sea un buen premio de consolación para las empresas de IA. Sí, se enfrentan a demandas masivas. Claro, prácticamente nadie ha visto beneficios al adoptar sus servicios. De acuerdo, incluso Meta está recortando su gasto excesivo en IA. Pero nadie puede decir que la IA sea inútil: ¡ha convencido al menos a algunos operadores de ransomware de usar modelos locales en su warez! Eso cuenta, ¿verdad?

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#465

Noticias Informáticas / Estudio revela que TikTok, Alibaba y Temu recopilan gran cantidad de datos

Agosto 27, 2025, 12:08:16 AM

Un nuevo estudio de la firma de privacidad de datos Incogni, revela que la mayoría de las aplicaciones extranjeras, siguen recopilando y compartiendo datos de usuarios de forma agresiva.

La investigación se centró en las diez aplicaciones más populares de fuera del país y descubrió que más de la mitad pertenecen a empresas chinas.

El estudio, publicado el 26 de agosto de 2025, muestra el dominio que han adquirido estas aplicaciones. Según los resultados, las aplicaciones estudiadas se han descargado aproximadamente mil millones de veces en EE. UU., y 755 millones de esas descargas provienen únicamente de aplicaciones de propiedad china.

Los investigadores de Incogni descubrieron que las aplicaciones chinas son particularmente ávidas de datos. En promedio, recopilan 18 tipos diferentes de datos de cada usuario estadounidense y comparten alrededor de seis de ellos con otras empresas.

TikTok, Alibaba, Temu y más...

El informe destaca a TikTok como la mayor preocupación, ya que se descubrió que recopila 24 tipos de datos, incluyendo información confidencial como nombres, domicilios y números de teléfono de los usuarios.

Otras aplicaciones populares también mostraron prácticas preocupantes. El gigante del comercio electrónico Alibaba puede acceder a fotos, vídeos y documentos de los usuarios, mientras que Temu recopila datos de ubicación y una lista de las aplicaciones instaladas.

Shein destacó por un patrón diferente, pero igualmente alarmante, al compartir la asombrosa cifra de 12 de los 17 tipos de datos que recopila. Otras aplicaciones, como AliExpress y la aplicación chipriota ABPV, también comparten la ubicación aproximada de los usuarios.

El estudio también incluyó DramaBox, Telegram y Talkie; la mayoría de las aplicaciones del top 10 recopilan un promedio de 15 tipos de datos y comparten 5 de ellos. El gráfico a continuación ofrece un desglose visual de los tipos de datos recopilados y compartidos por las aplicaciones extranjeras más populares.

Como es evidente, Alibaba, AliExpress y ABPV (las mejores fotos y vídeos de Estados Unidos) recopilan o comparten la ubicación aproximada y precisa del usuario. De igual forma, AliExpress y DramaBox recopilan el historial de compras, y tanto Alibaba como Shein recopilan y comparten las direcciones de correo electrónico y los nombres de los usuarios para fines publicitarios.

Publicidad dirigida

El informe también explica que estos datos se utilizan a menudo para publicidad dirigida. Las empresas utilizan esta información para crear perfiles detallados de los usuarios e influir en sus hábitos de compra y, en algunos casos, incluso personalizar los precios, lo que supone una importante diferencia con los modelos de precios estándar a los que la mayoría de la gente está acostumbrada. Estas aplicaciones pueden incluso compartir los correos electrónicos de los usuarios con terceros, lo que contribuye al aumento del spam no deseado.

"Muchas de estas aplicaciones recopilan y comparten silenciosamente información personal como nombres, direcciones y ubicaciones aproximadas, lo que deja a los usuarios extremadamente vulnerables a las filtraciones de datos de terceros", declaró Darius Belejevas, director de Incogni. "Las personas merecen saber cómo y dónde se utiliza su información, así como las formas de gestionar o prevenir dicho uso", argumentó Belejevas.

El estudio advierte que esta recopilación generalizada de datos no solo representa un problema de privacidad, sino también un riesgo para la seguridad nacional, ya que algunos gobiernos extranjeros se han visto vinculados a robos de datos similares en el pasado.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#466

Noticias Informáticas / Falsa herramienta de fuerza bruta SSH roba credenciales mediante bot de Telegram

Agosto 26, 2025, 02:46:52 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han descubierto un módulo Go malicioso que se presenta como una herramienta de fuerza bruta para SSH, pero que en realidad contiene una funcionalidad para extraer discretamente credenciales a su creador.

"Al iniciar sesión con éxito por primera vez, el paquete envía la dirección IP, el nombre de usuario y la contraseña del objetivo a un bot de Telegram codificado, controlado por el actor de la amenaza", declaró Kirill Boychenko, investigador de Socket.

El paquete engañoso, llamado "golang-random-ip-ssh-bruteforce", se ha vinculado a una cuenta de GitHub llamada IllDieAnyway (G3TT), que actualmente no es accesible. Sin embargo, sigue estando disponible en pkg.go[.]dev. Se publicó el 24 de junio de 2022.

La empresa de seguridad de la cadena de suministro de software afirmó que el módulo Go funciona escaneando direcciones IPv4 aleatorias en busca de servicios SSH expuestos en el puerto TCP 22. Posteriormente, intenta extraer el servicio mediante fuerza bruta utilizando una lista de nombre de usuario y contraseña integrada y extrayendo las credenciales obtenidas al atacante.

Un aspecto destacable del malware es que deshabilita deliberadamente la verificación de la clave de host al configurar "ssh.InsecureIgnoreHostKey" como HostKeyCallback, lo que permite al cliente SSH aceptar conexiones de cualquier servidor, independientemente de su identidad.

La lista de palabras es bastante sencilla: incluye solo dos nombres de usuario: root y admin, y los asocia con contraseñas débiles como root, test, password, admin, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein y Passw@rd.

El código malicioso se ejecuta en un bucle infinito para generar las direcciones IPv4, y el paquete intenta iniciar sesión simultáneamente mediante SSH desde la lista de palabras.

Los datos se transmiten a un bot de Telegram controlado por un actor de amenazas llamado "@sshZXC_bot" (ssh_bot) a través de la API, que confirma la recepción de las credenciales. Los mensajes se envían a través del bot a una cuenta con el identificador "@io_ping" (Gett).

Una captura de pantalla de Internet Archive de la cuenta de GitHub, ahora eliminada, muestra que el portafolio de software de IllDieAnyway incluía un escáner de puertos IP, un analizador de información de perfil de Instagram y multimedia, e incluso una botnet de comando y control (C2) basada en PHP llamada Selica-C2.

Su canal de YouTube, que sigue accesible, alberga varios videos cortos sobre "Cómo hackear un bot de Telegram" y lo que afirman ser el "bombardero de SMS más poderoso de la Federación Rusa", capaz de enviar SMS y mensajes spam a usuarios de VK mediante un bot de Telegram. Se estima que el actor de amenazas es de origen ruso.

"El paquete delega el escaneo y la adivinación de contraseñas en operadores involuntarios, distribuye el riesgo entre sus IP y canaliza los resultados a un único bot de Telegram controlado por el actor de amenazas", declaró Boychenko.

Desactiva la verificación de la clave de host, impulsa una alta concurrencia y sale después del primer inicio de sesión válido para priorizar la captura rápida. Dado que la API de bots de Telegram usa HTTPS, el tráfico se asemeja a solicitudes web normales y puede eludir los controles de salida generales.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#467

Cursos, manuales y libros / Los mejores repositorios de GitHub para programación

Agosto 26, 2025, 02:27:43 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

•   Roadmap SH
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aglutina hojas de ruta completas, artículos, frameworks y recursos impulsados por la comunidad para devs en diferentes lenguajes de programación.

•   Coding Interview University
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si quieres convertirte en dev de forma autodidacta, este repositorio está creado precisamente para tal fin por el estudiante que siguiendo este método logró ser contratado por Amazon como ingeniero de desarrollo de software. (esta persona estudiaba de 8 a 12 horas al día durante varios meses, pero cuenta cómo tras su experiencia, ha ido cribando con lo importante). Ojo porque hay valiosa información para entrevistas de trabajo de big tech como Amazon, Facebook, Google o Microsoft.

•   Awesome
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es, como su nombre indica, un repositorio sencillamente espectacular de recursos para devs.

•   freeCodeCamp
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuenta en su haber con la lista más larga de cursos gratis de desarrollo de software, ideal para picotear y descubrir alguno que nos interese independientemente del lenguaje, disponibilidad y recursos.

•   Free Programming Books
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si prefieres aprender a la vieja usanza, esto es, con libros de texto, aquí vas a encontrar más de 3000 diferentes completamente gratis sobre programación.

Fuente:
Genbeta
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#468

Noticias Informáticas / 45 GB de datos de credenciales únicas

Agosto 26, 2025, 01:54:51 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una compilación masiva de credenciales titulada "Compilación de Credenciales 2025" fue filtrada en fugabase[.]la por el usuario fatsorad en agosto de 2025.

Esta compilación contiene aproximadamente 45 GB de datos únicos y deduplicados, con un total de 840 millones de líneas. El conjunto de datos agrega credenciales de más de 5000 filtraciones, listas combinadas y registros, con cobertura global y multidominio. Esta filtración es notable por su tamaño, la deduplicación y la afirmación de que no se trata de una lista reciclada, lo que indica la presencia de credenciales nuevas.

La filtración se distribuyó a través de fugabase[.]la, una plataforma conocida por albergar volcados masivos de datos. Según la publicación, los datos se proporcionan en un único archivo TXT, de origen global y filtrado para eliminar duplicados. Quien subió el archivo enfatizó que el conjunto de datos es único y está recién compilado, lo que ofrece a los actores de amenazas acceso a un conjunto de credenciales más limpio y potencialmente más efectivo.

A diferencia de las típicos combo list reciclados, esta compilación puede contener datos recientemente comprometidos provenientes de brechas o registros recientes, lo que aumenta su impacto potencial.

Esta filtración presenta un riesgo significativo, especialmente para los usuarios que reutilizan contraseñas en diferentes servicios, ya que los atacantes podrían usar los datos para el robo de credenciales, el phishing y el robo de identidad.

Fuente:
InsecureWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#469

Noticias Informáticas / Fuga de datos de la Oficina de Planeamiento y Presupuesto de Uruguay y el CERTuy

Agosto 26, 2025, 01:53:04 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas presuntamente filtró 170 GB de datos pertenecientes a varias entidades gubernamentales uruguayas.

Las principales víctimas mencionadas en la publicación son la Oficina de Planeamiento y Presupuesto (OPP), un departamento clave que asesora al Poder Ejecutivo en materia de presupuesto y planificación nacional, y CERTuy, el Equipo de Respuesta a Emergencias Informáticas del país, responsable de la respuesta a incidentes de ciberseguridad. La filtración presuntamente compromete información confidencial de una parte esencial de la infraestructura gubernamental del país sudamericano.

El actor de amenazas afirma que la extensa filtración de datos incluye una amplia variedad de archivos confidenciales extraídos de varios ministerios y programas. Los datos presuntamente filtrados incluyen:

Grabaciones de Zoom entre municipios

Documentos de pago

Programas de Certuy (red.uy)

Configuraciones de VPN

Aplicaciones de Agesic (Agencia de Gobierno Electrónico y la Sociedad de la Información)

Además, el actor ha amenazado con filtrar varios gigabytes más de datos próximamente, específicamente contra el Ministerio de Relaciones Exteriores (mrree.gub.uy).

Fuente:
DailyDarkWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#470

Noticias Informáticas / Malware de Linux distribuido a través de nombres de archivo RAR maliciosos

Agosto 23, 2025, 06:54:10 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han descubierto una novedosa cadena de ataque que utiliza correos electrónicos de phishing para distribuir una puerta trasera de código abierto llamada VShell.

La "cadena de infección de malware específica de Linux comienza con un correo electrónico spam con un archivo RAR malicioso", explicó Sagar Bade, investigador de Trellix, en un informe técnico.

"La carga útil no está oculta en el contenido del archivo ni en una macro, sino que está codificada directamente en el nombre del archivo. Mediante el uso inteligente de la inyección de comandos de shell y cargas útiles de Bash codificadas en Base64, el atacante convierte una simple operación de listado de archivos en un desencadenador automático de ejecución de malware".

Esta técnica, añadió la empresa de ciberseguridad, se aprovecha de un patrón simple pero peligroso, comúnmente observado en scripts de shell, que surge cuando los nombres de archivo se evalúan con una desinfección inadecuada, lo que provoca que un comando trivial como "eval" o "echo" facilite la ejecución de código arbitrario.

Además, esta técnica ofrece la ventaja adicional de eludir las defensas tradicionales, ya que los motores antivirus no suelen analizar los nombres de archivo.

El punto de partida del ataque es un correo electrónico que contiene un archivo RAR, el cual incluye un archivo con un nombre malicioso: "ziliao2.pdf`{echo,<comando codificado en Base64>}|{base64,-d}|bash`".

En concreto, el nombre del archivo incorpora código compatible con Bash, diseñado para ejecutar comandos al ser interpretado por el shell. Cabe destacar que la simple extracción del archivo no activa la ejecución. En realidad, solo ocurre cuando un script o comando del shell intenta analizar el nombre del archivo.

Otro aspecto importante a considerar es que no es posible crear manualmente un nombre de archivo con esta sintaxis, lo que significa que probablemente se creó con otro lenguaje o se eliminó mediante una herramienta o script externo que omite la validación de entrada del shell, según Trellix.

Esto, a su vez, lleva a la ejecución de un descargador integrado codificado en Base64, que recupera de un servidor externo un binario ELF para la arquitectura de sistema adecuada (x86_64, i386, i686, armv7l o aarch64). El binario, a su vez, inicia la comunicación con un servidor de comando y control (C2) para obtener la carga útil cifrada de VShell, decodificarla y ejecutarla en el host.

Trellix afirmó que los correos electrónicos de phishing se disfrazan como una invitación a una encuesta sobre productos de belleza, que atrae a los destinatarios con una recompensa monetaria (10 RMB) por completarla.

"Cabe destacar que el correo electrónico incluye un archivo adjunto RAR ('yy.rar'), aunque no indica explícitamente al usuario que lo abra o lo extraiga", explicó Bade. "El enfoque de la ingeniería social es sutil: el usuario se distrae con el contenido de la encuesta, y la presencia del archivo adjunto podría confundirse con un documento o archivo de datos relacionado con la encuesta".

VShell es una herramienta de acceso remoto basada en Go que ha sido ampliamente utilizada por grupos de hackers chinos en los últimos años, incluyendo UNC5174. Esta herramienta admite shell inverso, operaciones con archivos, gestión de procesos, reenvío de puertos y comunicaciones C2 cifradas.

Lo que hace peligroso este ataque es que el malware opera completamente en memoria, evitando la detección en disco, además de que puede afectar a una amplia gama de dispositivos Linux.

"Este análisis destaca una peligrosa evolución en la distribución de malware para Linux, donde un simple nombre de archivo incrustado en un archivo RAR puede utilizarse como arma para ejecutar comandos arbitrarios", declaró Trellix. "La cadena de infección explota la inyección de comandos en bucles de shell, abusa del entorno de ejecución permisivo de Linux y, en última instancia, distribuye un potente malware VShell de puerta trasera capaz de controlar remotamente el sistema por completo".

Este desarrollo coincide con la publicación por parte de Picus Security de un análisis técnico de RingReaper, una herramienta post-exploit centrada en Linux que aprovecha el framework io_uring del kernel de Linux para eludir las herramientas de monitorización tradicionales. Actualmente se desconoce quién está detrás de este malware.

"En lugar de invocar funciones estándar como leer, escribir, recibir, enviar o conectar, RingReaper emplea primitivas io_uring (por ejemplo, io_uring_prep_*) para ejecutar operaciones equivalentes de forma asíncrona", declaró el investigador de seguridad Sıla Özeren Hacıoğlu. "Este método ayuda a eludir los mecanismos de detección basados en ganchos y reduce la visibilidad de la actividad maliciosa en la telemetría que suelen recopilar las plataformas EDR".

RingReaper utiliza io_uring para enumerar procesos del sistema, sesiones activas de pseudoterminal (PTS), conexiones de red y usuarios conectados, a la vez que reduce su huella y evita ser detectado. También es capaz de recopilar información del usuario del archivo "/etc/passwd", abusar de los binarios SUID para la escalada de privilegios y borrar rastros de sí mismo tras su ejecución.

"Aprovecha la moderna interfaz de E/S asíncrona del kernel de Linux, io_uring, para minimizar la dependencia de las llamadas al sistema convencionales que las herramientas de seguridad monitorizan o interceptan con frecuencia", afirmó Picus.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#471

Noticias Informáticas / Filtración masiva deja 16 millones de cuentas de PayPal en línea

Agosto 23, 2025, 06:51:09 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

PayPal insiste en que no se produjo ninguna nueva vulneración y denuncia un robo de credenciales anterior.
Los hackers afirman estar vendiendo millones de credenciales de PayPal, pero los expertos sospechan que se trata de un engaño.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El conjunto de datos supuestamente incluye contraseñas, correos electrónicos y URL para ataques automatizados.
Los expertos afirman que la muestra filtrada es demasiado pequeña para confirmar su autenticidad, y su bajo precio pone en duda su legitimidad.
Hackers anunciaron recientemente en un conocido foro la venta de un conjunto de datos con 15,8 millones de credenciales de PayPal robadas, que supuestamente incluían correos electrónicos de inicio de sesión y contraseñas en texto plano.

Los ciberdelincuentes afirman que la información fue robada en mayo de 2025 y que el conjunto de datos contiene no solo correos electrónicos y contraseñas, sino también URL asociadas, lo que facilita a los delincuentes automatizar ataques de robo de credenciales y lanzar estafas de robo de identidad.

También afirman que, si bien muchas de las contraseñas filtradas parecían únicas y de apariencia robusta, una gran parte se reutilizó. De ser cierto, el valor de la filtración podría ser menor de lo sugerido.

Dudas sobre las acusaciones de filtración

Sin embargo, los expertos que examinaron la pequeña muestra publicada concluyeron que era insuficiente para verificar las afirmaciones de los atacantes, señalando que, si la filtración realmente ocurrió en mayo de 2025, gran parte de los datos utilizables podrían haber sido ya explotados.

Curiosamente, el precio fijado para la supuesta base de datos es sorprendentemente bajo, lo que genera más dudas sobre su autenticidad.

Históricamente, los datos robados de alta calidad alcanzan precios mucho más altos en la dark web.

Sin embargo, PayPal negó rápidamente cualquier nueva filtración, señalando en cambio un "incidente de seguridad" de 2022, que incluyó ataques de robo de credenciales y resultó en la imposición de multas por parte de los reguladores a principios de este año.

Ese evento solo expuso 35.000 cuentas, una cifra muy inferior a los millones que ahora afirman los atacantes.

Los escépticos argumentan que la similitud entre el supuesto conjunto de datos de PayPal y la estructura de los registros de malware de un evento anterior sugiere un acto ilícito.

Los ladrones de información extraen silenciosamente contraseñas, cookies y otros datos de los dispositivos infectados, a menudo empaquetando los datos con una URL seguida de la información de inicio de sesión.

Es bastante común encontrar credenciales en los registros de los ladrones que circulan en mercados de la dark web, pero estas no provienen directamente del sistema de PayPal, sino de los dispositivos de los usuarios comprometidos.

Independientemente de si esta nueva afirmación resulta ser cierta, la situación pone de relieve la facilidad con la que circula la información del usuario una vez robada.

La filtración de los datos de inicio de sesión puede facilitar el robo de identidad y el fraude financiero mucho después del ataque original.

Los usuarios que han reutilizado las credenciales de PayPal en otras plataformas siguen siendo vulnerables a los ataques.

Fuente:
TechRadar
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#472

Seguridad / Re:Fingerprinting: más allá de las cookies, cómo te rastrean en la web

Agosto 23, 2025, 06:48:46 PM

Este post está dedicado a los usuarios amantes de la piratería de claves. También, es esencial que los usuarios deUnderc0de Pro lo entiendan.

Los diversos obstáculos que se enfrentan al compartirse claves de sitios u servicios y el porqué las claves se caen tan rápido, de ahí una constante retroalimentación.

Cuando se comparte con la cuenta cierta info adjunta, como nación, SO, navegador, etc.; es para intentar enmascararse al usar dicha cuenta. A veces son determinantes detalles como la zona horaria o el idioma del SO que se esté usando. Identificadores como la MAC de su dispositivo suelen bloquear a más de uno en sitios web de streaming, etc.

#473

Seguridad / Fingerprinting: más allá de las cookies, cómo te rastrean en la web

Agosto 23, 2025, 02:22:22 AM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Existe una técnica llamada fingerprinting que permite identificarte en la web sin necesidad de almacenar nada en tu dispositivo, no necesita permiso ni se puede borrar fácilmente. La recopilación de datos como tu sistema operativo, tu configuración pasan a formar parte de una huella digital única que puede seguirte de sitio en sitio. La probabilidad de tener la misma huella digital que otra persona utilizando un mismo navegador con características iguales es muy escasa.

¿Qué es el browser fingerprinting?

Es una técnica que identifica a cualquier dispositivo sin la necesidad del uso de las cookies. El navegador guarda datos como la resolución de la pantalla, el idioma, el sistema operativo, zona horaria, las fuentes del sistema, configuración del teclado, historial de navegación, incluso las extensiones instaladas. Estos datos combinados generan un identificador único. Incluso si se bloquean los rastreadores (trackers), se usa el modo incógnito o se borran cookies, esta huella digital sigue persistiendo.
Muchas entidades u organizaciones utilizan esta técnica para monitorear la actividad de los usuarios, algunas para realizar un mejor marketing con publicidad personalizada, otras para la autenticación de una aplicación vía web. Además, el fingerprinting puede facilitar también la detección de posibles actividades fraudulentas o nada éticas en Internet.

¿Cómo funciona el browser fingerprinting?

El browser fingerprinting generalmente utiliza JavaScript para recopilar datos de conexión, entre los cuales están:

• Agentes de usuario (User-agent) tipo de navegador, versión y sistema operativo
• Dirección IP
• Resolución de pantalla
• Plug-ins instalados
• Zona horaria
• Idioma
• Fuentes instaladas
• Configuraciones de pantallas táctiles
• Configuraciones de almacenamiento de cookies
• Información de hardware como GPU, CPU y controladores

Esta información se agrupa para generar un hash único, que funciona de identificador del dispositivo y se almacena en una base de datos segura. Este identificador se mantiene constante, incluso si el usuario elimina sus cookies, y es un punto de referencia para evaluar el comportamiento del usuario y dispositivo.

La información recopilada no incluye nada que pueda identificar al usuario como su nombre o género. Únicamente se basa en las características del navegador, y cada hash contiene ligeras variaciones con respecto a las fuentes instaladas, resoluciones de pantalla, configuración del teclado y ajustes de idioma.

Usos del fingerprinting

Detección de fraudes

Los estafadores suelen tener abiertas muchas ventanas en un solo dispositivo cuando lanzan sus campañas de ingeniería social. Y cada ventana tiende a tener una resolución menor a la de una ventana de navegador estándar. Aquí las técnicas de fingerprinting detectan resoluciones poco comunes que pueden indicar una posible actividad fraudulenta.

Otra de las métricas para evaluar si el dispositivo es empleado para cometer fraudes son las versiones de los navegadores utilizadas – en algunos casos se han podido identificar versiones antiguas y vulnerables por ausencia de buenas prácticas de los estafadores – incluso estos navegadores forman parte de máquinas virtuales.

Los complementos instalados de igual forma son considerados para promediar el riesgo de que el dispositivo se está usando para cosas ilícitas como bloqueadores de anuncios y anti trackers, por mencionar algunos ejemplos.

Marketing digital

Empresas especializadas en marketing digital utilizan la optimización de sitios web para perfilar a los clientes potenciales, estas recopilan datos del navegador para comprender quién visita sus sitios y orientar de mejor manera las promociones de productos y servicios.

Un ejemplo práctico es que este tipo de empresas pueden utilizar la ubicación para segmentar su estrategia de ventas, la combinación de la demografía y la riqueza de la zona son importantes para determinar ofertas totalmente personalizadas.

Ejemplo de cómo un e-commerce solicita la ubicación para mostrar los productos que se envían a cierto país

Autenticación de aplicaciones web

Los inicios de sesión son otras de las métricas para que las empresas u organizaciones puedan identificar a los usuarios legítimos de los temporales o de aquellos que son clientes y empleados.

En la gestión de los navegadores, una buena práctica para los equipos de seguridad es asignar perfiles de navegación para reducir el riesgo de descarga de amenazas, la filtración de información o la visualización de contenido no autorizado.

Para esto, establecer métricas en donde si el usuario se desvía de lo establecido, el equipo de seguridad es notificado y, en casos donde exista una automatización, se genere una respuesta inmediatamente. Es importante mencionar que el fingerprinting no sustituye a otros sistemas de autenticación, sino que es un complemento para reforzar la seguridad de la empresa y debe acompañarse de otras soluciones de múltiple factor y firewalls bien configurados.

Ejemplo de perfiles en un navegador, cada uno de las cuentas puede contar con diferentes permisos para poder ver contenido en Internet

Técnicas de fingerprinting

Existen diversas técnicas utilizadas para conocer la actividad de un dispositivo en Internet, algunas son más comunes y otras pueden contener cierta complejidad y sofisticación. A continuación, se mencionan las más usadas para el browser fingerprinting:

Audio fingerprinting: Con esta técnica se analizan el cómo los dispositivos y/o software procesan el contenido de audio, es decir, se utilizan todas las salidas de audio para detectar las versiones del navegador, las tarjetas de audio e incluso la arquitectura de la CPU. Para las herramientas de seguridad, estas salidas de audio se analizan y crean un identificador único para cada dispositivo. Un ejemplo de su uso es que esta técnica es empleada por las empresas para combatir el intercambio ilegal o no autorizado de música bajo la gestión de derechos digitales (DRM - Digital Rights Management).

Cross-browser fingerprinting: Sabiendo que el usuario puede instalar más de un navegador en uno o varios dispositivos (móviles o de escritorio) el generar identificadores únicos y darle seguimiento se haría una tarea complicada, por lo que el cross-browser fingerprinting crea perfiles de usuario basados en el hardware. Es decir, los complementos, versiones de navegadores, resoluciones de pantalla y sistemas operativos identifican a los usuarios en múltiples dispositivos y navegadores por medio de un hash único.

TLS fingerprinting: Cuando un usuario anda navegando en Internet y envía información a través de los navegadores, el tráfico web en la mayoría de las ocasiones va cifrado por medio del protocolo TLS (Transport Layer Security, por sus siglas en inglés). TLS se basa en técnicas de handshake para autenticar a ambas partes de una transacción. Estos procesos aplican algoritmos de cifrado e intercambian claves para garantizar las transferencias de datos seguras. Para el TLS fingerprinting se analiza el proceso del handshake donde se evalúa el cómo interactúan los clientes con los servidores, obteniendo información útil sobre el dispositivo y el software del usuario.

Canvas fingerprinting: En esta técnica se utilizan elementos de HTML5 canvas para analizar el comportamiento del usuario. Este tipo de análisis es especialmente valioso porque proporciona información sobre las características del dispositivo del usuario, como la tarjeta gráfica, los controladores y la GPU de los visitantes del sitio. Las herramientas que usan esta técnica evalúan cómo el navegador renderiza la imagen y el texto superpuesto. Para cada dispositivo representa las imágenes de forma diferente, dependiendo de su configuración (controladores) y componentes (hardware). Por ejemplo, al renderizar se pone una imagen de prueba donde aparece sutilmente diferente para cada usuario. Una vez finalizado este proceso, se crea un hash único para cada tipo de usuario.

WebGL fingerprinting: El WebGL fingerprinting se auxilia de la biblioteca de gráficos web para analizar los perfiles de los usuarios. Para aprovechar la interacción con la WebGL se utilizan scripts que generan imágenes 3D dentro de los navegadores de los usuarios que no son visibles en la pantalla, por lo que las herramientas que usan esta técnica supervisan el proceso de representación y recopilan datos sobre los gráficos y el hardware de procesamiento del usuario muy similar al canvas fingerprinting con la única diferencia en que se analiza cómo los dispositivos de los usuarios ejecutan las instrucciones WebGL, que varían entre las GPU, los controladores gráficos y los sistemas operativos.

Media device fingerprinting: Los dispositivos multimedia conectados a una PC de un usuario son otra de las técnicas para poder identificar un dispositivo único, como auriculares, tarjetas de video, tarjetas de audio, cámaras y reproductores multimedia externos. Para poder facilitar a esta información, los usuarios deben conceder acceso a los dispositivos antes de recopilar los datos y generar un hash único, por lo que son menos comunes. Un ejemplo es cuando un usuario tiene una videollamada y se le solicita el permiso para acceder a micrófono y/o cámara web.

Mobile device fingerprinting:Una parte fundamental para poder acceder, ver o generar contenido y realizar diversas actividades en Internet dentro de los dispositivos móviles (teléfonos inteligentes o tabletas) es a través de los navegadores, los cuales son aplicaciones que están optimizadas para mostrar contenido web en pantallas más pequeñas a diferencia de un equipo de escritorio. El uso de correo a través de estos dispositivos es nuevamente una forma de poder recopilar información y garantizar que existan conexiones remotas. Tal como sucede con los equipos de escritorio, la información obtenida por esta técnica se basa principalmente en los modelos de dispositivos móviles, las versiones de Android o iOS, la resolución de pantalla, las aplicaciones del navegador, los datos de la batería y la configuración de red y como resultado se crea un identificador único basado en los atributos inherentes al dispositivo.

Behavior tracking: Supervisar el comportamiento de los usuarios a través del cómo mueven el cursor, la forma de escribir y navegar por la web son elementos que varían de usuario a usuario, por ejemplo, una persona puede estar interesada en temas de ecología y por marketing digital el navegador le muestre sugerencia de noticias relevantes sobre esa temática, aquí el tiempo que le dedican a leer, ver o escuchar la nota es diferente porque los gustos e intereses son completamente diferentes. Lo anterior y como sucede con las otras técnicas, también se genera un identificador único. Un punto para destacar es que esta técnica está siendo hoy en día la más usada para promocionar publicidad o contenido personalizado, incluso se está potenciando con inteligencia artificial.

Buenas prácticas para reducir el browser fingerprinting en cualquier dispositivo
Es importante mencionar que esta huella digital única (hash) no se puede eliminar, pero sí limitar. Como se ha visto, cualquier comportamiento o característica inherente al dispositivo o al usuario genera un identificador único (hash) lo cual representaría un problema a la privacidad, aunque existen herramientas y buenas prácticas que controlarían el acceso a esa información.

• Una de las principales herramientas es el uso de una VPN (sigla en inglés para red privada virtual) es una tecnología que utiliza Internet para conectarse a una ubicación específica y de esta manera poder acceder a ciertos servicios. Esta conexión a la red puede ocurrir de varias maneras, pero generalmente utiliza el cifrado como mecanismo para proteger la comunicación entre el usuario y el servidor Aunque no garantiza el anonimato total, evita, por ejemplo, que el servicio de destino al que está accediendo conozca la IP de manera directa, ya que solo verá la IP del servidor VPN.

• Los bloqueadores de anuncios y de trackers son otras de las herramientas que se pueden utilizar para limitar el acceso a la información del dispositivo. Estos pueden instalarse desde la sección de "Extensiones" para navegadores como Google Chrome y derivados, mientras que para Firefox están en la opción "Complementos y temas". Por su lado, Brave ya trae integrado estas características.

• El deshabilitar el uso de JavaScript es otra buena práctica que se puede emplear, existen extensiones/complementos como NoScript que también pueden ser descargadas en los navegadores más populares.

• Por el lado de quienes son desarrolladores web, se recomienda incluir la opción de denegar o aceptar todos permisos de privacidad en los productos o servicios que se ofrezcan, dejándolas a criterio del usuario. Importante leer "Términos y condiciones" incluyendo las políticas de privacidad de casa sitio.

• Como un bonus, para determinar que el navegador es único en el mundo, existen plataformas en Internet que permiten determinarlo como lo es Am I Unique?:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Resultados de búsqeuda en amiunique

Conclusión

Hay que considerar que realizar algunas de estas acciones pueden modificar o imposibilitar el acceso a algunos sitios web, por lo que siempre hay que realizar un balance entre el grado de seguridad/privacidad que se quiere sin dejar a un lado, la comodidad y facilidad para navegar en Internet. Hacer una combinación de herramientas y buenas prácticas, limitaría el acceso a cierta información. Por eso debe existir un sentido de responsabilidad en la forma en cómo se navega en Internet. La concientización sobre estas temáticas al menos permite un mayor control sobre qué se comparte y qué no. Hay que recordar que ni la privacidad ni la seguridad total existe, salvo que se viva en una isla y sin nada de tecnología.

Fuente:
WeLiveSecurity by ESET
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#474

Noticias Informáticas / Ni los hackers más buscados se escapan de los fakes y extorsiones

Agosto 21, 2025, 11:24:56 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El 9 de agosto, DataBreaches reportó un canal de Telegram cuyo nombre combinaba los nombres de tres grupos: ShinyHunters, Scattered Spider y Lapsus$. En ese momento, DataBreaches señaló:

Al leer el nuevo canal de Telegram, quienes comentaron lo calificaron de "esquizofrénico", "caos absoluto" y "demencial". DataBreaches simplemente lo llamaría "abrumador".

Hoy, DataBreaches simplemente lo llamaría "eliminado".

Pero existe tanta confusión sobre lo que sucedió entre la apertura del canal de Telegram y la actualidad que podría ser útil saber qué canales son canales reconocidos de ShinyHunters y cuáles, aunque parezcan ser canales o chats de ShinyHunters, son supuestamente estafadores o impostores.

Adiós al canal original

Tras su debut, el canal de Telegram continuó filtrando datos, presumiendo y realizando encuestas. Resulta un tanto inquietante que algunos miembros parecieran estar obsesionados con Mandiant y la Unidad 221B, y publicaran mensajes mordaces que nombraban a empleados específicos. DataBreaches no citará ninguno de los mensajes específicos ni ninguna amenaza de violencia física, pero se sintió aliviado cuando el líder de ShinyHunters (a quien este sitio llama "Shiny" para referirse a una persona y no al grupo) borró los mensajes ofensivos.

A pesar de la limpieza de Shiny y las reprimendas a algunos usuarios y mensajes, algunos parecían simplemente hablar sin pensar en las consecuencias. Algunos incluso se olvidaron de toda precaución y participaron en una videollamada que no filtró al menos a un investigador que contactó con DataBreaches sobre la conversación. A DataBreaches no le sorprendería que la videollamada ya estuviera en manos de la NCA, la AFP y el FBI.

El 18 de agosto, Shiny anunció que el canal sería eliminado en 30 minutos. Para entonces, ya existían clones del canal con nombres que sonaban como el canal original y cuyos nombres de cuenta empezaban por "@leavemealone". Algunos de esos clones fueron eliminados, pero los dos restantes y la aparición de un nuevo foro plantearían nuevos problemas.

El 19 de agosto, Shiny descubrió que los intentos de eliminar el canal original habían fracasado, pero aún podía publicar alertas allí. La primera decía:

"Este canal no se puede eliminar, pero no gestionamos ningún otro canal. Cualquier otro canal que se haga pasar por nosotros o por ShinyHunters es falso, una estafa o un imitador, por ejemplo, @leavemealonecybernigger @leavemealonefeds (NO SOMOS NOSOTROS. IMITADORES).

Solo se puede contactar con el verdadero shiny a través de su correo electrónico You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login o @sloke48. Si alguien se hace pasar por ShinyHunters, que lo verifique con su clave PGP (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login).

NO GESTIONAMOS NINGÚN CANAL. NO CAIGA EN ESTAFAS, IMITADORES O FALSIFICADORES.

NO VENDEMOS BASE DE DATOS. ¡CUALQUIERA QUE DIGA VENDER BASE DE DATOS QUE TENEMOS ES UN ESTAFADOR!"

Al final del mensaje, Shiny señaló el canal falso que se autodenominaba "scattered lapsus$ hunters v2".

Cabe destacar que el mensaje contiene la dirección de correo electrónico actual de ShinyHunter y su cuenta de Telegram. Los estafadores crearon otros nombres en el mismo servidor de correo para hacerse pasar por shinyhunters, pero actualmente solo existe una cuenta de correo electrónico real: la del mensaje de Shiny.

El 20 de agosto, Shiny reveló más información sobre los estafadores y los suplantadores de identidad, mostrando capturas de pantalla de conversaciones con ellos. Resumió la situación:

"Las personas que están llevando a cabo esta campaña de suplantación de identidad son:

@babukoffice
@shinyspiders
@minako4chan

Intentan extorsionarme con unos miles de dólares para detener la suplantación.

El usuario "ShinyHunters" de UmbraForums también es un impostor, y se cree que es una de las tres personas que se hacen pasar por mí en Telegram.

Por favor, no caigan en estas estafas."

Sobre UmbraForums

Aquellos ansiosos por un nuevo foro pueden haberse alegrado de ver abierto UmbraForums, especialmente porque había una cuenta de administrador, "ShinyHunters", que decía que estaban de regreso y muy felices de ser administradores en el foro.

Algunos de los perfiles de usuarios de UmbraForums que fueron indexados en Google

Los falsos ShinyHunters incluso publicaron datos de actividades pasadas y de la campaña de Salesforce. Los datos parecían ser los mismos que el canal original de Telegram había filtrado y probablemente eran reales, pero quien escribía como "ShinyHunters" no escribía como Shiny, y DataBreaches sospechó inmediatamente de un impostor. Cuando se le preguntó sobre la cuenta y el foro, Shiny respondió que desconocía el foro y que no era él. También publicó una publicación negando que fuera él quien estaba en el foro y advirtiendo a la gente que no se dejara engañar por estafadores.

Al día siguiente, la cuenta ShinyHunters en UmbraForums fue baneada con un mensaje desagradable del dueño del foro, "Nicotina".

Mientras tanto, UmbraForums había conseguido que Google indexara todos los perfiles de sus usuarios.

Falsificaciones, falsificaciones por todas partes

Estafadores e impostores parecían estar por todas partes, todos intentando sacar provecho de los "ShinyHunters" o las "ShinySpiders"

Dos canales supuestamente falsos usan esta imagen como su perfil público, aunque esto podría cambiar en cualquier momento:

Los canales falsos de Telegram también usan o citan información de Shiny como si Shiny publicara en ellos. Esto puede resultar confuso.

Pero quizá la mejor falsificación fue una recompensa falsa de Europol por Qilin que apareció el 16 de agosto y que, según se dice, engañó a varios periodistas:

"Durante las investigaciones internacionales en curso, hemos confirmado que el grupo cibercriminal Qilin ha llevado a cabo ataques de ransomware en todo el mundo, causando graves interrupciones en infraestructuras críticas y pérdidas financieras significativas.

Hemos identificado a dos administradores principales que operan bajo los alias Haise y XORacle, quienes coordinan a sus afiliados y supervisan las actividades de extorsión.

Estamos investigando activamente todas las pistas disponibles en colaboración con socios internacionales.
Se ofrece una recompensa de hasta 50.000 dólares por información que conduzca directamente a la identificación o ubicación de estos administradores.

Métodos de contacto:
– Telegram: @Europolrewards
– Tox ID: C1EC9387C4E46F7670203B7F23F5D7CE282B82A219A791B4D3E995A7BD3CE44D1E4EF9599C2F

Piensa en tu próximo paso."

Tal vez aquellos que publican de manera precipitada y descarada en Telegram deberían pensar en Noah Urban y luego pensar un poco más en su próximo movimiento.

Fuente:
DataBreaches
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#475

Noticias Informáticas / Vulnerabilidad de secuestro de conexión WiFi a través del IPv6

Agosto 21, 2025, 10:59:41 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una función inactiva de IPv6 es una puerta trasera para los atacantes de Windows, advierten investigadores de seguridad. Activada por defecto, si no se utiliza ni se controla, puede provocar la vulneración completa del dominio.

Puede que IPv6 no sea de uso generalizado, pero Windows la habilita por defecto y la prioriza sobre la versión anterior de IPv4, lo que tiene graves repercusiones para la seguridad.

Si los hackers tienen acceso a un solo dispositivo de la red, incluso uno de IoT, pueden transformarlo en una configuración y un servidor DNS falsos. Los equipos Windows confiarán y preferirán las instrucciones maliciosas a la configuración IPv4 existente.

Resecurity, una empresa de ciberseguridad, advierte que esto permite a los atacantes secuestrar las conexiones de un equipo: redirigir a los usuarios a sitios web maliciosos, interceptar credenciales y, en última instancia, controlar toda la red. Anteriormente, VK9 Security y otros defensores de la red también describieron la técnica de toma de control de DNS.

Los investigadores han detallado cómo los atacantes pueden lograr una vulneración completa del dominio: una toma total de lo que podría describirse como el centro neurálgico de la seguridad corporativa.

Y los atacantes solo necesitan minutos para llevar a cabo el ataque.

"Mediante la combinación de respuestas DHCPv6 fraudulentas, envenenamiento de DNS, abuso de WPAD y retransmisión NTLM, los atacantes pueden escalar sigilosamente desde el acceso no autenticado a la red hasta el control total del administrador del dominio en cuestión de minutos", afirma el informe de Resecurity.

Solo unos pasos para un control total

Las máquinas Windows, por defecto, solicitan constantemente configuraciones de red, como el servidor DNS. Si bien la mayoría de los usuarios tienen redes IPv4 configuradas, este comportamiento también se presenta para IPv6, incluso si la red no lo usa activamente.

En la primera fase del ataque, un hacker necesitaría encontrar la manera de proporcionar la respuesta. Si bien puede ser difícil comprometer un router, que a menudo actúa como servidor DHCP para IPv4, cualquier dispositivo puede ser utilizado indebidamente para proporcionar configuración IPv6.

"Paso 1: Conviértete en el servidor DHCPv6 falso", explica Resercurity.

Incluso los dispositivos IoT Linux de bajo consumo pueden ser utilizados indebidamente para ejecutar mitm6, una herramienta de pentesting de código abierto que se utiliza para controlar el servidor DNS predeterminado, disponible en GitHub.

La suplantación de DNS IPv6 ya otorga a los atacantes un amplio control; es decir, pueden desviar a usuarios desprevenidos a sitios web maliciosos clonados.

Sin embargo, también pueden descubrir el controlador de dominio e interceptar las credenciales de inicio de sesión de los usuarios cuando intentan acceder a un recurso de red.

Finalmente, el atacante presenta el protocolo de enlace robado al controlador de dominio, haciéndose pasar por un usuario con privilegios, y crea una cuenta en Active Directory. Desde aquí, los atacantes tendrían total libertad para ejecutar comandos y acceder a los recursos, lo que resultaría en una vulneración total.

La técnica, denominada "ataque de retransmisión MITM6 + NTLM", tiene graves consecuencias para los entornos de Active Directory.

"Combina la interceptación de red con técnicas de escalada de privilegios", advierte Resecurity.

"El ataque de retransmisión MITM6 + NTLM es un ejemplo clásico de cómo pequeños descuidos de configuración pueden desencadenar una vulnerabilidad a gran escala de Active Directory".

Los investigadores de seguridad instan a los defensores de la red a deshabilitar completamente IPv6 si no se utiliza. Esto evitará que se procesen configuraciones maliciosas.

Los administradores de red IPv6 utilizan conmutadores y enrutadores con RA Guard/DHCPv6 Guard para bloquear anuncios IPv6 no autorizados y servidores DHCP no autorizados en la red.

Otras medidas de mitigación incluyen la autenticación y el fortalecimiento, la monitorización y la detección de la configuración de Active Directory.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#476

Noticias Informáticas / Base de datos de 15 millones de vehículos blindados de la OTAN expuesta

Agosto 21, 2025, 10:57:17 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una filtración masiva que involucra datos militares y económicos sensibles de la OTAN ha aparecido en un foro de la dark web. El 18 de agosto de 2025, un usuario que operaba bajo el alias "FreedomSecurity1337" publicó una base de datos que supuestamente contiene más de 15 millones de registros de vehículos blindados de la OTAN.

El conjunto de datos filtrado incluye:

Especificaciones técnicas: ID, nombre, tipo, peso, blindaje, cañón principal, capacidad del motor y movilidad.

Datos estratégicos: país, tipo de unidad, región de despliegue, gasto en defensa (% del PIB) e integración tecnológica.

Perspectivas geopolíticas: posicionamiento estratégico y planificación militar en Asia Oriental.

La filtración se distribuye en formato CSV o texto plano y ocupa aproximadamente 9 GB. El actor de amenazas afirma que esta información revela aspectos clave de los despliegues militares, las capacidades tecnológicas y las estrategias económicas de la OTAN en Asia Oriental.

Fuente:
InsecureWeb
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#477

Noticias Informáticas / Apple corrige la vulnerabilidad de día cero en iOS, iPadOS y macOS

Agosto 21, 2025, 10:55:59 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ha publicado actualizaciones de seguridad para abordar una falla de seguridad que afecta a iOS, iPadOS y macOS y que, según afirma, se ha explotado activamente.

La vulnerabilidad de día cero de escritura fuera de límites, identificada como CVE-2025-43300, reside en el framework ImageIO y podría provocar daños en la memoria al procesar una imagen maliciosa.

"Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos", declaró la compañía en un aviso.

El fabricante del iPhone afirmó que el error se descubrió internamente y que se solucionó mejorando la comprobación de límites. Las siguientes versiones solucionan el fallo de seguridad:

iOS 18.6.2 y iPadOS 18.6.2: iPhone XS y posteriores, iPad Pro de 13 pulgadas, iPad Pro de 12,9 pulgadas de 3.ª generación y posteriores, iPad Pro de 11 pulgadas de 1.ª generación y posteriores, iPad Air de 3.ª generación y posteriores, iPad de 7.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores
iPadOS 17.7.10: iPad Pro de 12,9 pulgadas de 2.ª generación, iPad Pro de 10,5 pulgadas y iPad de 6.ª generación
MacOS Ventura 13.7.8: Mac con macOS Ventura
MacOS Sonoma 14.7.8: Mac con macOS Sonoma
MacOS Sequoia 15.6.1: Mac con macOS Sequoia

Actualmente se desconoce quién está detrás de los ataques ni quiénes podrían haber sido sus objetivos, pero es probable que la vulnerabilidad se haya utilizado como arma en ataques altamente selectivos.

Con la última actualización, Apple ha corregido hasta la fecha un total de siete vulnerabilidades de día cero que se han aprovechado en ataques reales desde principios de año: CVE-2025-24085, CVE-2025-24200, CVE-2025-24201, CVE-2025-31200, CVE-2025-31201 y CVE-2025-43200.

El mes pasado, la compañía también publicó parches para una vulnerabilidad de Safari que reside en un componente de código abierto ( CVE-2025-6558 ) que, según informó Google, se había explotado como vulnerabilidad de día cero en el navegador web Chrome.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#478

Cursos, manuales y libros / La Biblia Negrísima del Ethical Hacker - Alejandro G Vera

Agosto 21, 2025, 10:51:45 PM

La Biblia Negrísima del Ethical Hacker

Alejandro G Vera

Índice de "La Biblia Negrísima del Ethical Hacker"

Parte I – Fundamentos del Red Team

Introducción al Red Team: Filosofía y ética hacker
Laboratorio oscuro: montaje seguro con máquinas virtuales
Kali Linux desde cero: instalación y primeros pasos
La línea de comandos como arma
Conceptos esenciales de redes para el hacker
Modelos de amenaza: pensar como atacante
Reconocimiento pasivo: OSINT y footprinting inicial
Reconocimiento activo: escaneo sin ser detectado
Fingerprinting de sistemas y servicios
Entendiendo el ciclo de vida del ataque

Parte II – Herramientas del guerrero digital

Nmap: el cuchillo suizo del escaneo
Técnicas avanzadas de Nmap y evasión
Metasploit Framework: la artillería pesada
Post-explotación con Meterpreter
Burp Suite: anatomía del proxy y manipulación de tráfico
Escaneo de vulnerabilidades con Nikto y Wfuzz
Hydra y THC-Hydra: ataques de fuerza bruta despiadados
John the Ripper: cracking de contraseñas a nivel infernal
theHarvester: recolectando información a lo grande
Aircrack-NG: desangrando redes Wi-Fi

Parte III – Ataques básicos y medios

Phishing artesanal y masivo
Ingeniería social y manipulación psicológica
Ataques Man-in-the-Middle con Ettercap y MITMf
ARP spoofing y DNS spoofing
Credential Harvesting con herramientas especializadas
Explotación de vulnerabilidades web básicas (XSS, SQLi)
Escalando privilegios en sistemas Linux
Escalando privilegios en sistemas Windows
Persistence: mantener la puerta trasera abierta
Túneles y pivoting en redes corporativas

Parte IV – Avanzando hacia el lado negrísimo

Explotación avanzada con buffer overflows
Introducción al malware del Red Team
PowerShell Empire: control total en Windows
Cobalt Strike: simulación de amenazas persistentes
Ataques a Active Directory
Kerberoasting y Pass-the-Hash
Credential Dumping con Mimikatz
Creación de payloads indetectables con Veil
Evasión de antivirus y EDR
Rootkits y backdoors personalizados

Parte V – Ataques inalámbricos y móviles

Wi-Fi Hacking avanzado (WPA/WPA2/WPA3)
Rogue Access Points y Evil Twins
Bluetooth Hacking
GSM y 4G: interceptando el aire
Pentesting en dispositivos Android
Pentesting en iOS

Parte VI – Operaciones de Red Team en grande

Red Team vs Blue Team: simulaciones realistas
Operaciones de phishing masivo con frameworks (GoPhish, SET)
Abuso de servicios en la nube (AWS, Azure, GCP)
Infraestructura como blanco: ataques en CI/CD
Ataques a contenedores y Docker
Ataques en entornos Kubernetes
Social Engineering Toolkit (SET) a nivel operativo
Exfiltración de datos sin ser visto
Uso de canales encubiertos y esteganografía

Parte VII – El cierre de la biblia negrísima

Reportes profesionales en operaciones Red Team
Cómo documentar hallazgos sin autoincriminarse
Legales y ética: caminar por el filo de la navaja
Casos reales de ataques de Red Team
Reflexiones finales: el viaje al lado negrísimo

Descarga (Sitio official del autor)

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía y Crédito:

Mr.Byte en elhacker[.]net

#479

Hacking / Re:IA para el rastreo de imágenes

Agosto 21, 2025, 10:15:21 PM

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Loginpara eso existe google lens ....abrir You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y elegir "busqueda por imagen"

No; estas busquedas son más sofisticadas.

>>Pruébelo.<<

#480

Hacking / Re:IA para el rastreo de imágenes

Agosto 21, 2025, 09:25:16 PM

Hay metadatos que no estarían disponibles; por ejemplo, de una foto extraída de WhatsApp. Esto es debido a que muchas plataformas "limpian" la imagen subida, creando "una nueva".

Con la IA se rastrea el contenido de la foto o imagen; pero lo novedoso es que establece variables de dicho contenido. Pongamos de ejemplo una persona que ha cambiado su aspecto físico por la edad y afeites cosméticos. Incluso hay casos muy curiosos sobre transexuales que han sido localizados, aun después de realizarse los cambios y parafernalias.

Estos son servicios sobre internet que he ido poniendo y están enfocados "humildemente" a aquellos que comienzan, y que les resultará (tal vez), útil e interesante.

Páginas 1 ... 22 23 24 25 26 ... 249